Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt sjukhuset Azienda ospedaliera di Perugia med 40 000 euro för överträdelse av artiklarna 5.1 (a), 5.1 (f), 13, 14, 25, 30, 32 och 35 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett granskningen i fråga som en del av en mer omfattande utredningsplan om behandling av personuppgifter som erhållits genom visselblåsarsystem. Enligt Garante genomfördes granskningar på sjukhuset och ISWEB, ett it-företag som tillhandahåller och förvaltar den visselblåsarapplikation som använts av sjukhuset. Garante uppger i sitt beslut att sjukhuset fungerat som personuppgiftsansvarig och it-företaget som personuppgiftsbiträde.
Enligt Garante har sjukhuset behandlat personuppgifter om anställda och andra registrerade genom att använda visselblåsarapplikationen utan att i förväg informera dem om den behandling av personuppgifter som utförts, vilket innebär en överträdelse av artiklarna 5.1 (a), 13 och 14 GDPR.
Garante konstaterade vidare att den webbapplikation för visselblåsning som sjukhuset använde, och som byggde på programvara med öppen källkod vilken kunde nås via system som utan att ha konfigurerats på rätt sätt registrerade och lagrade användarnas webbläsaruppgifter i brandväggens loggar, gjort det möjligt att identifiera användarna inklusive potentiella visselblåsare. Garante ansåg därför att sjukhuset behandlat personuppgifterna på ett sätt som var oförenligt med principerna om integritet och konfidentialitet, inbyggt dataskydd och dataskydd som standard, i strid med artiklarna 5.1 (f) och 25 GDPR, och i avsaknad av lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen, vilket innebär en överträdelse av artikel 32 GDPR.
Garante fastställde dessutom att sjukhuset brutit mot artikel 30 GDPR genom att inte registrera insamling och hantering av visselblåsarrapporter i registret över behandlingsverksamheter, och mot artikel 35 GDPR genom att inte genomföra en konsekvensbedömning avseende dataskydd.
På grundval av dessa överväganden ålade Garante sjukhuset administrativa sanktionsavgifter med 40 000 euro och tog vid kvantifieringen av dessa bland annat hänsyn till det faktum att det vid tidpunkten för granskningen inte funnits några rapporter i visselblåsarapplikationen, att sjukhuset samarbetat fullt ut med Garante under utredningen, samt att sjukhuset snabbt vidtagit tekniska och administrativa åtgärder för att få behandlingen av personuppgifter att överensstämma med gällande dataskyddsregler.
Garante utdömde de ovannämnda sanktionsavgifterna och beordrade att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande påföljd, med hänsyn till den särskilda karaktären hos de personuppgifter som behandlades och de därmed sammanhängande riskerna för uppgiftslämnaren och de andra registrerade i anställningsförhållanden. Slutligen betonade Garante att sjukhuset har 30 dagar på sig att lösa tvisten genom att betala ett belopp som motsvarar hälften av den utdömda påföljden och att sjukhuset inom samma tidsfrist också kan överklaga beslutet till den ordinarie rättsliga myndigheten.