Itálie: udělena pokuta 40 000 eur firmě za neoprávněný přístup k e-mailům bývalých zaměstnanců
Itálie: porušení GDPR
Itálie: porušení GDPR

Italský úřad pro ochranu osobních údajů udělil správci údajů pokutu ve výši 40 000 eur, protože získal přístup k e-mailovým účtům tří svých bývalých zaměstnanců v rozporu s článkem 5 odst. 1 GDPR a článkem 13 GDPR.

    GEICO S.p.A., správce údajů, byla v tomto případě zaměstnavatelem tří subjektů údajů. Dva ze tří subjektů údajů podali výpověď na konci března 2019, třetí subjekt údajů podal výpověď na konci května 2019. Jejich e-mailové účty byly deaktivovány krátce po ukončení jejich pracovního poměru. Správce údajů je však nearchivoval, což znamená, že měl stále přístup ke svým e-mailovým účtům, a přesměroval je na jiný účet.

    Subjekty údajů si všimly, že někdo opakovaně přistupuje k jejich e-mailovým účtům i po ukončení jejich pracovních smluv díky automatizovanému systému bezpečnostních oznámení. Subjekty údajů tvrdily, že tím došlo k porušení GDPR, neboť o takovém přístupu nebyly informovány, a proto podaly stížnost italskému úřadu pro ochranu osobních údajů.

    Úřad požádal správce údajů o vysvětlení této záležitosti. Firma ve svých vyjádřeních tvrdilal, že přístup k e-mailovým účtům bývalých zaměstnanců byl nezbytný pro shromáždění informací pro samostatný soudní proces proti nim, neboť vykazovali podezřelé chování, které mohlo firmu potenciálně poškodit. Firma rovněž vysvětlila, že se jednalo o výjimečnou okolnost a takové zpracování bylo nezbytné k ochraně práv firmy v souvislosti se samostatným soudním řízením. Rovněž uvedl, že bývalí zaměstnanci byli v několika sděleních informováni o provozních postupech a zásadách společnosti týkajících se - mimo jiné - nástrojů a služeb IT. Správce údajů uvedl, že s těmito zásadami byly subjekty údajů v těchto sděleních seznámeny.

    Stanovisko

    Úřad pro ochranu osobních údajů rozhodl, že správce údajů porušil zásadu korektnosti a transparentnosti podle čl. 5 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů, neboť rozeslaná sdělení neobsahovala žádné informace o operacích zpracování prováděných správcem údajů po skončení pracovního poměru. Třetí strany se navíc mohly domnívat, že účty již nejsou aktivní, a jejich zprávy se tudíž již nezpracovávají. Správce údajů rovněž neinformoval subjekty údajů o způsobech zpracování a příjemcích jejich osobních údajů, čímž porušil článek 13 GDPR.

    Správce údajů neprokázal, že by se subjekty údajů chovaly podezřele, což by odůvodňovalo jeho jednání. Vzhledem k těmto okolnostem soud rozhodl, že neexistuje žádný náznak konkrétního, výslovného a legitimního účelu samotného zpracování ani jeho trvání. Úřad pro ochranu osobních údajů proto rozhodl, že správce údajů jednal v rozporu se zásadou omezení účelu podle čl. 5 odst. 1 písm. b) nařízení GDPR a zásadou minimalizace údajů podle čl. 5 odst. 1 písm. c) nařízení GDPR. Úřad dále zjistil, že správce porušil rovněž čl. 5 odst. 1 písm. e) nařízení GDPR tím, že ve svých interních zásadách nestanovil dobu trvání zpracování, ale ponechal ji na osobě pověřené řízením instituce, což je v rozporu se zásadou omezení uložení osobních údajů.

    Úřad rovněž rozhodl, že zásady správce údajů, podle nichž jsou e-maily deaktivovaných účtů přesměrovány na libovolné účty určené odpovědnou osobou, a nikoli na jasně instruovanou osobu, jsou v rozporu s čl. 5 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů. Takové jednání totiž neumožňovalo zaručit integritu a důvěrnost shromážděných údajů.

    Pokud jde o sankci, úřad pro ochranu osobních údajů považoval za relevantní povahu a závažnost porušení, jakož i stálou spolupráci správce údajů a absenci předchozích porušení. S ohledem na to italský úřad udělil správci pokutu ve výši 40 000 EUR podle článku 83 obecného nařízení o ochraně osobních údajů.

    Zdroj