Dodano: 23.07.2019, Kategorie: Prawo
RODO nie daje o sobie zapomnieć – 2 mln zł kary dla szpitala w wyniku donosu
Urząd Ochrony Danych Osobowych w Holandii – Authoriteit Persoonsgegevens – ukarał szpital Haga za naruszenie RODO. Szpital Haga został ukarany grzywną w wysokości 460 000 euro za niedostosowanie środków bezpieczeństwa, które przyczyniły się do naruszenia prywatności pacjenta.
Od wdrożenia RODO minął już ponad rok (25 maja 2018 r.) a mimo to wiele podmiotów medycznych, również w Polsce, nie spełnia podstawowych wytycznych rozporządzenia. RODO wymaga, aby wszystkie podmioty, które przetwarzają dane osobowe obywateli UE, stosowały odpowiednie środki bezpieczeństwa. W przypadku naruszenia bezpieczeństwa danych odpowiedni organ ochrony danych musi zostać powiadomiony w ciągu 72 godzin.
W opisanym przypadku naruszenie dotyczyło osoby publicznej, której dane osobowe zostały ujawnione przez personel placówki. W trakcie dochodzenia stwierdzono, że szpital nie posiada odpowiedniego systemu zabezpieczenia dokumentacji pacjentów, nie wdrożył uwierzytelniania dwuskładnikowego i nie monitoruje rejestru upoważnionych do przetwarzania danych osobowych. Brak odpowiednich środków bezpieczeństwa jest sprzeczny z wymogami RODO i grzywna została uznana za konieczną. Szpital będzie teraz monitorowany, a w przypadku braku poprawy standardu zapewnienia bezpieczeństwa danych osobowych nakładane będą dalsze kary. Szpital ma czas, aby dokonać ulepszeń do 2 października 2019 r. Po tej dacie nałożona zostanie kolejna grzywna w wysokości 100 000 EUR (z częstotliwością co dwa tygodnie), maksymalnie do 300 000 EUR lub do poprawy zabezpieczeń. Szpital Haga zgodził się wdrożyć dodatkowe środki bezpieczeństwa danych osobowych.
W ubiegłym roku podobna grzywna została wydana na rzecz Centro Hospitalar Barreiro Montijo w Portugalii przez portugalski organ ochrony danych. Szpital nie zdołał zabezpieczyć rejestrów i uniemożliwić nieautoryzowany dostęp do danych. Portugalski szpital został ukarany grzywną w wysokości 400 000 euro.
Według szacunków RODONET ponad połowa polskich podmiotów medycznych nie wdrożyła zaleceń RODO. W przypadku małych praktyk i gabinetów lekarskich odsetek może być jeszcze większy (administratorzy deklarują wdrożenie RODO, jednocześnie wskazując na działania sprzeczne z RODO – badanie zostało wykonane metodą telefoniczną na próbie 500 podmiotów w okresie V-VII 2019). Wiele gabinetów podjęło prowizoryczne działania zaradcze, takie jak zakup standardowej dokumentacji lub skopiowanie powszechnie dostępnych klauzul informacyjnych dla pacjentów i wyeksponowanie ich w miejscu świadczenia usług. Niestety takie działania nie zapewniają ani całkowitego bezpieczeństwa danych osobowych, ani bezpieczeństwa placówki w razie kontroli RODO lub doniesienia ze strony pacjenta.
Wdrożenie RODO wymaga realizacji następujących kroków, które powinny zostać odpowiednio udokumentowane (zasada „rozliczalności” RODO):
- Audyt RODO – przeprowadzenie audytu stanowi dowód na troskę administratora o stan RODO i ujawnia ewentualne braku dot. bezpieczeństwa danych
- Opracowanie polityki bezpieczeństwa danych osobowych – dzięki czemu możliwe jest precyzyjne i skuteczne zapoznanie pracowników z obowiązkami wynikającymi z RODO
- Stworzenie zestawu rejestrów RODO, w tym rejestru czynności przetwarzania, rejestru zbiorów danych, rejestru osób upoważnionych ( to tego rejestru zabrakło w przypadku szpitala HAGA), oraz innych (patrz www.rodonet.pl)
- Przeszkolenie pracowników
- Stały monitoring RODO z częstotliwością wynikającą z poziomu ryzyka (analiza ryzyka jest jednym z elementów audytu)
Tylko kompleksowe i systematyczne podejście do RODO jest gwarancją uniknięcia grzywny.
RODONET to polska sieć inspektorów danych osobowych. RODONET specjalizuje się w zapewnieniu podmiotom medycznym zgodności z RODO. Dzięki zrozumienia specyfiki sektora zdrowia oraz odpowiednim procedurom i systemom informatycznym, RODONET może zaoferować gabinetom medycznym szybką, profesjonalną i przystępną usługę wdrożenia RODO. RODONET jest dostępny w całym kraju. Z usługi RODONET mogą skorzystać osoby prowadzące własne praktyki medyczne różnych specjalności. Zapraszamy na stronę internetową www.RODONET.pl
Źródło: RODONET na postawie https://www.hipaajournal.com/netherlands-hospital-hit-with-e460000-gdpr-data-breach-fine/, www.rodonet.pl
Kontakt: Inspektor Ochrony Danych Sylwia Miezio, tel. 698 101 878, rodonet@rodonet.pl