Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante), har bötfällt Solera Italia S.R.L. med 10 000 euro för brott mot artiklarna 5.1 (a), 5.1 (c), 5.1 (e), 12, 13 och 88 i dataskyddsförordningen (GDPR) samt artiklarna 113 och 114 i kodexen om skydd av personuppgifter som innehåller bestämmelser för att anpassa den nationella lagstiftningen till GPDR (nedan kallad kodexen).
Av beslutet framgår att Garante tagit emot ett klagomål enligt vilket en registrerad invänt mot att hans e-postadresser fortfarande fanns kvar efter det att anställningsförhållandet med hans tidigare arbetsgivare Solera Italia upphört, samt att flera på företaget hade tillgång till dessa e-postadresser. Enligt den registrerade har Solera Italia inte tillhandahållit något information om behandlingen e-postadresserna, varken innan eller efter det att hans anställning upphört.
Efter en begäran om information från Garante bekräftade Solera Italia att den ena av den registrerades e-postadresser hade inaktiverats efter anställningsförhållandets upphörande, men att den andra hade behållits aktiv för att möjliggöra mottagande av e-post från andra företag än Solara Italia. Vidare har meddelanden från båda adresserna sparats på företagets servrar på grund av vikten av de uppgifter som den registrerade utfört.
Mot bakgrund av ovanstående fann Garante att Solera Italia brutit mot principerna om öppenhet och laglighet, i enlighet med artiklarna 5.1 (a), 12 och 13 GDPR, eftersom företaget inte gett de anställda den information som behövdes om behandlingen av personuppgifter i samband med deras e-postadresser, inklusive de eventuella kontroller som utövades av företaget över dem under och vid anställningsförhållandets slut, och om lagringen av uppgifterna.
Garante ansåg dessutom att Solera Italia inte följt principerna om uppgiftsminimering och lagringsminimering. Garante fann särskilt att Solera Italia borde ha avaktiverat båda e-postadresserna som tillhörde den registrerade, och att företaget sparat e-postmeddelandena på sina servrar längre än nödvändigt, vilket innebar en överträdelse av artikel 5.1 (c) och 5.1 (e) GDPR.
Garante konstaterade dessutom att den systematiska lagringen av e-postmeddelanden kunde göra det möjligt att rekonstruera den registrerades arbete och utföra kontroller av denna, och att de lagrade e-postmeddelandena, med tanke på att det inte fanns någon policy för begränsningar av användningen av företagets e-postadresser, kunde innehålla information om den registrerades privatliv. Mot bakgrund av detta drog Garante slutsatsen att behandlingen stred mot artikel 88 GDPR, eftersom artiklarna 113 och 114 i kodexen utgör bestämmelser i nationell lagstiftning som innehåller mer specifika regler för att säkerställa skyddet av rättigheter och friheter när det gäller arbetstagares personuppgifter i anställningssammanhang.
Med anledning av ovanstående konstaterade Garante att Solera Italia måste se till att den behandling av personuppgifter som utförs är förenlig med GDPR och kodexen. Garante förbjöd dessutom en fortsatt behandling av de uppgifter som hämtades från den registrerades e-postadresser på företaget. Vid fastställandet av bötesbeloppet på 10 000 euro tog Garante som försvårande omständigheter hänsyn till att Solera Italia inte spontant följt bestämmelserna, även efter det att tillsynsförfarandet inletts, och att överträdelserna i fråga gällde allmänna principer för dataskydd.
Garante beordrade dessutom att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande sanktion, samt att Solera Italia skulle återrapportera de åtgärder som företaget vidtagit till myndigheten inom 60 dagar.
Solera Italia har 30 dagar på sig att överklaga Garantes beslut.