Der Betreiber des Krankenhauses hatte auf seiner Website ein Register veröffentlicht, das die Zugänge zur Klinik aus den Jahren 2017 und 2018 dokumentierte. In diesem Register waren alle 1337 Personen aufgelistet, die in diesem Zeitraum eine Aufnahme beantragt hatten. Die Daten dieser Personen wurden mit Klarnamen veröffentlicht und beinhalteten auch eine Vielzahl an Gesundheitsinformationen. Hierzu gehörten unter anderem Krankenakten, medizinische Aufzeichnungen, Angaben zu Behinderungen sowie technische Berichte.
Neben der unrechtmäßigen Datenverarbeitung stellte die italienische Datenschutzbehörde ebenfalls einen Verstoß gegen den Grundsatz der Datenminimierung fest, der von der Azienda Sanitaria Locale Roma 1 nicht beachtet wurde. Die im Register gespeicherten Daten gingen weit über das hinaus, was für die Erfüllung von Transparenzpflichten erforderlich gewesen wäre.
Sanktionsadressat
Azienda Sanitaria Locale Roma 1
Bußgeld
46.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. c DSGVO
Art. 6 Abs. 1 lit. c und e DSGVO
Art. 6 Abs. 2 DSGVO
Art. 6 Abs. 3 lit. b DSGVO
Art. 9 Abs. 1, 2 und 4 DSGVO
Art. 2-ter Abs. 1 und 3 codice della privacyArt. 2-septies Abs. 8 codice della privacy
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Italien – Garante per la protezione dei dati personali
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9784482
Rechtssichere Webseite für Unternehmen – Website-Compliance-Check
https://website-compliance.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com