Wysoka kara RODO nałożona na szpital w Portugalii

Kary RODO stają się faktem

Kara o wartości ponad półtora miliona złotych (oryg. 400 000 EUR) z tytułu naruszenia RODO została nałożona na szpital w Portugalii.

400 000 Euro, czyli ok 1,7 mln zł w przeliczeniu – taką karę nałożyła Comissão Nacional de Proteção de Dados (CNPD) (Komisja Ochrony Danych) – Organ nadzorczy w Portugalii, na szpital Barreiro Montijo, położony vis a vis Lisbony, na przeciwległym brzegu rzeki Tag.

Powodem nałożenia kary był między innymi nieuprawniony dostęp do danych klinicznych udzielony osobom, które nie powinny mieć takiej możliwości.

„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”

W szpitalu Barreiro Montijo pracuje 296 lekarzy, zaś system umożliwiał dostęp do danych klinicznych pacjentów z 985 aktywnych kont. Szpitalowi zarzuca się również brak wewnętrznych procedur tworzenia kont, lub różnicowania zakresu dostępu do danych. Zarzuca się również fakt dostępu do danych medycznych osobom do tego nieuprawnionym. Innym zarzutem jest niepodjęcie przez szpital niezbędnych kroków do weryfikacji, czy konta już nie pracujących w szpitalu osób zostały usunięte.

Szpitalowi zarzuca się naruszenie naruszenie zasad: integralności, poufności i minimalizacji danych.

Należy dodać, że szpital nie zgadza się z argumentacją CNPD, między innymi wskazując na ograniczenia funkcjonalne związane z użytkowaniem programu dostarczanego przez strony trzecie. Podnoszona jest również wątpliwość co do zdolności prawnej CNPD do nałożenia kary w związku z trwającym ciągle w Portugalii procesem legislacyjnym dotyczącym regulacji GDPR.

Materiał opracowałem na podstawie między innymi:

http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ

https://www.jornaldenegocios.pt/economia/saude/detalhe/hospital-do-barreiro-multado-em-400-mil-euros-por-nao-proteger-dados-clinicos-dos-doentes

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *