Podstawa prawna naruszenia

Art. 5 ust. 1 pkt. a), art. 6 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Naruszenie dotyczyło niezgodnego z prawem przetwarzania danych osobowych przez Region Lazio, polegającego na monitorowaniu metadanych związanych z korzystaniem z poczty elektronicznej przez pracowników bez odpowiednich podstaw prawnych i procedur.

Opis wydarzeń

1. Wprowadzenie: Region Lazio, w odpowiedzi na podejrzenia o ujawnienie poufnych informacji przez pracowników, zlecił firmie LazioCrea kontrolę nad metadanymi e-maili pracowników.
2. Działania kontrolne: Kontrola obejmowała analizę metadanych takich jak nadawca, odbiorca, temat i rozmiar wiadomości e-mail, bez dostępu do treści wiadomości.
3. Brak podstaw prawnych: Kontrola została przeprowadzona bez formalnej zgody pracowników, odpowiednich procedur oraz bez informowania pracowników o możliwości takich działań.
4. Odpowiedź Regionu: Region argumentował, że działania były konieczne dla zapewnienia bezpieczeństwa danych i ochrony interesów publicznych, jednak brakowało formalnych podstaw prawnych i odpowiednich procedur.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wdrożenie odpowiednich procedur: Konieczne jest wprowadzenie formalnych procedur i polityk dotyczących monitorowania poczty elektronicznej oraz informowanie pracowników o możliwości takich działań.
2. Ocena skutków: Przed przystąpieniem do przetwarzania danych, które mogą stanowić wysokie ryzyko dla praw i wolności osób fizycznych, należy przeprowadzić ocenę skutków dla ochrony danych.
3. Szkolenia dla pracowników: Zaleca się przeprowadzenie szkoleń dla pracowników na temat ochrony danych osobowych i zasad korzystania z narzędzi informatycznych.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu