Nutzer und Angestellte der öffentlichen Dienste von Roma Capitale nicht ausreichend geschützt: TuPassi-App und Server entsprechen nicht der GDPR.
500.000 Euro Bußgeld gegen die Stadt Rom. Nach Ansicht der Datenschutzbehörde war die Verarbeitung von Nutzer- und Mitarbeiterdaten durch "TuPassi", das von Roma Capitale verwendete Terminbuchungssystem, nicht transparent und entsprach nicht den geltenden Vorschriften.
Die Maßnahme erfolgt nach Abschluss der Voruntersuchung, die im Anschluss an die von der Datenschutzbehörde durchgeführten Kontrollen der von der Stadt Rom für die Buchung verschiedener Arten von Dienstleistungen verwendeten Systeme durchgeführt wurde. Die Operation wurde von der Spezialeinheit der Guardia di Finanza für den Schutz der Privatsphäre und technologischen Betrug durchgeführt. Es wurden mehrere Unregelmäßigkeiten festgestellt, obwohl die vorangegangene Maßnahme zu demselben Thema bereits aus dem Jahr 2019 stammt. Bereits im März vor zwei Jahren hatte der Garant eine negative Stellungnahme zu der von Roma Capitale über "TuPassi" durchgeführten Datenverarbeitung abgegeben und einige Korrekturmaßnahmen gefordert, um den europäischen Vorschriften zu entsprechen.
Datenschutzgarant gegen die Stadt Rom, festgestellte Unregelmäßigkeiten
Wie erwartet, lag der Schwerpunkt der Unregelmäßigkeiten auf der Verarbeitung personenbezogener Daten - einschließlich sensibler Daten - von Nutzern, die über "TuPassi" Reservierungen für Gesundheitsdienste oder Schaltertermine vornahmen. Zu den verfügbaren Kanälen gehören neben der App und der speziellen Website auch die Totems, die in den Büros der öffentlichen Verwaltung und bei den Fachleuten des Kreises erhältlich sind.
Wie die Untersuchung ergab, speicherte das System eine große Anzahl von Referenzen der Bürger, einschließlich persönlicher Daten, Datum und Uhrzeit der Buchung und Art der Dienstleistung, auf den Servern von Roma Capitale für eine lange Zeit. Auch für die Beschäftigten war die Situation in mehrfacher Hinsicht unklar: So wurden tägliche Berichte mit den Einzelheiten der Arbeitstätigkeit (Datum der Anfrage, gebuchte Dienstleistung, Name des für die Bearbeitung der Anfrage zuständigen Mitarbeiters, Anruf- und Wartezeit) aufgezeichnet und erstellt, ohne dass die durch das Statut der Arbeitnehmerrechte eingeführten Garantien bezüglich der Fernsteuerung gegeben waren.
Erschwerend kam hinzu, dass es entgegen den Bestimmungen der geltenden EU-Verordnung weder für die Nutzer noch für die Beschäftigten Informationen über die Verarbeitung dieser Informationen gab. Unter die Lupe genommen wurden auch die technischen und organisatorischen Maßnahmen der Behörde, die nach Ansicht der Aufsichtsbehörde unzureichend waren, und die sich außerdem schuldig gemacht hatte, die Beziehungen zu dem Lieferunternehmen nicht ordnungsgemäß geregelt zu haben. Für letztere verhängte der Garante in einer separaten Maßnahme auch eine Geldstrafe in Höhe von 40.000 Euro im Zusammenhang mit ihrer Rolle als Inhaberin der Verarbeitung der personenbezogenen Daten von Nutzern und Mitarbeitern und den damit verbundenen Tätigkeiten.
Datenschutzgarant gegen die Stadt Rom, wie geht es weiter?
Um das Buchungssystem "TuPassi" wieder nutzen zu können, hat die Behörde alle notwendigen Aktualisierungen zum Schutz der Daten der Betroffenen, nämlich der Nutzer und Mitarbeiter von Roma Capitale, beantragt. Der Garantiegeber hat auch eine Reihe von Hinweisen gegeben, die zu beachten sind, damit der Dienst den geltenden Vorschriften entspricht.