Italien: ISWEB bötfälls med 40 000 euro för brister i samband med användning av visselblåsarsystem

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt ISWEB S.p.a. med 40 000 euro för överträdelse av artikel 28 i dataskyddsförordningen (GDPR). Beslutet har meddelats i samband med ett beslut mot sjukhuset Azienda ospedaliera di Perugia (läs mer om detta här).

Av beslutet framgår att Garante inlett granskningen i fråga som en del av en mer omfattande utredningsplan om behandling av personuppgifter som erhållits genom visselblåsarsystem. Enligt Garante genomfördes granskningar på Azienda ospedaliera di Perugia och ISWEB. ISWEB tillhandahåller och förvaltar den visselblåsarapplikation som använts av många kunder, däribland sjukhuset.

Garantes granskning visade att ISWEB underlåtit att reglera förhållandet med företagets leverantör av webbhotellstjänster. Enligt Garante har ISWEB anlitat leverantören av webbhotellstjänster både för att utföra behandling i egenskap av personuppgiftsansvarig, vilket strider mot artiklarna 28.1 och 28.3 GDPR, och för behandling i egenskap av personuppgiftsbiträde för sina kunders räkning, däribland Azienda ospedaliera di Perugia, vilket strider mot artiklarna 28.2 och 28.4 GDPR.

På grundval av dessa överväganden ålade Garante ISWEB administrativa sanktionsavigfter med 40 000 euro och tog vid kvantifieringen av dessa bland annat hänsyn till den behandling som utförts för Azienda ospedaliera di Perugias räkning, närmare bestämt behandlingens art, föremål och syfte samt den höga grad av sekretess som krävs när det gäller de registrerades identitet i fall av visselblåsning, samt det faktum att inga rapporter om visselblåsning funnits tillgängliga i systemet vid tidpunkten för granskningen. När det gäller den behandling som utfördes i egenskap av personuppgiftsansvarig tog Garante hänsyn till att ISWEB inte på något sätt reglerat förhållandet till leverantören av webbhotellstjänster.

Garante utdömde ovannämnda sanktionsavgifter och beordrade ISWEB att inom 30 dagar reglera förhållandet till leverantören av webbhotellstjänster i enlighet med artiklarna 28.2 och 28.4 GDPR och att lämna adekvat dokumenterad återkoppling till Garante om de åtgärder som vidtagits för att se till att behandlingen av uppgifterna överensstämmer med dataskyddsförordningen. Garante beordrade dessutom att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande sanktion.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 28 GDPR

Sanktionsavgift: 40 000 euro

Mottagare: ISWEB S.p.a.

Beslutsnummer: 9768387

Beslutsdatum: 2022-04-07

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.