Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 100 000 euro mot region Lazio för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en utredning efter ett klagomål från en enskild. Den klagande hade fått en inbjudan från den lokala hälsovårdsmyndigheten i Rieti att delta i screeningprogrammet för livmoderhalscancer, riktad till dennes dotter som avlidit 1995.
Enligt Garante har de lokala hälsomyndigheterna använt en regional plattform som innehåller alla parametrar som krävs för att skapa inbjudningar och genomföra screeningkampanjerna. Den klagandes dotter var enligt Garante fortfarande registrerad i den regionala plattformen i fråga, trots att hon avlidit flera år tidigare.
Garante konstaterade att regionen inte följt principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och om uppgifternas korrekthet enligt artikel 5.1 (d) GDPR. Vidare har regionen enligt Garante felaktigt identifierat de rättsliga grunderna för behandlingen enligt artiklarna 6 och 9 GDPR, och vilka roller olika aktörer har vid behandlingen av personuppgifter via den regionala plattformen enligt artikel 24 GDPR.
I detta avseende noterade Garante att regionen, i egenskap av personuppgiftsansvarig, måste se till att de personuppgifter som regionen innehar är korrekta och vid behov uppdaterade, och vidta alla rimliga åtgärder för att radera eller korrigera den information som regionen använder i god tid. Garante konstaterade också att regionen, när den skickade inbjudningsbreven för screening, inte gett de registrerade den information som krävs om behandlingen av deras personuppgifter enligt artiklarna 12, 13 och 14 GDPR.
Mot bakgrund av de fastställda omständigheterna ålade Garante region Lazio en sanktionsavgift på 100 000 euro. Vid kvantifieringen av detta belopp angav Garante att myndigheten bland annat hade tagit hänsyn till att regionen redan tidigare ålagts sanktionsavgifter för brister vid behandling av personuppgifter. Garante beordrade också regionen att korrekt identifiera roller och de rättsliga grunderna för behandlingen samt att ändra och integrera den information som ska göras tillgänglig för de registrerade.
TechLaw bistår verksamheter i frågor som rör dataskydd, uppgifternas korrekthet och rättslig grund för behandling. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.