DPO On Demand

Portugalska bolnišnica zaradi kršitve GDPR prejela globo v višini 400.000 €

Portugalski nadzorni organ (CNPD) je eni od bolnišnici izrekel globo v višini 400.000 EUR zaradi kršitve Splošne uredbe o varstvu osebnih podatkov (GDPR).

Odločba ni bila objavljena. Bolnišnica je javno objavila, da bo globo izpodbijala.

Po poročilih tiskovnih agencij je CNPD v bolnišnici opravil preiskavo, ki je razkrila, da je imelo osebje bolnišnice, psihologi, dietetiki in drugi strokovnjaki dostop do podatkov o bolnikih z lažnimi profili. Sistem vodenja profilov se je izkazal za pomanjkljivega – bolnišnica je imela 985 registriranih zdravnikovih profilov, čeprav je v bolnišnici samo 296 zdravnikov. Poleg tega so zdravniki imeli neomejen dostop do vseh datotek pacientov, ne glede na specializiranost zdravnika. CNPD je domnevno ugotovila, da bolnišnica ni vzpostavila ustreznih tehničnih in organizacijskih ukrepov za zaščito podatkov o bolnikih.

V odgovoru na tožbo je bolnišnica navajala, da portugalsko ministrstvo za zdravje uporablja informacijski sistem, ki ga zagotavlja javnim bolnišnicam. CNPD je odločil, da je bolnišnica odgovorna za zagotovitev, da IT sistem, ki ga uporablja, ustreza standardom GDPR.

Medtem ko Portugalska še ne izvaja GDPR, je CNPD uporabila načela GDPR in se v tem primeru oprla na GDPR, da bi določila globo. To je ena od najvišjih glob, ki jih je CNPD že izrekel. Polovica te globe bo ostala CNPD, saj to predvideva portugalski zakon.

Tags: GDPR, globe, zdravstvo