Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Palumbo Superyacht Ancona s.r.l. med 50 000 euro för överträdelse av artiklarna 5.1 (a), 5.1 (e), 12.3, 13 och 15 i dataskyddsförordningen (GDPR), samt artiklarna 157 och 166.3 i kodexen om skydd av personuppgifter, innehållande bestämmelser för att anpassa den nationella lagstiftningen till dataskyddsförordningen (nedan kallad kodexen).
Av beslutet framgår att Garante tagit emot ett klagomål från en person som arbetade för Palumbo Superyacht Ancona som entreprenör. Enligt klagomålet har Palumbo Superyacht Ancona utan föregående meddelande eller efterföljande kommunikation blockerat den klagandes tillgång till företagets e-postkonto, som användes för affärsrelationer men som också innehöll strikt personlig kommunikation. Enligt den klagande hade tillgången till e-postkontot blockerats medan kontot fortfarande var aktivt, och att klaganden fortsatt att få meddelanden på sin dator och mobiltelefon där den klagande uppmanades att ange ett nytt lösenord. Den klagande har utan framgång försökt kontakta Palumbo Superyacht Ancona vid flera tillfällen för att begära att e-postkontot omedelbart skulle återställas.
Under utredningen har Garante upprepade gånger kontaktat Palumbo Superyacht Ancona och bett företaget att lämna synpunkter på de aktuella omständigheterna, men Palumbo Superyacht Ancona har inte återkommit med något svar. Mot denna bakgrund underrättade Garante Palumbo Superyacht Ancona om att förfarandet för att fastställa administrativa böter och förelägganden om efterlevnad av bestämmelserna inletts.
Garante konstaterade under utredningen att Palumbo Superyacht Ancona brutit mot följande bestämmelser:
- Artiklarna 5.1 (a) och 5.1 (e) GDPR, för att ha underlåtit att följa principen om korrekthet och för att ha hållit det e-postkonto som tilldelats den klagande aktivt, vilket strider mot principen om lagringsminimering.
- Artikel 13 GDPR, för att ha underlåtit att ge den klagande adekvat information.
- Artikel 12.3 GDPR, för att ha underlåtit att besvara den klagandes begäran inom den föreskrivna tidsramen.
- Artikel 15 GDPR, för att ha blockerat den klagandes tillgång till dennes e-postkonto på företaget.
- Artiklarna 157 och 166.2 i kodexen, eftersom företaget inte svarade på Garantes många förfrågningar om information.
På grundval av de fastställda omständigheterna ålade Garante administrativa böter på 50 000 euro med beaktande av följande försvårande och förmildrande omständigheter; Palumbo Superyacht Anconas grovt vårdslösa beteende och dess bristande samarbete under utredningarna, samt det faktum att överträdelsen endast berörde en enda registrerad person.
Sammanfattningsvis ålade Garante ovannämnda böter och beordrade Palumbo Superyacht Ancona att vidta lämpliga tekniska och organisatoriska åtgärder för att göra det möjligt för den klagande att få tillgång till sitt e-postkonto och överföra de personuppgifter som finns där, avaktivera den klagandes e-postkonto, införa automatiska system som är utformade för att informera tredje part om denna avaktivering och tillhandahålla alternativa e-postadresser till den klagande, upphöra med all behandling av klagandens personuppgifter från e-postkontot, införa lämpliga förfaranden för att säkerställa ett fullständigt och snabbt svar på de registrerades utövande av sina rättigheter i enlighet med artiklarna 15-22 GDPR, ge de registrerade lämplig information om behandlingen av deras personuppgifter i enlighet med artikel 13 GDPR, och ge dokumenterad återkoppling om de åtgärder som vidtagits inom 45 dagar.
Slutligen betonade Garante att Palumbo Superyacht Ancona kan lösa tvisten genom att betala ett belopp som motsvarar hälften av den utdömda sanktionen inom 30 dagar och att företaget inom samma tidsram också kan överklaga beslutet.