Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 20 000 euro mot Istituto Nazionale della Previdenza Sociale (INPS) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att INPS haft för avsikt att anställa tjänstemän genom ett offentligt uttagningsprov. I samband med detta offentliggjorde INPS på sin webbplats en rangordning av de sökande, både de som klarat uttagningsprovet och de som inte klarat det. Rangordningen innehöll namn på mer än 5 000 sökande och deras poäng. Dessutom publicerades även andra dokument som till exempel schemat för det muntliga provet. En av deltagarna lämnade in ett klagomål till Garante och hävdade att INPS publicerat hans personuppgifter på webbplatsen utan tillräcklig rättslig grund.
INPS påpekade att offentliggörandet av förteckningen över de sökande som godkänts till den muntliga delen av uttagningsprovet var en rättslig skyldighet, eftersom detta föreskrevs i meddelandet om uttagningsprov. Vidare framhöll INPS att de sökande lämnat sitt samtycke till behandling av personuppgifter när de fyllde i ansökningsformuläret.
Garante konstaterade att den relevanta rättsliga grunden för en offentlig myndighets behandling av personuppgifter är de som anges i artikel 6.1 (c) och 6.1 (e) GDPR. Garante påpekade att den offentliga myndigheten i dessa fall måste följa artikel 6.3 GDPR, dvs. att behandlingen måste grunda sig på EU-lagstiftning eller medlemsstaternas nationella lagstiftning. Denna lagstiftning ska uppfylla ett mål av allmänt intresse och vara proportionerlig i förhållande till det legitima mål som eftersträvas. Behandlingen ska dessutom vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i INPS:s myndighetsutövning.
Enligt Garante kan en bestämmelse i en administrativ handling generellt sett kan utgöra en rättslig förpliktelse enligt artikel 6.1 (c) GDPR. Garante klargjorde dock att handlingen måste vara förenlig med gällande rätt, vilket inte var aktuellt i detta fall. Garante ansåg därför att handlingen inte kunde utgöra en giltig rättslig grund i enlighet med artikel 6.1 (c) GDPR.
Vidare ansåg Garante att INPS:s hänvisning till samtycke som rättslig grund var irrelevant. Garante påpekade att samtycke i detta fall inte kan användas som rättslig grund eftersom förhållandet mellan den registrerade och INPS är starkt obalanserat. Garant påpekade dessutom att INPS inte kan åberopa berättigat intresse som rättslig grund, eftersom det i artikel 6.1 GDPR uttryckligen anges att artikel 6.1 (f) GDPR inte är tillämplig på behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.