ACRESIA

Okolnosti

Dne 3. července 2020 subjekt údajů oznámil svému zaměstnavateli, správci, že chce ukončit pracovní smlouvu. V dohodě se dohodli, že smlouva skončí 31. července 2020.

V témže měsíci provedl zpracovatel, který pro správce spravoval informační systémy, technickou kontrolu, aby zajistil bezpečný přenos údajů po logistickém přesunu sídla správce. Během kontroly zpracovatel zjistil masivní stahování přibližně 600 souborů ze svých serverů a ověřil, že bylo provedeno prostřednictvím firemního účtu subjektu údajů. Zpracovatel tuto skutečnost sdělil správci, který rozhodl o zablokování přístupu subjektu údajů k serverům i k jeho služebnímu e-mailu.

Nespokojený subjekt údajů podal stížnost u italského úřadu pro ochranu údajů a tvrdil, že ještě v průběhu trvání pracovní smlouvy došlo ke změně přihlašovacích údajů pro přístup k jeho pracovnímu e-mailu, což mu znemožnilo přístup k jeho vlastním osobním údajům. Správce zase tvrdil, že má oprávněný zájem na zachování obchodního tajemství a na tom, aby nedocházelo k porušování ochrany údajů. Kromě toho tvrdil, že služební účet lze podle interních předpisů používat pouze k pracovním činnostem, nikoli k soukromým účelům.

Stanovisko

Po zjištění skutečností italský úřad pro ochranu údajů zjistil, že vnitřní předpisy výslovně nestanoví provádění kontrol zaměřených na ověření dodržování pravidel společnosti. Proto rozhodl, že správce porušil článek 13 obecného nařízení o ochraně osobních údajů tím, že subjekt údajů předem neinformoval o konkrétních účelech a metodách interních kontrol, jakož i o možnosti zablokovat přístup zaměstnanců k jejich firemním účtům. Úřad pro ochranu osobních údajů dále uvedl, že informování zaměstnanců o činnostech zpracování osobních údajů představuje vyjádření zásady korektnosti stanovené v čl. 5 odst. 1 písm. a) nařízení GDPR, kterou správce v daném případě rovněž porušil. Z výše uvedených důvodů uložil úřad pro ochranu údajů správci pokutu ve výši 15 000 EUR.

Zdroj