GPDP verhängt 300.000 Euro Bußgeld gegen INPS
Italien: Das italienische Nationale Institut für Soziale Sicherheit INPS war mit der Prüfung und Auszahlung von COVID-19-Hilfsgeldern beauftragt. Nachdem Medienberichte die Datenverarbeitungspraxis des Instituts rund um die Antragsprüfung von Politikern problematisiert hatten, nahm die italienische Datenschutzbehörde im August 2020 Ermittlungen gegen die INPS auf. Dabei brachte die Untersuchung gleich mehrere Datenschutzverstöße zutage.
Der Bußgeldempfänger hatte Daten zu mehreren zehntausend Politikern (sowohl von Parlamentsabgeordneten als auch von Lokal- und Regionalpolitikern) und aus öffentlichen Quellen zusammengetragen und mit den Daten von Antragstellern abgeglichen. Dabei hatte das INPS allerdings versäumt sicherzustellen, dass nur Daten von denjenigen Politikern gesammelt wurden, die überhaupt berechtigt für den Empfang der Hilfszahlungen waren. Dadurch hat der Verantwortliche gegen das Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz verstoßen.
Auch hatte das INPS die aus den öffentlichen Quellen verschafften Daten zur Identifikation von Personen verwendet, ohne dass diese dafür eine hinreichende Grundlage bildeten. So enthielten die öffentlich verfügbaren Datensätze nicht die Steuernummern der Betroffenen. Diese wurden von der Behörde zwar nach einem im italienischen Gesetz verankerten Muster aus den verfügbaren Daten (Name, Geburtsort, Geburtsdatum) rekonstruiert, jedoch war eine solche Rekonstruktion uneindeutig und fehleranfällig. Dies konnte zur Falsch- oder Nichtzuordnung zwischen Antragsstellern und Politikern führen, worin die Datenschutzbehörde eine Verletzung des Prinzips der Richtigkeit sah.
Ferner hatte der Bußgeldempfänger das Prinzip der Datenminimierung verletzt, da er Kontrollen von Rückzahlungen auch für Personen veranlasst hatte, deren Anträge abgelehnt wurden und die daher nie Zahlungen erhalten hatten.
Des Weiteren hatte das Institut keine datenschutzfreundlichen Voreinstellungen verwendet und keine Datenschutz-Folgeabschätzung durchgeführt, obwohl dies angesichts der im Rahmen der Antragsprüfung verarbeiteten, sensiblen Daten der Betroffenen erforderlich gewesen wäre. Außerdem hatte das Institut grundsätzlich die ihm obliegende Rechenschaftspflicht verletzt. Es war nicht in der Lage nachzuweisen, dass die von ihm durchgeführte Verarbeitung personenbezogener Daten datenschutzkonform erfolgt war. .
Veröffentlicht am: 09-03-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.