Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Sardiniens hälsoskyddsmyndighet (ATS) med 8 000 euro för överträdelse av artiklarna 5.1 (f) och 9 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante fått in ett klagomål mot centret för psykisk hälsa i en stad på Sardinien, som är en del av ATS, då centret lagt in klagandens patientjournal i dokumentation som levererats till en tredje part. Som svar lämnade Garante därefter in en begäran om information till ATS, som bland annat bekräftade att informationsutbytet orsakats av ett mänskligt misstag.
Efter en genomgång av de inlämnade svarshandlingarna samt en kompletterande utfrågning konstaterade Garante att ATS lämnat ut klagandens hälsouppgifter till en tredje part utan att uppfylla de rättsliga kraven i artikel 9 GDPR och i strid med principen om integritet och konfidentialitet som fastställs i artikel 5.1 (f) GDPR.
Vidare framhöll Garante vid fastställandet av sanktionsbeloppet att myndigheten bland annat tagit hänsyn till att endast två personers hälsouppgifter varit inblandade i händelsen, att överträdelsen inträffat under en extremt kort tidsperiod och att ATS samarbetat fullt ut med Garante. Med hänsyn till de inträffade överträdelserna beordrade Garante dock att beslutet skulle offentliggöras på ATS webbplats som en kompletterande sanktion.
Mot bakgrund av ovanstående ansåg Garante att det var nödvändigt att utdöma ovannämnda sanktionsavgifter och beordrade att betalningen skulle ske inom 30 dagar. Garante betonade att ATS har rätt att lösa tvisten genom att betala ett belopp som motsvarar hälften av den utdömda påföljden och att ATS har 30 dagar på sig att överklaga myndighetens beslut.