Talijansko nadzorno tijelo je kaznilo Autostrade per l'Italia s 420.000 eura zbog nezakonite obrade osobnih podataka zaposlenika za potrebe disciplinskog postupka. Podaci su uključivali snimke zaslona s računa zaposlenika na društvenim mrežama i privatnu komunikaciju.
Autostrade per l’Italia S.p.A. (voditelj obrade) je privatna tvrtka koja održava dio talijanskog autocestovnog sustava.
Voditelj obrade je primio snimke zaslona poruka zaposlenika (ispitanika) putem Messengera i WhatsAppa, kao i snimku zaslona sadržaja koji je podijeljen na Facebooku. Voditelj obrade je koristio dobivene informacije u disciplinskom postupku i otpustio ispitanika.
Ispitnik je podnio pritužbu, tvrdeći da su njegovi osobni podaci nezakonito obrađeni.
Nadzorno tijelo je utvrdilo da je voditelj obrade prekršio članke 5(1)(a)(b)(c), 6 i 88 GDPR-a, kao i članak 113 d. lgs. 193/2003.
Talijansko nadzorno tijelo izreklo je kaznu od 420.000 eura. Smatralo da je kršenje voditelja obrade ozbiljno te je napomenulo da je voditelj obrade već kažnjen zbog kršenja propisa vezanog uz obradu podataka zaposlenika.
Poslodavac je obrađivao osobne podatke- nema utjecaja je li aktivno ili ne voditelj obrade prikupljao informacije
Voditelj obrade je tvrdio da nije obrađivao osobne podatke jer je samo primio informacije, a ne prikupljao ih. Naprotiv, nadzorno tijelo je smatralo da korištenje podataka u disciplinskom postupku protiv ispitanika predstavlja obradu osobnih podataka. Nije važno što voditelj obrade nije aktivno prikupljao informacije.
Obrada je bila nezakonita i pretjerana
Talijansko nadzorno tijelo smatralo je da je voditelj obrade obrađivao osobne podatke bez pravne osnove. Konkretno, odbačen je argument da se obrada temelji na legitimnom interesu voditelja obrade za upravljanje radnim odnosom i izvršavanje njegovih ovlasti kao poslodavca, iz nekoliko razloga.
Prvo, voditelj obrade tvrdi da je prethodno proveo „test ravnoteže“ (tj. da je procijenio je li njegov legitimni interes veći od interesa i temeljnih prava i sloboda ispitanika). Međutim, nije uspio dokazati ni ovu tvrdnju, kako to zahtijeva načelo odgovornosti (5(2) GDPR-a).
Drugo, voditelj obrade nije uspio dokazati da je obrada bila nužna za navedenu svrhu. Nadzorno tijelo je posebno istaknuo da se disciplinski postupak nije u potpunosti temeljio na snimki zaslona, već se temeljio i na drugim elementima, uključujući prošlo ponašanje ispitanika na radnom mjestu. Međutim, voditelj obrade nije ni razmatrao mogućnost pokretanja disciplinskog postupka bez korištenja snimaka zaslona koje je primio.
Na kraju, nadzorno tijelo je istaknulo da prema talijanskom radnom zakonu poslodavci ne smiju istraživati bilo koji aspekt osobnog života zaposlenika koji nije relevantan za radni odnos. U ovom slučaju, nadzorno tijelo je utvrdilo da je voditelj obrade prekršio ovu zabranu. Stoga je zaključilo da je obrada podataka nezakonita, kao i pretjerana, kršeći članak 5(1)(a)(b)(c) GDPR-a.
Nužno je voditi računa o tome da se načelo zakonitosti GDPR-a mora tumačiti u svjetlu domaćih pravila/propisa koja ograničavaju nadzorne ovlasti poslodavca (posebno članak 8. l. 300/1970). Ako se takva pravila prekrše, tada se krši i načelo zakonitosti GDPR-a.
