Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 1 500 euro mot SWG SpA för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade den 3 juli 2020 informerat sin arbetsgivare (den personuppgiftsansvarige) om sin önskan att säga upp anställningsavtalet. I samförstånd beslutade parterna att anställningsavtalet skulle upphöra den 31 juli 2020.
Samma månad genomförde ett personuppgiftsbiträde, som förvaltade den personuppgiftsansvariges informationssystem, en teknisk granskning för att säkerställa en säker överföring av uppgifter efter en flytt av den personuppgiftsansvariges huvudkontor. Under granskningen upptäckte personuppgiftsbiträdet en massiv nedladdning av omkring 600 filer från sina servrar och upptäckte efter en kontroll att detta skett via den registrerades företagskonto. Personuppgiftsbiträdet meddelade detta till den personuppgiftsansvarige som beslutade att blockera den registrerades åtkomst till servrarna samt till dennes företagsmejl.
Den registrerade lämnade in ett klagomål till Garante, där han hävdade att inloggningsuppgifterna till hans privata e-post ändrats under anställningsavtalet, vilket gjorde det omöjligt för honom att få tillgång till sina egna personuppgifter. Den personuppgiftsansvarige hävdade å sin sida att denne hade ett berättigat intresse av att bevara affärshemligheter och undvika dataintrång. Dessutom hävdade den personuppgiftsansvarige att företagskontot endast fick användas för arbetsrelaterade aktiviteter, inte för privata ändamål, i enlighet med interna riktlinjer.
Efter att ha fastställt de faktiska omständigheterna konstaterade Garante att de interna riktlinjerna inte uttryckligen föreskrev att granskningar skulle genomföras i syfte att kontrollera att företagets regler efterlevdes. Därför ansåg Garante att den personuppgiftsansvarige brutit mot artikel 13 GDPR genom att inte i förväg informera den registrerade om de specifika syftena och metoderna för interna kontroller samt om möjligheten att blockera anställdas åtkomst till sina företagskonton. Garante konstaterade vidare att information till anställda om personuppgiftsbehandlingen utgör ett uttryck för den skälighetsprincip som föreskrivs i artikel 5.1 (a) GDPR, vilken den personuppgiftsansvarige också hade brutit mot i det aktuella fallet. Av ovanstående skäl beslutade Garante att utfärda en sanktionsavgift på 15 000 euro mot den personuppgiftsansvarige för överträdelser av artiklarna 5.1 (a), 6.1 (f), 9, 13, 14, 17 och 23 GDPR.