19 marca 2024

RODO: donieśli na szpital, zapłaci 2 mln zł kary

Urząd Ochrony Danych Osobowych w Holandii, Authoriteit Persoonsgegevens, ukarał szpital Haga grzywną w wysokości 460 tys. euro za naruszenie RODO.

Foto: pixabay.com

Powód: niedostosowanie środków bezpieczeństwa, które przyczyniły się do naruszenia prywatności pacjenta.

Od wdrożenia RODO minął już ponad rok (25 maja 2018 r.), mimo to wiele podmiotów medycznych, również w Polsce, nie spełnia podstawowych wytycznych wynikających z unijnego rozporządzenia.

RODO wymaga, aby wszystkie podmioty, które przetwarzają dane osobowe obywateli UE, stosowały odpowiednie środki bezpieczeństwa. W przypadku naruszenia bezpieczeństwa danych odpowiedni organ ochrony danych musi zostać powiadomiony w ciągu 72 godzin.

Brak odpowiednich środków bezpieczeństwa jest sprzeczny z RODO.

W opisanym przypadku naruszenie dotyczyło osoby publicznej, której dane osobowe zostały ujawnione przez personel placówki. W trakcie dochodzenia stwierdzono, że szpital nie posiada odpowiedniego systemu zabezpieczenia dokumentacji pacjentów, nie wdrożył uwierzytelniania dwuskładnikowego i nie monitoruje rejestru upoważnionych do przetwarzania danych osobowych.

Szpital będzie teraz monitorowany, a w przypadku braku poprawy standardu zapewnienia bezpieczeństwa danych osobowych, nakładane mogą być dalsze kary. Placówka ma czas na poprawę sytuacji do 2 października. Po tym terminie może nałożona zostać kolejna grzywna w wysokości 100 tys. euro. Placówka zgodziła się wdrożyć dodatkowe środki bezpieczeństwa danych osobowych.

– Wiele gabinetów podjęło prowizoryczne działania zaradcze, takie jak zakup standardowej dokumentacji lub skopiowanie powszechnie dostępnych klauzul informacyjnych dla pacjentów i wyeksponowanie ich w miejscu świadczenia usług. Niestety takie działania nie zapewniają ani całkowitego bezpieczeństwa danych osobowych, ani bezpieczeństwa placówki w razie kontroli RODO lub doniesienia ze strony pacjenta – mówi inspektor ochrony danych Sylwia Miezio.

W ubiegłym roku podobna grzywna została wydana na rzecz Centro Hospitalar Barreiro Montijo w Portugalii przez portugalski organ ochrony danych. Szpital nie zdołał zabezpieczyć rejestrów i uniemożliwić nieautoryzowany dostęp do danych. Portugalski szpital został ukarany grzywną w wysokości 400 tys. euro. Eksperci podkreślają, że wiele polskich podmiotów medycznych nie wdrożyła należycie zaleceń wynikających z RODO.

Więcej o RODO piszemy tutaj.