В Италия това докара на застрахователна компания глоба от 50 000 евро
Италианският надзорен орган за защита на личните данни (Garante per la protezione dei dati personali) публикува в бюлетина си решение по жалба на бивш служител на застрахователна компания, който е поискал копие от имейлите на компанията си и документите, запазени на компютъра му. В решението пише:
С жалбата, подадена …на 20.07.2023 г., г-н XX е съобщил за нарушение на разпоредбите за защита на личните данни, въведени от (наричана по-долу „Дружеството“), неговия бивш работодател, състоящо се по-специално в отговора, счетен за неподходящ за искането за упражняване на правата, формулирани съгласно чл. 15 от Регламента.
По-специално, жалбоподателят заяви, че след прекратяване на трудовото му правоотношение с Дружеството, той е поискал достъп до личните си документи и папки на своя компютър и на индивидуалния имейл адрес на компанията, използван по време на трудовото му правоотношение (сертифицирани имейли от 02.05.2022 г. и 09.05.2022 г.).
По време на срещите, проведени в централата на компанията на 6 май 2022 г. и 26 май 2022 г., компанията разреши достъп до настолни компютри и извличане на лични документи, но достъпът до имейл беше отказан поради неуточнени технически причини.
По време на срещата, проведена на 16 юни 2022 г., компанията показва „само лична поща, като например размяна на съобщения с членове на семейството, лични потребителски кредити и възстановяване на разходи“, докато „други имейли, свързани със работата, и/или документи, счетени от представителите на ITAS за нелични“, не бяха доставени (протокол от срещата от 16 юни 2022 г.).
Компанията е получила достъп до имейла на бившия служител и след проверка на съдържанието е предоставила само съобщенията, считани за „строго лични“, с изключение на тези, свързани с работата.
Според италианския орган за защита на данните правото на достъп се отнася за всички лични данни, включително комуникациите, обменяни чрез индивидуализиран фирмен акаунт. Следователно е незаконно предварително да се избира съдържанието, което ще бъде предоставено, нито да се ограничава или замъглява въз основа на разграничението между личен и професионален контекст.
Органът също така установи критични проблеми в управлението на данните, по-специално липсата на прозрачност по отношение на информацията и периодите на съхранение на имейли (5 години) и данни за сърфиране (12 месеца), които бяха счетени за несъразмерни на посочените цели.
За установените нарушения е наложена глоба от 50 000 евро. Органът също така е разпоредил пълен достъп до поисканите данни и адаптиране на вътрешната информация и политики към законодателството за поверителност.
Ето и още текст от решението:
В светлината на гореизложеното, решението на Дружеството да провери предварително съдържанието на имейлите, съхранявани в индивидуалния имейл акаунт на субекта на данните, за да ограничи достъпа до строго лични комуникации, трябва да се счита за противоречащо на принципите за защита на личните данни. Това решение се основаваше на погрешното убеждение, че кореспонденцията, съхранявана в служебния акаунт, е единствена и изключителна собственост на Дружеството.
В тази връзка, предвид определенията за „лични данни“ и „обработване“ в член 4, параграфи 1 и 2 от Регламента, които задължително включват и данни, свързани с трудова дейност, комуникациите, пренасяни по индивидуализиран акаунт, неизбежно се дължат на личните данни на титуляра на акаунта.
Освен това, допълнителното замъгляване и анонимизиране, извършено от Дружеството върху съдържанието на кореспонденцията на жалбоподателя, в отговор на необходимостта от защита на правата на трети страни и фирмените тайни, съдържащи се в имейлите, също трябва да се счита за незаконно.