Garante per la protezione dei dati personali (Garante) ger sjukhuset Azienda Ospedaliera Complesso Ospedaliero San Giovanni en reprimand för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framfår att en läkare, som var sjukskriven, skickat ett e-postmeddelande till sin chef med personuppgifter om sin hälsa för att motivera sin frånvaro från arbetet. Därefter svarade chefen henne och lade till sjukhusets generaldirektör som mottagare. Den registrerade lämnade in ett klagomål till Garante och hävdade att det var olagligt enligt GDPR att vidarebefordra e-postmeddelandet till generaldirektören.
Sjukhuset hävdade att den registrerade själv skickat ett e-postmeddelande till sin chef som innehöll hälsouppgifter och betonade dessutom att dessa uppgifter aldrig lämnats ut till tredje part, utan endast till en person som var chef för sjukhusets organisationsstruktur och som behövde denna information för att ordna en ersättare för den registrerade. Vidare hävdade sjukhuset att e-postmeddelandet inte innehöll några uppgifter om hälsa, eftersom den registrerade endast angav sina symtom och inte någon officiell diagnos.
Efter en genomgång av ärendet konstaterade Garante inledningsvis att informationen i e-postmeddelandet var uppgifter om den registrerades hälsa och därför omfattades av artikel 9.1 GDPR. Vidare konstaterade Garante att om den anställde skickar intyget med diagnosen till sin arbetsgivare, ska arbetsgivaren inte behandla informationen vidare. I det aktuella fallet borde sjukhuset, trots att den registrerade själv skickade informationen, inte ha behandlat informationen vidare och skickat den till andra personer.
Därutöver konstaterade Garante att det inte var nödvändigt att vidarebefordra hela e-postmeddelandet till generaldirektören för att hitta en ersättare för den registrerades skift, eftersom detta syfte kunde ha uppnåtts genom att helt enkelt sprida informationen om att den registrerade var sjuk, utan att inkludera de specifika symptomen.
Garante konstaterade därför en överträdelse av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och kravet på rättslig grund för behandling av känsliga personuppgifter enligt artiklarna 6 och 9.1 GDPR.