Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 24 000 euro mot Azienda Unitá Sanitaria Locala della Romagna för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in en ansökan till Azienda Unitá Sanitaria Locala della Romagna för att få status som funktionshindrad person eftersom hon är HIV-positiv, då nationell rätt ger en familjemedlem till personen i fråga rätt att ta ledigt från sitt arbete några dagar för att ta hand om den funktionshindrade personen. Den registrerades svärson, som arbetade i ett fängelse, ansökte därför om dessa lediga dagar hos sin arbetsgivare. Vårdgivaren skickade hela intyget om den registrerades status som funktionshindrad till arbetsgivaren, inklusive den del som innehöll HIV-diagnosen.
Den registrerade lämnade in ett klagomål till Garante och hävdade att det var olagligt att överföra hela intyget till hennes svärsons arbetsgivare. Vårdgivaren hävdade att överföringen skedde på grund av ett mänskligt misstag under en period då många anställda inte arbetade på grund av en covidinfektion.
Garante konstaterade att det enligt artikel 9.1 GDPR i princip är förbjudet att behandla personuppgifter som rör hälsa. Garante noterade dock att det i artikel 9.2 (h) GDPR införts ett undantag från detta förbud när behandlingen är nödvändig för att tillhandahålla hälso- och sjukvård. Garante noterade också att arbetsgivare som är offentliga förvaltningar enligt nationell lagstiftning är skyldiga att kontrollera om de påståenden som deras anställda gör är sanningsenliga. Garante ansåg emellertid att denna skyldighet måste tolkas mot bakgrund av de allmänna principer som anges i artikel 5 GDPR och, mer specifikt, principerna om uppgiftsminimering samt integritet och konfidentialitet.
När det gäller principen om uppgiftsminimering ansåg Garante om att det i det aktuella fallet inte var nödvändigt att lämna ut HIV-diagnosen till arbetsgivaren, eftersom det hade varit tillräckligt att bara veta att intyget utfärdats för att säkerställa att förklaringen var sanningsenlig. Därför konstaterades en överträdelse av principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR.
Garante ansåg också att vårdgivaren inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som var lämplig med hänsyn till risken, eftersom vårdgivaren borde ha gett sina anställda mer specifika instruktioner om hur de skulle agera när de hanterade uppgifter om HIV. Garante konstaterade därför en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och och kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR.