Które podmioty ukarano za naruszenie RODO?

Udostępnij:
Od 25 maja 2018 r. w Polsce nałożono trzy kary za nieprzestrzeganie ogólnego rozporządzenia o ochronie danych, żadna z nich nie dotyczyła podmiotów wykonujących działalność medyczną. Inaczej jest za granicą. W Unii Europejskiej już pięć placówek medycznych zostało ukaranych za naruszenie RODO. Czy sobie na to zasłużyły i jak wysokie kary nakładały organy nadzorcze w państwach UE? Odpowiedział prawnik Adam Klimowski.
Tekst Adama Klimowskiego, prawnika z JAMANO Sp. z o.o.:
Czechy
Na wniosek osoby prywatnej czeski organ nadzorczy przeprowadził w 2018 r. kontrolę w szpitalu
w Taborze (Nemocnice Tábor, a.s.). Stwierdzono, że dane pacjentów, przechowywane w formie elektronicznej, mogły być przeglądane i zmieniane przez osoby nieupoważnione. Ustalono także, że lekarze zatrudnieni w szpitalu, niezależenie od specjalizacji, mieli dostęp do informacji o wszystkich pacjentach (z wyjątkiem osób przebywających na oddziale psychiatrycznym). Urząd ds. Ochrony Danych Osobowych ukarał szpital grzywną w wysokości 40 tysięcy koron czeskich (ok. 6,7 tysięcy złotych).

Cypr
W 2018 r. obywatelka Cypru zwróciła się do Szpitala im. Arcybiskupa Makarego III w Nikozji o dostęp do swojej dokumentacji medycznej. W toku poszukiwań okazało się, że teczka pacjentki została zgubiona. Kobieta zawiadomiła o sprawie miejscowy organ nadzorczy, który 7 listopada 2018 r. (po przeprowadzeniu postępowania w sprawie) podjął decyzję o nałożeniu kary finansowej
w wysokości 5 tysięcy euro (ok. 21 tys. zł).

Cypryjski Komisarz ds. Ochrony Danych Osobowych zwrócił uwagę na fakt, że kara byłaby wyższa, gdyby nie to, że placówka medyczna niezwłocznie zaczęła wdrażać środki bezpieczeństwa (polegające głównie na przechodzeniu na elektroniczną dokumentację medyczną).

Niemcy
W Republice Federalnej Niemiec kary finansowe za naruszenie RODO są nakładane przede wszystkim na poziomie poszczególnych krajów związkowych. Taka właśnie sytuacja miała miejsce w Badenii-Wirtembergii, gdzie lokalny Komisarz Ochrony Danych nałożył (notabene jedną z wyższych obecnie w Niemczech) karę 80 tysięcy euro (ok. 343 tysięcy złotych) za przypadkowe opublikowanie danych medycznych szeregu osób w internecie.

Co charakterystyczne, biuro Komisarza nie opublikowało żadnych informacji, które pozwoliłyby na ustalenie, który konkretnie podmiot medyczny dopuścił się tego przewinienia. Było to działanie zamierzone, mające na celu zapewnienie, by osoby dotknięte wyciekiem nie stały się poszkodowane w jeszcze większym stopniu.

Portugalia
W lipcu 2018 r. ogłoszono, że portugalski organ nadzorczy ukarał szpital w Barreiro (Centro Hospitalar Barreiro Montijo) za niewywiązanie się z obowiązków dotyczących ogólnego rozporządzenia o ochronie danych. W mediach koncentrowano się przede wszystkim na zbiorczej sumie kary (400 tysięcy euro, czyli ok. 1,7 mln zł), warto natomiast zwrócić uwagę, za co dokładnie ukarano placówkę medyczną. Było to:
- 150 tysięcy euro za niewłaściwe uregulowanie dostępu do danych pacjentów (w momencie kontroli ustalono istnienie 985 kont dla lekarzy w szpitalnym systemie IT, choć w rzeczywistości pracowało tam jedynie 296 lekarzy),
- 150 tysięcy euro za niewłaściwe nadawanie uprawnień w systemie IT (wszyscy lekarze mieli dostęp do danych wszystkich pacjentów),
- 100 tysięcy euro za błędy w systemie IT (dane bieżące nie zostały we właściwy sposób oddzielone
od archiwalnych, a mechanizmy uwierzytelnienia nie były skuteczne).

Holandia
Najwyższa jak dotąd kara dla placówki medycznej za naruszenie RODO została nałożona w Królestwie Niderlandów w związku z następującym zdarzeniem. W 2018 r. do szpitala w Hadze (HagaZiekenhuis) trafiła Samantha de Jong, znana w Holandii osobowość telewizyjna. Postępowanie prowadzone przez władze placówki medycznej ujawniło, że 85 członków personelu, z których żaden nie był zaangażowany w proces leczenia, miało dostęp do informacji medycznych na temat pacjentki. Gdy w sprawę włączył się holenderski organ nadzorczy, okazało się, że osoby nieupoważnione posiadały równie łatwy dostęp do danych innych pacjentów (rocznie szpital przyjmuje ich ok. 250 tysięcy).

Organ ds. Danych Osobowych, biorąc pod uwagę skalę naruszenia, zadecydował o nałożeniu na szpital kary 460 tysięcy euro (ok. 2 mln zł). Dodatkowo, jeżeli Haga Ziekenhuis nie wdroży środków bezpieczeństwa zaaprobowanych przez organ nadzorczy do 2 października 2019 r., musi się liczyć z dodatkową karą pieniężną w wysokości maksymalnie 300 tysięcy euro (ok. 1,3 mln zł).

Niekontrolowany dostęp
Przyczyna większości opisanych problemów placówek medycznych jest jedna, to niekontrolowany dostęp do danych osobowych. Organy nadzorcze w UE słusznie podkreślają, że podobna sytuacja nie może mieć miejsca w przypadku informacji o stanie zdrowia, czyli szczególnej kategorii danych w rozumieniu RODO.

Każdy podmiot medyczny – niezależnie od wielkości – powinien w tym zakresie przestrzegać tych samych zasad, musi regulować dostęp do danych pacjentów (biorąc pod uwagę zakres obowiązków, specjalizację i miejsce pracownika w strukturze organizacyjnej), wykorzystywać bezpieczne systemy informatyczne i nie zapominać o "martwych duszach".
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.