Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 8 000 euro mot Azienda Sanitaria Provinciale di Enna för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Azienda Sanitaria Provinciale di Enna anordnat ett offentligt urvalsförfarande för externa jurister. De sökande, däribland den registrerade, samtyckte till att deras personuppgifter behandlades i samband med urvalsförfarandet. Resultatet av urvalet publicerades online på en icke-indexerad webbsida. På sidan angavs namnen på 20 jurister vars ansökningar hade avslagits och skälet till avslaget.
Den registrerade kontaktade Azienda Sanitaria Provinciale di Enna och hävdade att hans personuppgifter har offentliggjorts utan rättslig grund. I detta sammanhang begärde han också att uppgifterna skulle raderas. Azienda Sanitaria Provinciale di Enna svarade inte på begäran. Den registrerade lämnade därefter in ett klagomål till Garante. Azienda Sanitaria Provinciale di Enna raderade uppgifterna efter att den registrerade har lämnat in klagomålet.
Garante konstaterade att den registrerades samtycke inte lämnats frivilligt och att offentliggörandet av uppgifterna inte föreskrevs i lag. Enligt Garante utgör detta en överträdelse av artiklarna 5.1 (a) och 6 GDPR. Garante konstaterade även att Azienda Sanitaria Provinciale di Enna inte svarat på den registrerades begäran om radering, vilket utgör en överträdelse av artikel 17 GDPR.
I sitt beslut påpekade Garante att offentliga organ inte bör behandla personuppgifter med samtycke som rättslig grund på grund av maktobalansen i förhållande till de registrerade. Offentliga organ bör i stället förlita sig på uppgift av allmänt intresse eller myndighetsutövning enligt artikel 6.1 (e) GDPR som rättslig grund.