Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 1 000 euro mot Sirio S.p.A. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd hos Sirio lämnat in ett klagomål till Garante då hans företag aktiverat två bankkort hos två olika kreditinstitut med hans samtycke. Garante skickade en begäran om förklaringar och dokumentation från Sirio om hur den anställde informerats om behandlingen av hans personuppgifter och vilken rättslig grund som använts för att kommunicera dem till banken.
Sirio hävdade att kommunikationen av personuppgifterna var nödvändig för att den anställde skulle kunna utföra sin uppgifter som vice verkställande direktör vid företaget och ansvara för insättningen av kontanter på företagets konto. Sirio åberopade också det berättigade intresset av att behandla personuppgifterna för att uppfylla sina lagliga skyldigheter och organisatoriska behov.
Garante ansåg att Sirio inte har uppfyllt sin skyldighet att informera den anställde om behandlingen av hans personuppgifter, vilket utgör en överträdelse av artikel 13 GDPR. Garante ansåg också att varken avtalets genomförande eller det berättigade intresset kan utgöra en giltig rättslig grund för kommunikationen av personuppgifterna till banken, varför företaget även behandlade personuppgifter i strid med artikel 6 GDPR. Garante beslutade därför att påföra Sirio en administrativ sanktion i enlighet med artikel 83.5 GDPR.