Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 3 000 euro mot en kommun för överträdelser av dataskyddsförordningen (GDPR) vid publicering av känsliga personuppgifter på kommunens officiella webbplats.
Bakgrund
Kommunen publicerade två kommunfullmäktigebeslut på sin webbplats. Besluten innehöll en anställds namn samt uppgifter om pågående straffrättsliga förfaranden mot denne och låg kvar på webbplatsen i femton dagar vardera. Den registrerade begärde att kommunen skulle ta bort uppgifterna. Både kommunens dataskyddsombud och kommunsekreteraren rekommenderade att informationen skulle tas bort eller döljas, men kommunen vidtog inga åtgärder. Uppgifterna förblev offentligt tillgängliga tills publiceringsperioden löpte ut.
Kommunen uppgav senare att incidenten berodde på ett mänskligt fel. Den anställde som utarbetade besluten hade underlåtit att markera dem som konfidentiella i det interna systemet, vilket innebar att den som ansvarade för publiceringen inte fick någon systemvarning och därför inte redigerade bort den känsliga informationen. Kommunen uppgav även att ett disciplinärt förfarande inletts mot den ansvarige medarbetaren.
Myndighetens bedömning
Garante konstaterade överträdelser av flera bestämmelser i GDPR. Publiceringen av uppgifterna bedömdes strida mot principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR samt mot kravet på rättslig grund för behandling enligt artikel 6 GDPR. Garante konstaterade också att publiceringen stred mot artikel 10 GDPR, som särskilt skyddar uppgifter om straffrättsliga förfaranden.
Vidare konstaterade Garante att kommunen hade åsidosatt artiklarna 12.3 och 12.4 GDPR genom att inte besvara den registrerades begäran om radering i tid och inte förklara skälen till passiviteten. Slutligen konstaterades en överträdelse av rätten till radering enligt artikel 17 GDPR, eftersom kommunen underlät att ta bort personuppgifterna trots den registrerades begäran.
Praktiska konsekvenser
Beslutet visar att offentliga verksamheter måste säkerställa att interna rutiner och tekniska system förhindrar att känsliga personuppgifter, däribland uppgifter om straffrättsliga förfaranden, publiceras offentligt utan rättslig grund. Beslutet understryker också att personuppgiftsansvariga är skyldiga att utan onödigt dröjsmål besvara och verkställa begäranden om radering. Hänvisningar till mänskliga fel eller brister i interna system fritar inte den personuppgiftsansvarige från ansvar.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.