Italien: Dataskyddsmyndigheten bötfäller sjukhus i Perugia med 40 000 euro för brott mot GDPR relaterade till visselblåsarsystemet

Den italienska dataskyddsmyndigheten Garante beslutade nyligen om böter på 40 000 euro till ett sjukhus i Perugia, Italien, för överträdelser av GDPR relaterade till visselblåsarsystemet. Fallet fungerar som en påminnelse om vikten av att säkerställa efterlevnad av dataskyddslagar vid implementering av visselblåsarlösningar.

Konstaterade överträdelser i visselblåsarsystemet vid sjukhuset i Perugia

Garantes utredning visade att sjukhuset hade behandlat personuppgifter för anställda och andra personer genom sin visselblåsarlösning, utan att informera dem om behandlingen av personuppgifter för ändamålet. Den webbapplikation för visselblåsning som sjukhuset använde gjorde det dessutom möjligt att identifiera potentiella visselblåsare. Detta strider mot principerna om integritet och konfidentialitet, inbyggt dataskydd och övergripande dataskydd. Sjukhuset hade inte heller registrerat mottagande och hantering av visselblåsarrapporter i sitt register över behandlingsaktiviteter. Dessutom utförde de inte någon konsekvensbedömning avseende dataskydd (DPIA).

Man bör vidta lämpliga åtgärder för visselblåsarsystem

Beslutet om böter för det italienska sjukhuset visar på behovet av att organisationer också vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Detta är särskilt viktigt när man implementerar ett visselblåsarsystem. Det inkluderar att implementera dataskydd genom design och som standard samt att genomföra en DPIA för att identifiera och minimera risker för personer som använder systemet.

Trygga och säkra visselblåsarsystem är avgörande för att säkerställa att individer kan rapportera oegentligheter utan rädsla för repressalier eller hämndaktioner. Rapporteringssystem kan hjälpa organisationer att identifiera och ta itu med frågor innan de blir stora problem. De kan också bidra till att upprätthålla allmänhetens förtroende och tillit.

Utan lämpliga tekniska och organisatoriska åtgärder på plats kan visselblåsarsystem dock utgöra en risk för integriteten och säkerheten för enskilda personers personuppgifter. Detta gäller särskilt i fall där visselblåsare kan behöva lämna känslig eller konfidentiell information som skulle kunna utsätta dem för risker om informationen blev allmänt känd. Därför är det viktigt att se till att man utformar och implementerar visselblåsarsystemen enligt en lämplig säkerhetsnivå. Visselblåsarlösningar bör också vara föremål för löpande övervakning och granskning för att säkerställa att de förblir effektiva och förenliga med relevanta dataskyddsbestämmelser och visselblåsarlagar.

Säkra och GDPR-kompatibla visselblåsarlösningar för att säkerställa dataskydd

Som en leverantör av säkra, GDPR-kompatibla visselblåsarlösningar med hosting i Sverige inser Whistlelink vikten av att säkerställa efterlevnad av dataskyddslagar. Våra lösningar är utformade med dataskydd som vår högsta prioritet, och all ärendedata krypteras och lagras på servrar inom EU. Vi tillhandahåller också information till våra kunder om syftet med behandlingen av personuppgifter, vilket säkerställer transparens och rättvisa i enlighet med kraven i GDPR.

De böter som Garante utfärdat för sjukhuset i Perugia, Italien kan i bästa fall tjäna som en påminnelse om vikten av att säkerställa efterlevnad av dataskyddslagar vid implementering av visselblåsarsystem. Vid Whistlelink är vi fast beslutna att hjälpa organisationer att uppfylla sina skyldigheter enligt nationella visselblåsarlagar samt GDPR, samtidigt som skyddet av personuppgifter säkerställs.

Whistlelink har levererat visselblåsarlösningar till nöjda kunder i mer än 10 år. Vår visselblåsartjänst är tillgänglig på din egen webbplats dygnet runt.

Vi erbjuder 35+ språk i en anpassad, användarvänlig digital visselblåsarlösning där all data lagras på servrar inom Europa, i enlighet med GDPR. Starta din kostnadsfria testperiod idag!