LexDigital

Pierwsze kary za nieprawidłowości w obszarze ochrony danych osobowych

Po przeprowadzonej w czerwcu kontroli przez Comissão Nacional de Protecção de Dados, w skrócie CNPD – portugalski organ nadzorczy zajmujący się ochroną danych osobowych, nałożona została kara opiewająca na 400 tysięcy euro.

Pierwsze kary za nieprawidłowości w obszarze ochrony danych osobowych

RODO - wysokość kar

O możliwości narzucenia przez organy nadzorcze krajów Unii Europejskiej wysokich grzywien związanych z nieprzestrzeganiem prawa w zakresie obowiązującego od 25 maja 2018 Rozporządzenia o ochronie danych osobowych mówi się wiele. Niektórym wizja kary spędza sen z powiek, inni nie dopuszczają do siebie scenariusza kontroli organu nadzorczego, a tym bardziej wynikających z ewentualnych naruszeń kar.

Dla przypomnienia górne granice sankcji wskazanych przez RODO to 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku naruszenia m.in. : podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, naruszenia praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim czy nieprzestrzeganie nakazu ograniczenia przetwarzania. Drugi obowiązujący próg to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku m.in. : niedopełnienia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego czy podmiotu monitorującego. 

Pierwsze sankcje - Austria

O tym jak bardzo realne stały się działania organów nadzorczych odpowiednich dla krajów Unii Europejskiej świadczyć może wyrok ogłoszony w Austrii, gdzie na podmiot prywatny narzucona została kara w wysokości ponad 4 tysięcy euro za objęcie monitoringiem wizyjnym zbyt szerokiego obszaru chodnika, w związku z czym dochodziło do przetwarzania danych nieświadomych przechodniów. Sankcja została nałożona proporcjonalnie do dochodów firmy.

Dużo bardziej dotkliwa kara dotknęła w ostatnich dniach Centrum Szpitalne Barreiro-Montijo w Portugalii. Po przeprowadzonej w czerwcu kontroli przez Comissão Nacional de Protecção de Dados, w skrócie CNPD – portugalski organ nadzorczy zajmujący się ochroną danych osobowych, nałożona została kara opiewająca na 400 tysięcy euro.

Pierwsze sankcje - Portugalia

Wszystkie wskazane nieprawidłowości dotyczyły dostępu do systemu zarządzania danymi medycznymi pacjentów. Szpital nie posiadał wewnętrznych uregulowań dotyczących zasad tworzenia kont ani rozdzielenia dostępu do danych medycznych dla poszczególnych grup pracowników. Kontrola wykazała istnienie 985 aktywnych kont z dostępem do danych medycznych, pomimo zatrudniania 296 lekarzy. Nie podjęto odpowiednich środków do zapewnienia trwałego usunięcia kont lekarzy, którzy zakończyli pracę w placówce. 

Wykazano także dostęp do danych przeznaczonych wyłącznie dla lekarzy, który posiadało co najmniej 9 osób z personelu niemedycznego. CNPD obarcza szpital odpowiedzialnością za naruszenie poziomów dostępu do danych pacjentów poprzez świadome powiązanie profilu lekarza z profilem, który powinien być profilem czysto technicznym. 

Zawiodła także metoda uwierzytelniania, która nie uwzględniała danych identyfikacyjnych, pozwalających na połączenie danego specjalisty z obszarem, który nadzoruje. Każdy lekarz o dowolnej specjalizacji był w stanie w każdym momencie uzyskać dostęp do danych pacjentów z różnych ośrodków szpitalnych.  

CNPD zarzuca administracji szpitala świadome działanie, pomimo posiadanej wiedzy o ciążących na nich obowiązkach zapewnienia organizacyjnych i technicznych środków niezbędnych do prawidłowej  identyfikacji i uwierzytelnienia pracowników, do zarządzania i rozgraniczania dostępów do profili informacyjnych oraz ich warstwowania zgodnie z nadanymi poziomami dostępów. 

W wyniku zaniedbań doszło do przyznania dostępów wielu osobom, które nigdy nie powinny posiadać możliwości wglądu w dane medyczne poszczególnych pacjentów. Brak konkretnych wewnętrznych zasad tworzenia kont w systemie informatycznym oraz jego błędna konfiguracja, niedopasowana do panującej struktury organizacyjnej, doprowadziła do powstania chaosu, który kosztował Centrum Szpitalne Barreiro-Montijo w Portugalii łącznie 400 tysięcy euro. 

Sytuacja w Portugalii pokazuje jak ważna jest świadomość administratora danych podczas zarządzania systemami informatycznymi oraz ciągły nadzór nad nimi. 

Zarządzanie uprawnieniami - odpowiednia procedura mogła uchronić przed tak wysoką karą

Wprowadzenie polityki czy regulaminu bezpieczeństwa danych pozwoliłoby na bezpiecznie zarządzanie danymi osobowymi oraz uniknięcie w przyszłości naruszeń praw osób związanych z nieuprawnionym dostępem do danych pacjentów, które kwalifikowane są jako dane wrażliwe i wymagają zastosowania szczególnych zabezpieczeń.

Dobrą praktyką jest także stosowanie procedury nadawania uprawnień, która często jest nieodłącznym elementem wspomnianej powyżej polityki bezpieczeństwa danych.

Procedura ta powinna bardzo przejrzyście informować o dostępie do informacji medycznych tylko dla osób upoważnionych. Przetwarzane informacje powinny zostać poddane klasyfikacji oraz zawierać informacje kto i w jakim zakresie jest uprawniony do przetwarzania. Inny zakres informacji powinien być dostępny dla lekarza biorącego udział w hospitalizacji danego pacjenta, inny dla pielęgniarki sprawującej opiekę nad pacjentami danego oddziału, jeszcze inny dla personelu niemedycznego. Przydzielone uprawnienia powinny być oparte na zakresie wykonywanych obowiązków. Często stosuje się także rozdzielenie nadawanych uprawnień zgodnie z kategorią zajmowanego stanowiska czy stażem pracy. 

Bardzo ważne jest stosowanie się do zasady celowości oraz minimalizacji danych. Co to oznacza w praktyce? Otóż nadawanie uprawnień zgodnie z celem przetwarzania danych oraz w jak najmniejszym zakresie, który pozwoli na osiągnięcie tego celu. Między innymi to właśnie zaniedbanie w tym obszarze spowodowało nałożenie kary na portugalski szpital. 

Procedura ta powinna narzucać stałe monitorowanie i śledzenie nadanych uprawnień. Zapewniać weryfikację już nadanych upoważnień oraz ich ewentualnych zmian związanych z np. zmianą stanowiska czy zakresu obowiązków. Jest to bardzo ważny element bezpieczeństwa przetwarzania danych medycznych.

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.