Włoski organ ochrony danych osobowych (Garante per la protezione dei dati personali – GPDP) nałożył grzywnę w wysokości 10 000 EUR na Solera Italia S.R.L. za naruszenie ochrony danych osobowych tj. art. 5 RODO. Karę nałożono na skutek skargi złożonej przez byłego pracownika firmy. Skarżący zgłosił, że po ustaniu stosunku pracy jego były pracodawca nadal wykorzystywał jego służbowe adresy mailowe i zapewniał do nich dostęp innym pracownikom. Skarżący twierdził, że w trakcie zatrudnienia nie otrzymał informacji o tym, jak długo będą przetwarzane jego dane osobowe związane ze służbową pocztą elektroniczną.
W odpowiedzi na wniosek o udzielenie informacji wystosowany przez GPDP spółka potwierdziła, że o ile jeden ze służbowych adresów e-mail skarżącego został dezaktywowany po ustaniu stosunku pracy, o tyle drugi pozostał aktywny, aby umożliwić otrzymywanie wiadomości e-mail spoza Solera Italia, oraz że wiadomości e-mail dotyczące obu adresów zostały zachowane na serwerach ze względu na znaczenie obowiązków wykonywanych przez skarżącego.
GPDP stwierdził, że Solera Italia naruszyła zasady przejrzystości i legalności, ponieważ nie udzieliła pracownikom niezbędnych informacji dotyczących przetwarzania danych osobowych w odniesieniu do ich adresów e-mail, w tym ewentualnej kontroli korespondencji w trakcie trwania stosunku pracy i po jego zakończeniu. Skarżącego nie poinformowano również o zakresie przechowywania danych. Spółka nie przestrzegała także zasad minimalizacji danych i ograniczenia ich przechowywania.
Według GPDP firma powinna była zdezaktywować oba adresy e-mail należące do skarżącego oraz ograniczyć przechowywanie danych zawartych w elektronicznej korespondencji. W organizacji nie istniała jednak żadna polityka ani procedura dotycząca wykorzystywania służbowych adresów e-mail.
Określając kwotę grzywny organ nadzorczy wziął pod uwagę jako czynniki obciążające, brak spontanicznego przestrzegania przepisów przez Solera Italia, nawet po wszczęciu postępowania egzekucyjnego, oraz fakt, że przedmiotowe naruszenia dotyczyły ogólnych zasad ochrony danych. Na korzyść ukaranej firmy przemawiał fakt, że niezależnie od wskazanych uchybień dane osobowe nie uległy naruszeniu.
GPDP nałożył wskazaną grzywnę, nakazał publikację swej decyzji na stronie internetowej firmy i zażądał udzielenia informacji o podjętych działaniach naprawczych w terminie 60 dni licząc od dnia wydania decyzji.