Włoski organ ochrony danych („Garante”) nałożył na Region Lazio grzywnę w wysokości 100 000 EUR w następstwie skargi złożonej przez związek zawodowy FEDIRETS.
Związek złożył skargę na działania monitorujące prowadzone przez Region w stosunku do pracowników zatrudnionych w dziale prawnym. Monitoring miał miejsce w ramach kontroli wewnętrznej, którą Region rozpoczął w związku z podejrzeniem ewentualnego nieuprawnionego ujawnienia osobom trzecim informacji chronionych tajemnicą służbową.
W celu zbadania i wyjaśnienia powyższej kwestii administrator zlecił spółce LAZIOcrea S.p.A., działającej w charakterze podmiotu przetwarzającego dane, przeprowadzenie kontroli metadanych związanych z korzystaniem ze służbowych kont poczty elektronicznej przez pracowników. Kontrola obejmowała daty i godziny korespondencji, tożsamość nadawców, odbiorców, tematy i rozmiary wiadomości e-mail, co pozwoliło administratorowi uzyskać informacje dotyczące sfery prywatnej pracowników, takie jak ich opinie, kontakty i inne informacje niezwiązane z pracą.
Garante stwierdził, że Region Lazio przetwarzał tak szeroki zakres danych osobowych bez podstawy prawnej i z naruszeniem krajowych przepisów dotyczących zdalnego monitorowania pracowników i gromadzenia danych.
W świetle stwierdzonych naruszeń Garante nałożył na Region grzywnę w wysokości 100 000 EUR, biorąc pod uwagę m.in. charakter przetwarzania danych i długi czas prowadzenia tak wnikliwego i szeroko zakrojonego monitoringu poczty służbowej.
Garante nałożyła na Region wspomnianą grzywnę i nakazała mu:
- zaprzestanie jakiegokolwiek przetwarzania metadanych dotyczących korzystania z poczty elektronicznej przez pracowników;
- usunięcie danych osobowych zgromadzonych niezgodnie z prawem oraz
- poinformowanie o środkach podjętych w celu wykonania decyzji w terminie 30 dni.