Der Datenschutzbeauftragte hat die Region Latium mit einer Geldstrafe von 100.000 Euro belegt, weil sie die E-Mails von Mitarbeitern über die regionale Tochtergesellschaft Lazio Crea gelesen hat.Hier sind alle Details
Die Region Latium hat ihre Mitarbeiter „ausspioniert“ und aus diesem Grund hat der Datenschutzgarant eine Geldstrafe von 100.000 Euro verhängt. So steht es in der einstweiligen Verfügung gegen die Region Latium vom 1. Dezember 2022 .
DIE FAKTEN: DER BERICHT DER FEDIRETS UNION
Der Fall ergibt sich aus dem Bericht der autonomen Gewerkschaft Fedirets (Verband der Manager und Manager von Gebietskörperschaften und Gesundheit), der feststellte, dass die Region Latium „eine Überprüfung der E-Mails der Anwälte der Regionalverwaltung durchgeführt hätte, die den Manager von die IT-Netzwerke der Region […] eine Kontrolle der ausgehenden Postströme aus den institutionellen Postfächern, die den Anwälten der regionalen Interessenvertretung zugeordnet sind". Das Land hätte diverse Informationen wie „ Absender, Betreff und Empfänger der versendeten E-Mails sowie Aufklärung und Abwägung etwaiger Anhänge der E-Mails selbst “ in den E-Mail-Postfächern „aller Rechtsanwälte der Landesverwaltung“ ausgewertet, ohne dies zu tun es gebe „objektive Gründe für die Durchführung einer so massiven und wahllosen Kontrolle“.
DIE KONTROLLE DER KORRESPONDENZ VOM GENERALSEKRETÄR BESCHLOSSEN
Verantwortlich für die Überprüfung der fraglichen E-Mails wäre der Arbeitgeber gewesen, also der Direktor der Regionaldirektion „Organisation und Personal“ . Sie wäre vom Generalsekretär informell beantragt worden, ohne „Urkunde [oder] Verwaltungsvorschrift zur Ermächtigung“ der Kontrolle und in Ermangelung „ regulierender Verfahren und Richtlinien für die Nutzung von E-Mail und Internet“. Außerdem wurden den Arbeitnehmern keine Informationen über die Möglichkeit zur Durchführung von E-Mail-Kontrollen gegeben.
LAZIO ERSTELLT MATERIAL, DAS FÜR DIE VERLETZUNG DER PRIVATSPHÄRE VERANTWORTLICH IST
Die Kontrolle wurde nicht von der Region durchgeführt, sondern von Lazio Crea, der Inhouse-Gesellschaft der Regionalverwaltung . Lazio Crea ist mit den Aktivitäten „Planung, Umsetzung und Verwaltung der regionalen Strategie der Digitalen Agenda, einschließlich des regionalen Informationssystems“ betraut. Der Datenschutzgarant betont in seiner Verordnung, dass in den von der Region Latium an das Unternehmen gesendeten Anweisungen angegeben wurde, dass im Falle der Notwendigkeit einer Verarbeitung personenbezogener Daten „ anders und außergewöhnlich als die normalerweise durchgeführten “ Lazio Crea die „Daten Verantwortlicher und Datenschutzbeauftragter (DSB) der Region Latium“. Unter anderem bewahrte Lazio Crea die gesammelten Daten praxisgerecht 180 Tage lang auf, bevor sie alles endgültig löschte.
DIE VERTEIDIGUNGSLINIE DER REGION LAZIO BEI DER VERLETZUNG DER PRIVATSPHÄRE
Die Region Latium hat eine Verteidigungslinie eingeführt, in der sie die Legitimität der Kontrolle als „notwendig für die Ausführung einer Aufgabe von öffentlichem Interesse oder im Zusammenhang mit der Ausübung öffentlicher Befugnisse, die dem für die Datenverarbeitung Verantwortlichen übertragen wurden“ hervorgehoben hat. Die Regionalverwaltung führte eine Ex-post-Bewertung durch „beim Vorliegen eines begründeten Verdachts auf rechtswidriges Verhalten einiger Anwälte der regionalen Interessenvertretung, die in der Offenlegung von amtlichen Informationen unter Geheimhaltungsauflagen an Dritte bestand“.
DATEN DER MITARBEITER DER REGION LAZIO WERDEN 180 TAGE AUFBEWAHRT
Der Bürge stellte jedoch fest, dass die Region in Ermangelung geeigneter rechtlicher Bedingungen die Überwachung des Anwaltspersonals durchführen und die gespeicherten Daten für allgemeine IT-Sicherheitszwecke 180 Tage lang nutzen konnte, wodurch gegen die Grundsätze des Datenschutzes und der Ferne verstoßen wurde Kontrollregeln.
POST IST DURCH DIE VERFASSUNG GESCHÜTZT
Artikel 15 unserer Verfassung besagt, dass „ die Freiheit und das Geheimnis des Briefverkehrs und jeder anderen Form der Kommunikation unantastbar sind “. Ausgehend von der Verfassungsbestimmung hat der Garant für den Schutz personenbezogener Daten klargestellt, dass „die pauschale Erhebung und umfassende Aufbewahrung von E-Mail-Metadaten“ für die „Erbringung der Dienstleistung“ des Arbeitnehmers nicht maßgeblich sind. Besteht die Notwendigkeit, auf die per E-Mail übermittelten Informationen zuzugreifen, „ muss der Arbeitgeber die gesetzlich vorgesehenen besonderen Gewährleistungsverfahren (Gewerkschaftsvereinbarung oder behördliche Genehmigung) einleiten “. Darüber hinaus hat die Verarbeitung personenbezogener Daten es dem Arbeitgeber ermöglicht, „Informationen zu erhalten, die sich auch auf die Privatsphäre von Arbeitnehmern beziehen, ausgehend von ihren Meinungen, Kontakten und Tatsachen, die sich nicht auf die Arbeitstätigkeit beziehen“.
EINE STRASSE VON 100 TAUSEND EURO FÜR DIE REGION LAZIO WEGEN VERLETZUNG DER PRIVATSPHÄRE
Der Bürge beschloss daher, die Region mit einer Geldstrafe von 100.000 Euro zu bestrafen . Außerdem untersagte es der Region Latium „jede weitere Verarbeitung von Metadaten im Zusammenhang mit der Nutzung der E-Mail-Adresse von Arbeitnehmern“ und legte fest, dass die unrechtmäßig gesammelten Daten gelöscht werden müssen.
Dies ist eine Übersetzung eines Artikels, der am Tue, 20 Dec 2022 12:29:11 +0000 im italienischen Blog Start Magazine unter der URL https://www.startmag.it/cybersecurity/il-garante-per-la-privacy-multa-la-regione-lazio-per-aver-letto-le-mail-dei-dipendenti/ veröffentlicht wurde.