Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt ISWEB S.p.a. med 40 000 euro för överträdelse av artikel 28 i dataskyddsförordningen (GDPR). Beslutet har meddelats i samband med ett beslut mot sjukhuset Azienda ospedaliera di Perugia (läs mer om detta här).
Av beslutet framgår att Garante inlett granskningen i fråga som en del av en mer omfattande utredningsplan om behandling av personuppgifter som erhållits genom visselblåsarsystem. Enligt Garante genomfördes granskningar på Azienda ospedaliera di Perugia och ISWEB. ISWEB tillhandahåller och förvaltar den visselblåsarapplikation som använts av många kunder, däribland sjukhuset.
Garantes granskning visade att ISWEB underlåtit att reglera förhållandet med företagets leverantör av webbhotellstjänster. Enligt Garante har ISWEB anlitat leverantören av webbhotellstjänster både för att utföra behandling i egenskap av personuppgiftsansvarig, vilket strider mot artiklarna 28.1 och 28.3 GDPR, och för behandling i egenskap av personuppgiftsbiträde för sina kunders räkning, däribland Azienda ospedaliera di Perugia, vilket strider mot artiklarna 28.2 och 28.4 GDPR.
På grundval av dessa överväganden ålade Garante ISWEB administrativa sanktionsavigfter med 40 000 euro och tog vid kvantifieringen av dessa bland annat hänsyn till den behandling som utförts för Azienda ospedaliera di Perugias räkning, närmare bestämt behandlingens art, föremål och syfte samt den höga grad av sekretess som krävs när det gäller de registrerades identitet i fall av visselblåsning, samt det faktum att inga rapporter om visselblåsning funnits tillgängliga i systemet vid tidpunkten för granskningen. När det gäller den behandling som utfördes i egenskap av personuppgiftsansvarig tog Garante hänsyn till att ISWEB inte på något sätt reglerat förhållandet till leverantören av webbhotellstjänster.
Garante utdömde ovannämnda sanktionsavgifter och beordrade ISWEB att inom 30 dagar reglera förhållandet till leverantören av webbhotellstjänster i enlighet med artiklarna 28.2 och 28.4 GDPR och att lämna adekvat dokumenterad återkoppling till Garante om de åtgärder som vidtagits för att se till att behandlingen av uppgifterna överensstämmer med dataskyddsförordningen. Garante beordrade dessutom att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande sanktion.