Włoski organ ochrony danych osobowych (Garante per la protezione dei dati personali – GPDP) nałożył na firmę Ica s.r.l grzywnę w wysokości 30 000 EUR za naruszenie art. 5 ust. 1 lit. f) i art. 32 RODO. Firma działająca w charakterze podmiotu przetwarzającego poniesie odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych.
Decyzja jest efektem kontroli zainicjowanej przez skargę dotyczącej usługi płatności online. Firma Ica s.r.l dostarczała jednej z włoskich gmin oprogramowanie umożliwiające dokonywanie tego typu transakcji i przetwarzała w jej imieniu dane osobowe płatników. Gmina wykorzystywała usługę do pobierania należności wynikających z grzywien nałożonych na obywateli. W trakcie eksploatacji oprogramowania zidentyfikowano błąd, który umożliwiał dostęp do danych osobowych mieszkańców gminy dokonujących zdalnych płatności za pośrednictwem tej usługi.
Przy ocenie stopnia naruszenia wzięto pod uwagę następujące okoliczności:
- naruszenie trwało przez krótki okres,
- naruszenie nie dotyczyło znacznej liczby osób,
- podmiot przetwarzający podjął natychmiastowe działania w celu zaradzenia naruszeniu i złagodzenia ewentualnych negatywnych skutków, współpracując przy tym z z administratorem danych osobowych,
- firma współpracowała z organem nadzorczym w trakcie kontroli,
- podmiot przetwarzający nie dopuścił się wcześniej naruszenia ochrony danych osobowych.