Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 6 000 euro mot Azienda Ospedaliero – Universitaria Città della Salute e della Scienza di Torino för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd på ett sjukhus arbetade på sjukhusets dataskyddsavdelning. Den registrerade fick ett e-postmeddelande från personalkontoret med information om hennes vaccinationsstatus och om att en annan anställd stängdes av från sin tjänst på grund av utebliven vaccination. E-postmeddelandet skickades till den gemensamma e-postkontot för dataskyddsavdelningen, som chefen, den registrerade och den andra anställda hade tillgång till. Som en följd av detta fick båda anställda kännedom om varandras vaccinationsstatus, trots att de inte var behöriga att få tillgång till sådana uppgifter. Den registrerade inlämnade ett klagomål till Garante.
Garante drog slutsatsen att trots sjukhusets avsikt att undvika felaktig hanteringar av e-postmeddelanden och trots att situationen var brådskande (Covid-19-pandemin), utgjorde användningen av den gemensamma e-postkontot för detta meddelande ett olagligt utlämnande av personuppgifter, inklusive hälsouppgifter.
Enligt Garante får anställdas personuppgifter endast göras tillgängliga för dem som behöver behandla dem för att utföra sina arbetsuppgifter och fullgöra sin specifika roll inom organisationen. Att göra uppgifter tillgängliga, genom att skicka dem till en e-postadress, för personer som ingår i organisationen men som inte behöver ta del av informationen utgör olaglig kommunikation av personuppgifter, eftersom den saknar en lämplig rättslig grund. Garante konstaterade därför överträdelser av artiklarna 5, 6.1 och 9.2 GDPR.