Spital amendat pentru nerespectarea GDPR

Institutiile medicale de stat sau private sunt in mod special vulnerabile in fata cerintelor complexe ale protectiei datelor personale din diverse motive, de la prelucrarea sistematica a datelor personale cu caracter special la lipsa unor proceduri si functionalitati ale sistemelor informatice destinate explicit protectiei datelor personale.

Exemplu

In luna ianuarie 2019 Centro Hospitalar Barreiro Montijo a fost amendat cu 400.000 de euro de catre Autoritatea de Supraveghere a Prelucrarii Datelor din Portugalia pentru încălcarea Regulamentului general privind protecția datelor.

Autoritatea de supraveghere din Portugalia, Comissão Nacional de Protecção de Dados, a constatat că au existat trei încălcări ale GDPR:

• accesul nediscriminatoriu a unui număr excesiv de utilizatori si deci încălcarea principiilor fundamentale de procesare. Amenda = 150.000 de euro
• încălcarea integrității și a confidențialității ca urmare a neaplicării măsurilor tehnice și organizatorice. Amenda = 150.000 de euro
• incapacitatea de a asigura în mod constant confidențialitatea, integritatea, disponibilitatea și securitatea sistemelor informatice, inclusiv neefectuarea analizei de risc si respectiv neaplicarea masurilor adecvate nivelului de risc. Amenda = 100.000 de euro.

Considerente agravante

• Lipsa profilelor de utilizatori cu referire speciala la drepturile de acces la informatiile clinice
• Lipsa unei proceduri care sa să definească regulile pentru crearea utilizatorilor sistemului informațional al spitalului.
• Menținerea drepturilor de acces la informatii aferente medicilor care nu mai lucreaza in cadrul spitalului.
• Ignorarea in mod deliberat a cerintelor GDPR in conditiile in care conducerea spitalului era informata cu privire la cadrul legislativ dedicat protectiei datelor personale

Considerente favorabile reducerii amenzii

• Inițiativa si actiunea spitalului de a diminua daunele suferite de persoanele vizate.
• Măsurile tehnice și organizatorice deja implementate.
• Inexistenta unor infracțiuni anterioare.
• Gradul de cooperare cu autoritatea de supraveghere pentru remedierea încălcării și atenuarea eventualelor sale efecte negative.

Interesant este faptul ca inspectia autoritatii de supraveghere a fost determinata nu de reclamatii, ci de un articol in presa. De asemenea este interesant ca nu a contat faptul ca solutia informatica care asigura prelucrarea datelor era cea furnizata de stat si nici faptul ca vorbim de un spital de stat.

Oferta Opteam

Daca nu cunoasteti nivelul de conformare la GDPR al organizatiei dumneavoastra puteti apela la serviciile noastre de audit GDPR.

Opteam Associates, o firma de consultanta specializata in GDPR, va pune la dispozitie prin intermediul celor 3 consultanti autorizati (DPO) expertiza necesara pentru implementarea si respectarea Regulamentului General de Protectie a Datelor Personale in organizatia din care faceti parte.

Opteam Associates va ofera certitudinea aplicarii rezonabile a cerintelor GDPR prin:

• Serviciile de DPO externalizat
• Setul de documentatie standard GDPR
• Auditul stadiului de respectare a cerintelor legale
• Curs online destinat angajatilor

Toate aceste servicii au fost proiectate pentru aplicarea rapida si eficienta a cerintelor GDPR si evitarea surprizelor neplacute precum amenzile aplicate spitalului din Portugalia. Asa ca nu mai amanati, stabiliti acum o intalnire cu consultantii Opteam Asociates completand formularul de mai jos.