Italien: Region Lazio bötfälls med 100 000 euro för brister i samband med användning av regional plattform för screeningprogram

Garante per la protezione dei dati personali (Garante) har bötfällt region Lazio med 100 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Garante inlett en utredning efter ett klagomål från en enskild. Den klagande hade fått en inbjudan från den lokala hälsovårdsmyndigheten i Rieti att delta i screeningprogrammet för livmoderhalscancer, riktad till dennes dotter som avlidit 1995.

Enligt Garante har de lokala hälsomyndigheterna använt en regional plattform som innehåller alla parametrar som krävs för att skapa inbjudningar och genomföra screeningkampanjerna. Den klagandes dotter var enligt Garante fortfarande registrerad i den regionala plattformen i fråga, trots att hon avlidit flera år tidigare.

Garante konstaterade att regionen inte följt principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och om uppgifternas korrekthet enligt artikel 5.1 (d) GDPR. Vidare har regionen enligt Garante felaktigt identifierat de rättsliga grunderna för behandlingen enligt artiklarna 6 och 9 GDPR, och vilka roller olika aktörer har vid behandlingen av personuppgifter via den regionala plattformen enligt artikel 24 GDPR.

I detta avseende noterade Garante att regionen, i egenskap av personuppgiftsansvarig, måste se till att de personuppgifter som regionen innehar är korrekta och vid behov uppdaterade, och vidta alla rimliga åtgärder för att radera eller korrigera den information som regionen använder i god tid. Garante konstaterade också att regionen, när den skickade inbjudningsbreven för screening, inte gett de registrerade den information som krävs om behandlingen av deras personuppgifter enligt artiklarna 12, 13 och 14 GDPR.

Mot bakgrund av de fastställda omständigheterna ålade Garante regionen böter på 100 000 euro. Vid kvantifieringen av detta belopp angav Garante att myndigheten bland annat hade tagit hänsyn till att regionen redan tidigare ålagts sanktionsavgifter för brister vid behandling av personuppgifter. Garante beordrade också regionen att korrekt identifiera roller och de rättsliga grunderna för behandlingen samt att ändra och integrera den information som ska göras tillgänglig för de registrerade.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GDPR, art. 12 GDPR, art. 13 GDPR, art. 14 GDPR, art. 24 GDPR

Sanktionsavgift: 100 000 euro

Mottagare: Region Lazio

Beslutsnummer: 9810028

Beslutsdatum: 2022-09-15

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.