Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 20 000 euro mot Regione Lombardia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Regione Lombardia offentliggjort personuppgifter om cirka 732 arbetstagare på sin webbplats. Uppgifterna innehöll information om anställningsförhållanden, rättsliga förfaranden, lön, anställningstid, kvalifikationer och information om en arbetstagares hälsa. Offentliggörandet av informationen uppmärksammades av två fackliga organisationer.
Garante konstaterade inledningsvis att behandling av personuppgifter av en offentlig verksamhet endast får utföras om det är nödvändigt för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse, enligt artikel 6.1 (c) och (e) GDPR. Garante konstaterade vidare att Regione Lombardia i enlighet med artikel 9.2 GDPR korrekt behandlade hälsouppgifter för ändamål av allmänt intresse. Med tanke på hälsouppgifternas natur och känslighet får dessa uppgifter dock inte publiceras. Regione Lombardia bör därför ha följt den allmänna principen i artikel 5 i GDPR om uppgiftsminimering.
Garante behandlade vidare Regione Lombardias påstående att offentliggörandet av uppgifterna var i linje med transparensskyldigheterna enligt med nationell lagstiftning. Garante avvisade denna motivering och betonade att lagstiftningen inte tillät ett omfattande offentliggörande av personuppgifter, särskilt inte uppgifter som rör anställningsförhållandet, varje arbetstagares inkomst och eventuella rättsliga förfaranden. Garante påminde särskilt om förbudet mot spridning av arbetstagares hälsouppgifter. Garante konstaterade därför en överträdelse av artikel 5 GDPR, artikel 6.1 (c) GDPR och artikel 9 GDPR.
Varaktigheten av den olagliga spridningen av uppgifter var en viktig faktor som Garante beaktade vid fastställandet av sanktionsavgiften. Förmildrande omständigheter inkluderade Regione Lombardias snabba åtgärder för att ta bort uppgifterna efter upptäckten av klagomålen till Garante och de utmanande omständigheterna under pandemin. Garante konstaterade dock att dessa omständigheter inte befriade Regione Lombardia från sitt ansvar att följa gällande regler.