Search
Close this search box.

Italien: Regione Lombardia bötfälls med 20 000 euro för att ha publicerat personuppgifter om arbetstagare på sin webbplats

Garante per la protezione dei dati personali (Garante) har bötfällt Regione Lombardia med 20 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Regione Lombardia offentliggjort personuppgifter om cirka 732 arbetstagare på sin webbplats. Uppgifterna innehöll information om anställningsförhållanden, rättsliga förfaranden, lön, anställningstid, kvalifikationer och information om en arbetstagares hälsa. Offentliggörandet av informationen uppmärksammades av två fackliga organisationer.

Garante konstaterade inledningsvis att behandling av personuppgifter av en offentlig verksamhet endast får utföras om det är nödvändigt för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse, enligt artikel 6.1 (c) och (e) GDPR. Garante konstaterade vidare att Regione Lombardia i enlighet med artikel 9.2 GDPR korrekt behandlade hälsouppgifter för ändamål av allmänt intresse. Med tanke på hälsouppgifternas natur och känslighet får dessa uppgifter dock inte publiceras. Regione Lombardia bör därför ha följt den allmänna principen i artikel 5 i GDPR om uppgiftsminimering.

Garante behandlade vidare Regione Lombardias påstående att offentliggörandet av uppgifterna var i linje med transparensskyldigheterna enligt med nationell lagstiftning. Garante avvisade denna motivering och betonade att lagstiftningen inte tillät ett omfattande offentliggörande av personuppgifter, särskilt inte uppgifter som rör anställningsförhållandet, varje arbetstagares inkomst och eventuella rättsliga förfaranden. Garante påminde särskilt om förbudet mot spridning av arbetstagares hälsouppgifter. Garante konstaterade därför en överträdelse av artikel 5 GDPR, artikel 6.1 (c) GDPR och artikel 9 GDPR.

Varaktigheten av den olagliga spridningen av uppgifter var en viktig faktor som Garante beaktade vid fastställandet av böterna. Förmildrande omständigheter inkluderade Regione Lombardias snabba åtgärder för att ta bort uppgifterna efter upptäckten av klagomålen till Garante och de utmanande omständigheterna under pandemin. Garante konstaterade dock att dessa omständigheter inte befriade Regione Lombardia från sitt ansvar att följa gällande regler.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 20 000 euro

Mottagare: Regione Lombardia

Beslutsnummer: 9955372

Beslutsdatum: 2023-10-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.