Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 8 000 euro mot Offanengo kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in ett klagomål till Garante mot Offanengo kommun då kommunen publicerat dokument som rörde den registrerade på sin officiella webbplats. Dokumenten innehöll personuppgifter som exempelvis e-postkorrespondens mellan kommunen och den registrerade, brev om förfaranden, den registrerades semesterkalender samt känsliga uppgifter som den registrerades medlemskap i en fackförening. Inga personuppgifter med anknytning till den registrerades privatliv publicerades, förutom hans namn och efternamn i initialer och deras personuppgifter förekom endast i ett dokument.
Garante konstaterade inledningsvis att GDPR är tillämplig i ärendet eftersom användningen av initialer inte är tillräcklig för att undvika att den registrerade kan identifieras.
Gällande behandlingens laglighet, medgav Garante att offentliga myndigheter har rätt att behandla den registrerades personuppgifter enligt artikel 6.1 (c) GDPR, men konstaterade att det faktum att det är en offentlig myndighet som utför behandlingen inte är tillräckligt för att omfattas av denna bestämmelse.
Gällande behandlingen av känsliga uppgifter enligt artikel 9.1 GDPR, konstaterade Garante att det faktum att ett dokument var undertecknat av en fackförening var tillräckligt för att indirekt fastställa den registrerades medlemskap, även om det inte uttryckligen stod skrivet.
Gällande publiceringen på webbplatsen konstaterade Garante att det i nationell rätt föreskrivs att alla publikationer på webbplatsen fortfarande omfattas av principerna om uppgiftsminimering och laglighet och att det därför, enligt tidigare beslut från Garante, endast krävs att handlingarna ska finnas kvar på webbplatsen i 15 dagar.
När det slutligen gällde det faktum att uppgifterna redan var offentliggjorda ansåg Garante att detta tillvägagångssätt inte är förenligt med principen om begränsning av syftet i artikel 5.1 (b) GDPR.
Garante konstaterade därför en överträdelse av artiklarna 5, 6 och 9 GDPR och utfärdade en sanktionsavgift mot Offanengo kommun med 8 000 euro i enlighet med artikel 83.5 (e) GDPR.