Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 15 000 euro mot MP1 s.r.l. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade är en tidigare anställd hos MP1. Efter uppsägningen av dennes anställningsavtal begärde den registrerade att MP1 skulle radera dennes e-postkonto, som användes för att hantera beställningar. MP1 svarade att kontot inte använts.
Den registrerade lämnade in en formell begäran om att utöva sina rättigheter, nämligen rätten att invända och begränsa behandlingen och rätten att radera e-postadressen. MP1 svarade inte på den registrerades begäran. Till följd av detta lämnade den registrerade in ett klagomål till Garante för underlåtenhet att följa begäran och i händelse av bristande efterlevnad, att införa ett förbud mot den olagliga behandlingen som består i den ihållande aktiviteten på den registrerades konto.
Garante ansåg att MP1 inte uppfyllt sin skyldighet att följa de förfaranden som föreskrivs i artikel 12 GDPR, särskilt att utan onödigt dröjsmål och under alla omständigheter senast inom en månad efter mottagandet av begäran förse den registrerade med information om de åtgärder som vidtagits med anledning av en begäran enligt artikel 15 GDPR till artikel 22 GDPR.
MP1 uppgav för Garante att de inte svarat på den registrerades begäran om att radera den registrerades konto av skäl som hänför sig till artikel 17.3 (e) GDPR. Enligt en sådan bestämmelse gäller inte rätten till radering om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. Garante ansåg dock att MP1 ändå skulle vara skyldig att tillhandahålla information om skälen till att begäran inte beviljades. Detta fastställs uttryckligen i artikel 12.4 GDPR, där det anges att MP1 måste svara den registrerade utan onödigt dröjsmål eller inom en månad efter mottagandet av begäran. Garante konstaterade att MP1 inte uppfyllt detta krav.
Vidare ansåg Garante att genom att omdirigera e-postmeddelandet till ett annat företagskonto, och därmed utföra ytterligare behandlingar i förhållande till den registrerade, bröt MP1 mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Garante betonade att för att uppfylla principerna om uppgiftsminimering bör en personuppgiftsansvarig avaktivera en anställds e-postkonto efter anställningens upphörande och informera berörda tredje parter om alternativa kontaktmetoder.