Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 20 000 euro mot ett företag för olaglig behandling av barns hälsouppgifter i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att Garante har tagit emot ett klagomål avseende behandling av personuppgifter inom en kommunal förskoleverksamhet i en italiensk kommun. Klaganden gjorde gällande att företaget, som på uppdrag av kommunen tillhandahåller tjänster för skolinkludering, i samband med en facklig strejk hade skickat ett Excel-dokument till kommunen med flera flikar. Utöver uppgifter om personalens deltagande i strejken innehöll vissa flikar detaljerade och känsliga personuppgifter om barn med funktionsnedsättning och särskilda behov, däribland namn, födelsedata, medborgarskap, uppgifter om diagnoser, certifieringar samt anteckningar om tilldelade stödresurser.
Utredningen visade att företaget agerade som personuppgiftsbiträde enligt artikel 28 GDPR, medan kommunen var personuppgiftsansvarig. I samband med den aktuella strejken skickade företaget av misstag filer som innehöll fler uppgifter än vad som var nödvändigt för det avsedda ändamålet, nämligen att informera om tillfälliga serviceavbrott. Utskicket skedde utan att tillräckliga tekniska och organisatoriska säkerhetsåtgärder hade vidtagits. De aktuella uppgifterna avsåg minderåriga och omfattade dessutom särskilda kategorier av personuppgifter i form av hälsouppgifter.
Företaget invände att uppgifterna endast hade delats med personer som redan var behöriga att behandla dem samt att informationsutbytet skett i enlighet med de rutiner och format som kommunen tidigare tillämpat.
Myndighetens bedömning
Garante konstaterade att företaget, i samband med ett e-postutskick, obehörigen hade tillgängliggjort hälsouppgifter avseende ett betydande antal minderåriga utan att ha vidtagit tillräckliga tekniska och organisatoriska skyddsåtgärder och i strid med de instruktioner som lämnats av kommunen. Företaget hade därmed behandlat personuppgifter i strid med artiklarna 28.3 och 32.1 GDPR.
Praktiska konsekvenser
Beslutet visar att organisationer måste säkerställa att personuppgiftsbiträden endast behandlar personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och att tekniska och organisatoriska säkerhetsåtgärder är anpassade till den typ av uppgifter som behandlas. Särskild försiktighet krävs när behandlingen omfattar uppgifter om minderåriga och känsliga personuppgifter, såsom hälsouppgifter.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.