Uživatelé a zaměstnanci veřejných služeb hlavního města Říma nejsou dostatečně chráněni: aplikace a server TuPassi nejsou v souladu s GDPR.
Pokuta 500 000 eur proti římskému magistrátu. Podle Garante pro ochranu osobních údajů nebylo zpracování informací o uživatelích a zaměstnancích prováděné prostřednictvím systému "TuPassi", který používá město Roma Capitale, transparentní a nebylo v souladu s platnými předpisy.
Toto opatření přichází po ukončení předběžného šetření, které následovalo po kontrolách provedených Garante v systémech používaných městem Řím k rezervaci různých druhů služeb. Operaci provedla speciální jednotka Guardia di Finanza pro ochranu soukromí a technologické podvody. Bylo zjištěno několik nesrovnalostí, přestože předchozí opatření týkající se stejné záležitosti pochází z roku 2019. Také před dvěma lety v březnu se garant negativně vyjádřil ke zpracování údajů, které prostřednictvím "TuPassi" provádí společnost Roma Capitale, a požadoval některá nápravná opatření, aby byla v souladu s evropskými předpisy.
Garant ochrany soukromí proti Magistrátu města Říma, zjištěná pochybení
Jak se předpokládalo, těžištěm pochybení bylo zpracování osobních údajů - včetně citlivých údajů - uživatelů, kteří si prostřednictvím "TuPassi" rezervovali zdravotní služby nebo termíny u přepážky. Mezi dostupné kanály patří kromě aplikace a specializovaných webových stránek také totemy dostupné na úřadech veřejné správy a u profesionálů na obvodě.
Jak ukázalo vyšetřování, systém dlouhodobě ukládal na serverech Roma Capitale velké množství referencí občanů, včetně osobních údajů, data a času rezervace a typu služby. Pro zaměstnance byla situace také nejasná: denně se totiž zaznamenávaly a vytvářely výkazy s podrobnostmi o pracovní činnosti (datum požadavku, objednaná služba, jméno zaměstnance pověřeného vyřízením požadavku, doba hovoru a čekání), aniž by byly zajištěny záruky zavedené statutem zaměstnanců ohledně dálkové kontroly.
K horší situaci přispělo i to, že v rozporu s platným nařízením EU neexistovaly žádné informace o zpracování těchto informací, a to ani pro uživatele, ani pro zaměstnance. Pod lupou se ocitla také technická a organizační opatření úřadu, která byla podle regulačního úřadu považována za nedostatečná a který se rovněž provinil tím, že řádně neřídil vztahy s dodavatelskou společností. Tomu Garante v samostatném opatření uložil také pokutu ve výši 40 000 eur v souvislosti s jeho rolí vlastníka zpracování osobních údajů uživatelů a zaměstnanců a s tím souvisejícími činnostmi.
Garant soukromí proti Magistrátu města Říma, co bude dál?
Aby bylo možné obnovit používání rezervačního systému "TuPassi", vyžádal si Úřad všechny nezbytné aktualizace k ochraně soukromí dotčených osob, tedy uživatelů a zaměstnanců Roma Capitale. Ručitel rovněž poskytl řadu údajů, které je třeba dodržovat, aby služba byla v souladu s platnými předpisy.