Efter klagomål gällande överträdelser av GDPR får ett italienskt sjukhus €75,000 i sanktionsavgift av den italienska dataskyddsmyndigheten. Sjukhuset i fråga sparade flertalet personuppgifter i syfte att bättre kunna hjälpa framtida patienter utan att detta nämndes i den policy som den registrerade fick ta del av. Myndigheten menar att detta strider mot principerna i GDPR om uppgiftsminimering, laglig grund för personuppgiftsbehandling samt principen om dataskydd som standard. Myndigheten fastslog även att uppgifterna var tillgängliga för ett onödigt stort antal anställda och kritiserade att det inte fanns ett system som varnade ifall samma konto tillgängliggjorde informationen flera gånger. Dessutom menade myndigheten att tiden för att en anställds konto skulle loggas ut på grund av inaktivitet, som i detta fall var 30 minuter, var alltför lång och bröt mot reglerna i GDPR. Av dessa anledningar fastslog myndigheten att sjukhuset bröt mot GDPR och utfärdade en sanktionsavgift på €75,000 samt beordrade ansvariga att minska möjligheten för anställda, som inte hade direkt ansvar över patienten, att komma över den känsliga informationen.
Se redogörelse av domslutet här
