Garante per la protezione dei dati personali (Garante) har bötfällt Senseonics, Inc. med 45 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Senseonics, som är baserat i USA, anmält en personuppgiftsincident till Garante som orsakats av en av företagets anställda. Enligt Senseonics har den anställda, som en del av en informationskampanj, skickat ett e-postmeddelande där mottagarnas adresser placerades i fältet “Kopia” istället för fältet “Hemlig kopia”, vilket resulterade i att varje mottagare kunde se de andras e-postadresser.
Garante konstaterade att e-postmeddelandena i fråga var riktade till personer som lider av diabetes och att e-postmeddelandena innehöll information som kunde avslöja de registrerades hälsotillstånd. Garante ansåg konstaterade vidare att Senseonics olagligt överfört känsliga personuppgifter till obehöriga tredje parter.
Under utredningen fann Garante ytterligare överträdelser av dataskyddsförordningen i samband med användningen av appen för glukosövervakningssystemet som förvaltas av Senseonics. Enligt Garante har användarna genom att ladda ner appen blivit tvungna att med ett enda “klick” acceptera både de avtalsenliga villkoren för tjänsten och innehållet i Senseonics integritetspolicy. Detta gjorde det enligt Garante omöjligt för de registrerade att formulera uttryckliga samtyckesförklaringar för olika typer av behandlingar, som exemplevis behandling av hälsouppgifter.
Enligt Garante har Senseonics dessutom:
- åsidosatt principerna om korrekthet och öppenhet genom att ge användarna förvirrande och ofullständig information, och
- underlåtit att skriftligen utse en representant i EU till kontaktperson för alla integritetsfrågor.
Mot bakgrund av de fastställda omständigheterna ålade Garante Senseonics böter på 45 000 euro för överträdelser av artiklarna 5.1 a, 5.1 b, 5.1 f, 6, 7, 9, 12, 13 och 27 GDPR. Vid fastställandet av bötesbeloppet uppgav Garante att myndigheten bland annat tagit hänsyn till att den anställda inte haft för avsikt att skicka e-postmeddelandena i fråga.
Garante beordrade också Senseonics att anpassa sin behandling av personuppgifter till dataskyddsförordningen, att omarbeta integritetspolicyn på ett kortfattat, öppet och begripligt sätt och att informera om de åtgärder som vidtagits för att följa dessa förelägganden.