Search
Close this search box.

Italien: Atac bötfälls med 400 000 euro för brott mot flera bestämmelser i GDPR

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt Atac s.p.a. med 400 000 euro för brott mot artiklarna 5, 6, 30 och 32 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Garante inlett en granskning efter ett klagomål från en person avseende de nya parkeringsmätarna som installerats i Rom 2018. Atac, som också kontrakterats av staden för att hantera parkeringsplatserna, hade inlett en teknisk uppgradering av parkeringsmätarna för att erbjuda nya tjänster som exempelvis betalning av böter, avgifter eller köp och förnyelse kollektivtrafikbiljetter. Atac spa skulle också införa nya betalningsmetoder som tar hänsyn till fordonens registreringsnummer. En del av utrustningen levererades av Flowbird Italia s.r.l. All parkeringsinformation hanterades därefter genom ett centraliserat system, som också kunde nås av de anställda som ansvarar för att kontrollera parkeringsavgifterna via en app.

Enligt Garante identifierades ett flertal överträdelser under utredningen. Garante konstaterade bland annat att Atac inte upprättat ett register över register över behandlingar enligt artikel 30 GDPR. Lagringsperioderna för de insamlade uppgifterna specificerades inte och lämpliga säkerhetsåtgärder vidtogs inte. Till exempel visade det sig vid tidpunkten för granskningen att vissa dataflöden gick till och från systemet genom osäkra kanaler. Därutöver hade medarbetare möjlighet att kontrollera registreringsskyltar utan någon form av åtkomstbegränsning, till exempel för att ta reda på en persons vanor och parkeringsplats. Detta innebär enligt Garante ett brott mot kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR. Vidare har Atac enligt Garante behandlat personuppgifter i strid med grundprinciperna i artikel 5 GDPR, och utan rättslig grund enligt artikel 6 GDPR. De olika bristerna gjorde att Garante bötfällde Atac med 400 000 euro.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 30 GDPR, art. 32 GDPR

Sanktionsavgift: 400 000 euro

Mottagare: Atac s.p.a.

Beslutsnummer: 9698442

Beslutsdatum: 2021-09-10

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.