Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt regionala byrån för miljöskydd i Abruzzo med 8 000 euro för överträdelse av artiklarna 5.1, 6 och 10 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål mot den regionala byrån för miljöskydd i Abruzzo (nedan kallad byrån). Den registrerade uppgav att han tidigare varit anställd vid byrån och att ett beslut av byråns direktör som innehöll hans personuppgifter offentliggjorts på byråns webbplats. Beslutet gällde godkännandet av en facklig förlikningsrapport och innehöll hänvisningar till händelser i samband med ett brottmål där den registrerade var inblandad, för vilket han slutligen hade frikänts. Den registrerade hävdade att dokumentet offentliggjorts utan anonymisering och med indexering i sökmotorer.
I sitt försvar hävdade byrån att beslutet bör betraktas som en del av en avtalsförpliktelse mellan byrån och den registrerade och att behandlingen därför utfördes på grundval av artikel 6.1 (b) GDPR, samt för att uppfylla en rättslig förpliktelse enligt artikel 6.1 (c) GDPR i samband med gällande krav på öppenhet hos offentliga organ. Dessutom hävdade byrån att den registrerade själv redan offentliggjort information om brottmålsförfarandet, och att denna information offentliggjorts av pressen och fortfarande kunde spåras på internet.
Därutöver hävdade byrån att eftersom det i beslutet inte hänvisades till de specifika brott som den registrerade anklagats för, och eftersom det inte heller nämndes någon fällande dom då den registrerade frikänts, kunde byrån inte ifrågasättas enligt artikel 10 GDPR eftersom inga personuppgifter som rörde brott eller fällande domar lämnats ut. Slutligen uppgav byrån att de på den registrerades begäran tagit bort beslutet från sin webbplats för extern åtkomst och att byrån vidtagit alla försiktighetsåtgärder för att se till att den inte längre indexerades i sökmotorer.
Garante ansåg att offentliga organ endast kan lämna ut personuppgifter när det är tillåtet enligt lag, och att den rättsliga grund som byrån åberopade enligt artikel 6.1 (b) GDPR om att behandlingen är nödvändig för att fullgöra ett avtal inte var tillämplig i detta fall. När det gäller den rättsliga grunden enligt artikel 6.1 (c) GDPR om byråns rättsliga skyldigheter att göra handlingar offentliga noterade Garante att beslutet i fråga var av en annan karaktär än den typ av offentliga handlingar och dokument som enligt nationell lagstiftning kräver att dessa offentliggörs, och att detta därför inte heller var en giltig rättslig grund.
Garante motbevisade därutöver byråns påståenden om att byrån inte lämnat ut några personuppgifter som rörde brottsliga gärningar endast på grund av att varken de specifika brottsliga gärningarna som den registrerade anklagats för eller någon fällande dom hade nämnts. Garante citerade EU-domstolens rättspraxis där det anges att all information som rör rättsliga förfaranden mot en person, inklusive inledandet av en utredning eller inledandet av en rättegång, i sig utgör personuppgifter som brottsuppgifter i enlighet med artikel 10 GDPR (C-136/17 Google LLC vs CNIL).
Garante upprepade därför att byråns utlämnande av dessa uppgifter krävde en särskild rättslig grund enligt nationell lagstiftning och att de också var förenliga med principerna om behandling av personuppgifter enligt artikel 5.1 GDPR, särskilt principen om laglighet, korrekthet och öppenhet samt principen om uppgiftsminimering. Garante ansåg också att det faktum att den registrerade själv kunde ha offentliggjort denna information var irrelevant för det utlämnande som byrån gjorde utan att det fanns en tillämplig rättslig grund för att motivera det.
På grundval av dessa överväganden utfärdade Garante ett bötesbelopp på 8 000 euro för överträdelse av artiklarna 5.1, 6 och 10 GDPR. Garante föreslog inga korrigerande åtgärder mot bakgrund av att dokumentet redan hade tagits bort från webbplatsen och avindexerats i sökmotorer.