Italien: Senseonics bötfälls med 45 000 euro för obehörigt utlämnande av hälsouppgifter

Garante per la protezione dei dati personali (Garante) har bötfällt Senseonics, Inc. med 45 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Senseonics, som är baserat i USA, anmält en personuppgiftsincident till Garante som orsakats av en av företagets anställda. Enligt Senseonics har den anställda, som en del av en informationskampanj, skickat ett e-postmeddelande där mottagarnas adresser placerades i fältet “Kopia” istället för fältet “Hemlig kopia”, vilket resulterade i att varje mottagare kunde se de andras e-postadresser.

Garante konstaterade att e-postmeddelandena i fråga var riktade till personer som lider av diabetes och att e-postmeddelandena innehöll information som kunde avslöja de registrerades hälsotillstånd. Garante ansåg konstaterade vidare att Senseonics olagligt överfört känsliga personuppgifter till obehöriga tredje parter.

Under utredningen fann Garante ytterligare överträdelser av dataskyddsförordningen i samband med användningen av appen för glukosövervakningssystemet som förvaltas av Senseonics. Enligt Garante har användarna genom att ladda ner appen blivit tvungna att med ett enda “klick” acceptera både de avtalsenliga villkoren för tjänsten och innehållet i Senseonics integritetspolicy. Detta gjorde det enligt Garante omöjligt för de registrerade att formulera uttryckliga samtyckesförklaringar för olika typer av behandlingar, som exemplevis behandling av hälsouppgifter.

Enligt Garante har Senseonics dessutom:

  • åsidosatt principerna om korrekthet och öppenhet genom att ge användarna förvirrande och ofullständig information, och
  • underlåtit att skriftligen utse en representant i EU till kontaktperson för alla integritetsfrågor.

Mot bakgrund av de fastställda omständigheterna ålade Garante Senseonics böter på 45 000 euro för överträdelser av artiklarna 5.1 a, 5.1 b, 5.1 f, 6, 7, 9, 12, 13 och 27 GDPR. Vid fastställandet av bötesbeloppet uppgav Garante att myndigheten bland annat tagit hänsyn till att den anställda inte haft för avsikt att skicka e-postmeddelandena i fråga.

Garante beordrade också Senseonics att anpassa sin behandling av personuppgifter till dataskyddsförordningen, att omarbeta integritetspolicyn på ett kortfattat, öppet och begripligt sätt och att informera om de åtgärder som vidtagits för att följa dessa förelägganden.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 7 GDPR, art. 9 GDPR, art. 12 GDPR, art. 13 GDPR, art. 27 GDPR

Sanktionsavgift: 45 000 euro

Mottagare: Senseonics, Inc.

Beslutsnummer: 9809998

Beslutsdatum: 2022-07-07

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.