Radi se o slučaju iz Italije gdje je lokalna ustanova javnog zdravstva, u svrhu praćenja kroničnih bolesti stanovništva, prikupljene podatke o zdravlju stanovnika dijelila s liječnicima i javnim klinikama.
Ustanova javnog zdravstva inicijalno je zatražila lokalne liječnike da popune excell tablicu s imenima i njihovim oboljenjima. Liječnici su, nakon dobivanja privola pacijenata, dostavili excell tablicu zaštićenu lozinkom na USB stiku.
Po zaprimanju USB stika, datoteka je premještena na računalo i poslana emailom nadležnom lokalnom liječniku koji je pak podijelio tablicu s tvrtkom koja pruža usluge pohrane podataka za ustanovu javnog zdravstva.
Nadzorno tijelo je izvršilo inspekciju postupanja i utvrdilo da ustanova javnog zdravstva nije dokumentirala svoje postupke obrade osobnih podataka, nije vodila evidencije aktivnosti obrada, tvrtka za pohranu podataka nije zadovoljavala GDPR uvjete iz članka 28. da bude angažirana od strane ustanove javnog zdravstva, prijenos tablica između raznih primatelja nije bio dovoljno siguran s obzirom na visoku osjetljivost prenešenih osobnih podataka o zdravlju, nije izvršena DPIA odnosno Procjena učinka na zaštitu podataka, pacijenti nisu obaviješteni o takvom dijeljenju njihovih podataka o zdravlju s obzirom na članke 13. i 14. GDPR-a, a posebice ne o rokovima pohrane i njihovim pravima.
S obzirom da je ustanova javnog zdravstva bila vrlo kooperativna u istražnim radnjama nadzornog tijela, kazna je umanjena na samo 100.000 EUR.
Sva sreća da se to kod nas ne događa.
Više o talijanskom slučaju na:
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_-_9529527&mtc=today
