Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 000 euro mot Studio Immobiliare S.r.l.s. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade fått ett oönskat samtal från ett företag. Efter en begäran om tillgång och radering tog företaget avstånd från samtalen och spårade dem tillbaka till fastighetsmäklaren Studio Immobiliare.
Den registrerade framförde ett klagomål till Garante som inledde en utredning av Studio Immobiliare. Under utredningen uppgav Studio Immobiliare att den registrerades uppgifter hämtats från en databas som innehöll den registrerades telefonnummer och att uppgifterna förvärvats flera år tidigare från en leverantör. Studio Immobiliare uppgav också att en anställd av misstag använt uppgifterna och att företaget skulle radera dessa.
Utredningen visade att Studio Immobiliare lagrat de aktuella uppgifterna utan någon rättslig grund, och under en obestämd tidsperiod, i ett obevakat pappersarkiv. Enligt Garante stred detta mot kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 och 32.2 GDPR. Påståendet om mänskligt misstag ansåg Garante tyda på otillräckliga organisatoriska åtgärder från Studio Immobiliares sida, vilket även innebar en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och principen om ansvarsskyldighet enligt artiklarna 5.2 och 24 GDPR.
Dessutom besvarade Studio Immobiliare den registrerades begäran om tillgång för sent och endast delvis, eftersom den rättsliga grunden inte förklarades eller särskilt angavs. Begäran om tillgång tillgodosågs därför inte i strid med artiklarna 12 och 13 GDPR. Garante konstaterade i detta sammanhang överträdelser av artiklarna 12.3, 15 samt artiklarna 6.1 (a) och 7 GDPR.