Fehlende Privatsphäre im Whistleblowing. Die italienische Datenschutzbehörde spricht Bußgelder gegen Krankenhaus und IT-Dienstleister aus.
Bereits am 07. April 2022 wurde die Entscheidung getroffen, dass sowohl das öffentliche Krankenhaus in Perugia als auch deren IT-Anbieter für deren Whistleblower-Software eine Geldstrafe von 40.000 Euro abgelten müssen.
Was war passiert?
Es wurden eine Reihe an Verarbeitungen geprüft welche durch das Whistleblowing-Systems des Anbieters erfasst wurden. Die Software wurde von vielen weiteren Arbeitgebern verwendet und angeboten.
Das Ergebnis der Prüfungen:
Das Whistleblower-Managementsystem verfolgte über die Software die Zugriffe auf die Software und zeichnete diese auf, auch eine Speicherung in den Firewall-Protokollen fand statt. Es konnte damit jeder Nutzer der App verfolgt werden. Eine Information der Mitarbeiter über diese Verarbeitung erfolgte nicht. Desweiteren wurde keine DSFA (Datenschutzfolgeabschätzung) durchgeführt, kein Eintrag für diese Verarbeitungen im Verzeichnis gem. DSGVO Art. 30 wurde gefunden und in einer Kategorie der Meldungen war der Übergang zum nächsten Verantwortlichen unangemessen behandelt worden.
Die Entscheidung:
Verhängung einer Verwaltungsstrafe und Feststellung eines Verstoßes gegen die DSGVO.
Die staatliche Gesetzgebung zur Meldung von Missständen fällt in den Anwendungsbereich der „spezielleren Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten von Arbeitnehmern im Beschäftigungskontext" gemäß Artikel 88 Absatz 1 DSGVO ; In der Tat beinhaltet das Whistleblowing die Verarbeitung personenbezogener Daten, die sich sowohl auf den Whistleblower als auch auf die Personen beziehen, gegen die gemeldet wird, auf Zeugen und Dritte, und es ist eine besondere Vertraulichkeitsregelung vorgesehen, um die Identität des Whistleblowers zu schützen.
Der für die Verarbeitung Verantwortliche (das öffentliche Krankenhaus) hat es versäumt, angemessene technische und organisatorische Maßnahmen zur Gewährleistung des angemessenen Sicherheitsniveaus unter Berücksichtigung der spezifischen Risiken festzulegen, die sich aus der betreffenden Verarbeitung ergeben, was die Implementierung eines entsprechenden Whistleblowing-Managementsystems erforderte mit den Grundsätzen des Datenschutzes durch Technikgestaltung und durch Voreinstellungen – auch im Lichte der diesbezüglichen Stellungnahme des Datenschutzbeauftragten (DPO) des Krankenhauses.
Der Whistleblowing-Dienstleister hatte seine Beziehungen zu dem Hosting-Anbieter, auf den er sich stützte, sowohl im Zusammenhang mit den vielfältigen Verarbeitungstätigkeiten, für die er der Verantwortliche war (unter Verstoß gegen Artikel 28, Absätze 1 und 3, DSGVO) nicht geregelt – von der Management seiner Mitarbeiter über Buchhaltungs- und Verwaltungstätigkeiten bis hin zur Verarbeitung im Zusammenhang mit der Erbringung seiner Dienstleistungen – und in Bezug auf die Verarbeitungstätigkeiten, für die er als Auftragsverarbeiter im Auftrag seiner Kunden tätig war, einschließlich des öffentlichen Krankenhauses von Perugia (unter Verstoß gegen Artikel 28, Absätze 2 und 4 DSGVO).
Eure Andrea
Von Datenschutz Prinz
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9768363
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9768387
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
