News

SCHUTZ DER PERSONENBEZOGENEN DATEN VERSTORBENER PERSONEN

Dieser Fall ergibt sich aus einem Antrag auf Überprüfung einer Ablehnungsentscheidung über die Zulassung eines staatsbürgerlichen Zugangs zu Daten über die Gesundheit einer verstorbenen Person, die einem Krankenhaus von einem staatsbürgerlichen Auditor vorgelegt werden, um das mögliche Vorhandensein von klinischen Fehlern und medizinischen Fehlverhaltens zu überprüfen.

Die italienische DPA, die an dem Fall beteiligt war, wies darauf hin, dass, wie in Art. 3 Abs. 1 der Gesetzesverordnung Nr. 33/2013 festgelegt, sobald ein Dokument Gegenstand eines von der zuständigen Behörde akzeptierten Antrags auf bürgerlichen Zugang wird, alle darin enthaltenen personenbezogenen Daten veröffentlicht werden und jeder das Recht hat, sie zu kennen, zu verwenden und wiederzuverwenden, wie in Artikel 7 derselben Verordnung festgelegt ist. Dies gilt nicht für die Fälle, in denen eine gesetzliche Regelung besteht, die den Zugang oder die Verbreitung bestimmter Daten ausdrücklich verbietet.

In der Stellungnahme der italienischen DPA findet sich eine der oben genannten Ausnahmen in Art. 2-septies der italienischen Gesetzesverordnung 196/2003, zuletzt geändert durch die Gesetzesverordnung 101/2008, die die Verbreitung von Daten über die Gesundheit ausdrücklich verbietet. In diesem Zusammenhang hat unsere Behörde klargestellt, dass in einem solchen Verbot auch Daten von Verstorbenen enthalten sind, da der italienische Gesetzgeber ausdrücklich einen besonderen Schutz zugunsten von Daten jener Personen anerkannt hat.

Insbesondere in Bezug auf personenbezogene Daten verstorbener Personen gilt die GDPR nicht für sie, aber "die Mitgliedstaaten können Vorschriften für die Verarbeitung personenbezogener Daten verstorbener Personen erlassen" (Begründung 27), und der italienische Gesetzgeber hat in Anwendung der oben genannten Option erklärt, dass "die in den Artikeln 15 bis 22 der Verordnung genannten Rechte", soweit sie sich auf personenbezogene Daten verstorbener Personen beziehen (....) von Personen ausgeübt werden können, die ein persönliches Interesse haben oder zum Schutz des Betroffenen als sein Bevollmächtigter oder aus schutzwürdigen familiären Gründen handeln" (Artikel 2 der Gesetzesverordnung 196/2003, eingeführt durch Artikel 2 Absatz 1 Buchstabe f der Gesetzesverordnung n. 101/2018).

In diesem Zusammenhang stellte die italienische DPA fest, dass die Angehörigen der verstorbenen Person oder andere in der vorgenannten Rechtsvorschrift genannte Personen nicht in das Verfahren des bürgerlichen Zugangs einbezogen waren, so dass diese Personen nicht die Möglichkeit hatten, einen möglichen Widerspruch gegen den Zugang einzulegen. Darüber hinaus ist der gegenständliche Fall vom Umfang des bürgerlichen Zugangs aufgrund des Verbots der Verbreitung von Daten über die Gesundheit nach Art. 2-septies des italienischen Gesetzesdekrets 196/2003 ausgeschlossen.

Als weitere Konsequenz stellte die italienische Datenschutzbehörde fest, dass die Weigerung des Krankenhauses, den bürgerlichen Zugang zu Daten über die Gesundheit einer verstorbenen Person zuzulassen, im Einklang mit dem Datenschutzrecht steht.

ÜBERMITTLUNG DER PERSONENBEZOGENEN DATEN VON KRANKENSCHWESTERN AN IHREN BERUFSVERBAND DURCH GESUNDHEITSUNTERNEHMEN

Ein örtlicher Berufsverband für Krankenpflege (nachfolgend "Berufsverband") bat ein Krankenhaus derselben Region (nachfolgend "Krankenhaus") um die Liste aller dort beschäftigten Krankenschwestern.

Da das Krankenhaus keine gültige Rechtsgrundlage für die Übermittlung der personenbezogenen Daten seiner Krankenschwestern an den Berufsverband finden konnte, beschloss es, die Anfrage an die italienische Datenschutzbehörde zu richten.

In diesem Fall wies die italienische DPA darauf hin, dass eine Datenkommunikation zwischen den für die Datenverarbeitung Verantwortlichen zur Erfüllung einer Aufgabe von öffentlichem Interesse oder im Zusammenhang mit der Amtsausübung einer Behörde, die andere als die in den Artikeln 9 und 10 der EU-Verordnung 2016/679 genannten personenbezogene Daten verarbeitet, nur zulässig ist, wenn sie gesetzlich oder in bestimmten, gesetzlich vorgesehenen Fällen durch Verordnung vorgesehen ist.

In diesem Zusammenhang weist die Gesetzesverordnung 233/1946, die die Berufe im Gesundheitswesen regelt, in der kürzlich durch das Gesetz 3/2018 geänderten Fassung, den Berufsverbänden im Gesundheitswesen keine besonderen Befugnisse zu, um allgemeine Recherchen durchzuführen und/oder personenbezogene Daten über die Personen zu sammeln, die von anderen Personen als den eigenen Mitgliedern stammen.

