Garante per la protezione dei dati personali (Garante) har har utfärdat en sanktionsavgift på 5 000 euro mot Reweb s.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Reweb försett en registrerad med ett e-postkonto på jobbet för att hantera vissa av företagets kunder. Den registrerade var inte direkt anställd av Reweb, utan stöttade bara företagets verksamhet som extern konsult. Vid någon tidpunkt avbröts samarbetet mellan Reweb och den registrerade av okända skäl. Kort därefter inledde Reweb ett civilrättsligt förfarande mot konsulten.
Trots att samarbetet upphört och trots en uttrycklig begäran från den registrerade vägrade Reweb att omedelbart stänga e-postkontot. Tvärtom läste Reweb korrespondensen mellan den registrerade och dennes kunder och omdirigerade kundernas meddelanden till ett annat e-postkonto. Reweb hävdade att denna åtgärd var nödvändig för att hantera affärsrelationer med de kunder som den registrerade hade kontakt med. Dessutom behandlade Reweb personuppgifter enligt artikel 6.1 (f) GDPR för att försvara sina intressen i det civilrättsliga förfarande som pågick mellan parterna.
Gatante inledde ett förfarande mot Reweb för potentiella överträdelser av artiklarna 5.1 (a) och (c), 6, 12, 13 och 17 GDPR. Vid den tidpunkten hade e-postkontot redan avaktiverats.
För det första konstaterade Garante att Reweb aldrig tillhandahållit den registrerade en integritetspolicy enligt artikel 13 GDPR. Garante konstaterade för övrigt också att Rewebs integritetspolicy inte var fullständig och inte uppfyllde kraven i dataskyddsförordningen.
Dessutom konstaterade Garante att det inte fanns någon lämplig rättslig grund för behandlingen. Det stämmer att det var ett berättigat intresse för Reweb att hålla kontakt med kunderna och att utöva sina rättsliga anspråk. Det fanns dock mindre ingripande metoder för att uppnå samma resultat. Ett automatiserat meddelande som informerade kunderna om att kontot inte längre fungerade skulle till exempel ha varit en lämplig lösning med hänsyn till principen om uppgiftsminimering. Artikel 6.1 (f) GDPR tolkades i stället på ett oproportionerligt sätt, ett berättigat intresse hos Reweb kan inte begränsa kärnan i rätten till dataskydd. Reweb borde särskilt inte ha läst innehållet i e-postmeddelandena och omdirigerat dem till ett annat konto.
Slutligen bröt Reweb mot artikel 12 GDPR, eftersom företaget inte underlättade för den registrerade att utöva sina rättigheter, särskilt rätten till radering enligt artikel 17 GDPR.