Португалската Национална комисия за защита на данните (Comissão Nacional de Protecção de Dados) e първият надзорен орган, наложил санкции на публично лечебно заведение в резултат на нарушения на Регламент (ЕС) 679/2016 (GDPR)

Няколко месеца след влизането в сила на новия европейски регламент, свързан с обработването и защитата на личните данни на физическите лицa, португалският надзорен орган се е самосезирал въз основа на информация от статия, публикувана в местен вестник. След извършен одит надзорният орган е достигнал до извод, че публичното лечебно заведение Centro Hospitalar Barreiro Montijo е извършило следните нарушения на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните или ОРЗД): • Нарушение на принципа за свеждане на данните до минимум (чл. 5, § 1, буква „в“ от ОРЗД), като е позволила безразборен достъп до лични данни на пациенти на неограничен брой потребители; • Нарушение на принципа за цялостност и поверителност в резултат на липсата на имплементирани технически и организационни мерки срещу незаконосъобразния достъп до лични данни на пациенти (чл. 5, § 1, буква „е“ от ОРЗД); • Неизпълнение на задължението за осигуряване на непрекъсната поверителност, цялост, наличност и устойчивост на системите и услугите за лечение, както и липсата на внедрени технически и организационни мерки за гарантиране на ниво на сигурност, адекватно на риска, включително и процес за редовно тестване и оценка на техническите и организационни мерки за осигуряване на сигурността на обработването (чл. 32, § 1, буква „б“ от ОРЗД); Сред доказаните от надзорния орган нарушения са липсата на документи, дефиниращи процедурите за създаване на потребителски профили и връзката между профилите и длъжностите, разполагащи със съответните права. На практика, всеки лекар е разполагал с право да достъпва информация за пациентите на болницата, независимо от неговата специалност. В допълнение, създадените потребителски профили са били 985 при наличие на едва 296 лица на длъжност „лекар“ в болницата. В своя защита лечебното заведение е депозирало пред Комисията писмено становище. Сред аргументите на администратора на данни е липсата на правомощия на надзорния орган, който не е бил определен за такъв в съответствие с чл. 51 от ОРЗД към датата на установяване на нарушенията. Освен това, лечебното заведение се е позовало и на обработването на данните на пациентите чрез IT система, предоставена от португалското министерство на здравеопазването безвъзмездно на всички публични болници. Въпреки изложените аргументи, през юли 2018 г. надзорният орган е постановил решение, с което е наложил на лечебното заведение две санкции в общ размер на 400 000 евро. Болницата е оповестила публично намерението си да оспори постановения акт.

Verified by MonsterInsights