Aus einer anderen Perspektive richtet der Berufsverband ein Verzeichnis aller seiner Mitglieder ein, veröffentlicht es online und führt es auf dem neuesten Stand, das die Arbeitgeber oder jede Person, die ein besonderes Interesse daran hat, leicht einsehen kann.

Auf der Grundlage dieser Prämissen, da eine allgemeine Erhebung personenbezogener Daten über das gesamte im lokalen Zuständigkeitsbereich eines bestimmten Berufsverbandes tätige Pflegepersonal nicht als institutionelle Funktion dieses Gremiums qualifiziert werden kann, stellte die italienische DPA klar, dass der Antrag des Berufsverbandes nicht akzeptabel sei. Daher konnte das an dem Fall beteiligte Krankenhaus ihn einfach ablehnen.

DIE ROLLE DES ARBEITSBERATERS NACH DER VOLLSTÄNDIGEN IMPLEMENTIERUNG VON GDPR

Mit Schreiben vom 24. September 2018 hat der Nationale Rat der Arbeitsberater der italienischen Datenschutzbehörde eine Frage zur Rolle des Arbeitsberaters nach der vollständigen Umsetzung von GDPR vorgelegt, insbesondere im Hinblick auf seine Qualifikation als Datenverantwortlicher oder Datenverarbeiter.

Zuallererst ist es sinnvoll, die Definitionen des für die Datenverarbeitung Verantwortlichen und des Datenverarbeiters von GDPR in Erinnerung zu rufen.

Insbesondere definiert der GDPR den Datenverantwortlichen als "die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt" und den Datenverarbeiter als "eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet" (siehe Art. 4 Abs. 7 und 8 GDPR).

Gemäß dem vorstehend dargelegten Rechtsrahmen ist es notwendig, die beiden Arten der Datenverarbeitung zu unterscheiden, die von einem Arbeitsberater durchgeführt werden können. Tatsächlich kann er einerseits personenbezogene Daten seiner Mitarbeiter/Kunden in seiner Eigenschaft als Geschäftsperson verarbeiten, andererseits kann das gleiche Subjekt aber auch die Mitarbeiterdaten seiner Kunden verarbeiten, um seine Tätigkeit ordnungsgemäß auszuüben.

Im ersten Fall ist der Arbeitsberater für die Ausübung seiner beruflichen Tätigkeit in völliger Autonomie und Unabhängigkeit tätig und bestimmt den Zweck und die Art und Weise der Verarbeitung der Daten des Kunden, er ist als Datenverantwortlicher qualifiziert.

Im zweiten Fall hingegen basiert die Tätigkeit des Arbeitsberaters auf der vom Kunden übertragenen Aufgabe, der aus organisatorischen Gründen beschließt, eine Kernleistung an einen Dritten auszulagern, und ihm spezifische Anweisungen für die auszuführende Verarbeitung erteilt. Der Auftraggeber bestimmt die beteiligten Themen, den Zweck und die zu verwendenden Methoden. Der Kunde ist somit als Datenverantwortlicher und der Berater als Datenverarbeiter qualifizierbar.

Diese Interpretation wird durch das italienische Gesetz Nr. 12/1979 über die Organisation des Berufes des Arbeitsberaters bestätigt, das klargestellt, dass der Arbeitgeber den Berater mit der entsprechenden Aufgabe betraut. Dieses Outsourcing entbindet den Arbeitgeber jedoch nicht von seiner gesetzlich vorgesehenen Verantwortung im Falle der Verletzung der Verpflichtungen aus den Bereichen Beschäftigung, soziale Sicherheit und Sozialschutz (Art. 7, Gesetz Nr. 12/1979).

Die italienische Datenschutzbehörde betont in dieser Mitteilung auch, dass die Rechtsgrundlage, die die Verarbeitung von Daten über Kunden des Arbeitsberaters (d.h. die Daten des Arbeitgebers) ermöglicht, in der Ausführung des Vertrages zu finden ist (Artikel 6 Absatz 1 Buchstabe b des GDPR). Wenn der Arbeitsberater hingegen als Datenverarbeiter tätig ist, muss die Rechtsgrundlage, die die Verarbeitung personenbezogener Daten, einschließlich "sensibler" Daten, die die Kunden des Arbeitgebers betreffen, legitimiert, vom Kunden selbst (d.h. vom Arbeitgeber) identifiziert werden gemäß Art. 9, Par. 2, Buchst. b) von GDPR: In diesem Fall wird die Legitimität der Verarbeitung auf die Verarbeitungstätigkeiten des Arbeitsberaters aufgrund seiner Bestimmung als Datenverarbeiter "übertragen".

Am Ende dieser Anerkennung betreffend die Klassifizierung der Rolle des Arbeitsberaters in Bezug auf Datenschutz betont die italienische DPA auch, dass der Arbeitsberater gemäß Artikel 32 Absatz 1 GDPR auch "geeignete technische und organisatorische Maßnahmen zu ermitteln und umzusetzen hat, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten", wobei er "den Stand der Technik, die Kosten der Umsetzung und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko einer unterschiedlichen Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen" berücksichtigen muss. Am Ende der Aufgabe müssen schließlich alle personenbezogenen Daten, die im Archiv des Arbeitsvermittlers enthalten sind, gelöscht (oder anonymisiert) und / oder an den Auftraggeber, der der für die Datenverarbeitung Verantwortliche ist, in voller Übereinstimmung mit den im Datenverarbeitungsvertrag festgelegten Bedingungen geliefert werden.

Artikel bereitgestellt von: Chiara Agostini