Amenda pentru incalcarea regulamentului GDPR pentru un spital

Un spital din Setubal, Portugalia, Centro Hospitalar Barreiro a fost amendat cu suma de 400.000 euro pentru incalcarea GDPR (Regulamentul pentru Protectia Datelor cu Caracter Personal). Autoritatea nationala din aceasta tara, CNDP (Comissão Nacional de Protecção de Dados) a descoperit trei incalcari majore ale regulamentului GDPR privind protectia datelor cu caracter personal.

Prima incalcare priveste articolul 5(1)(c) care stipuleaza principiul minimizarii, prin acordarea de drepturi de acces unui numar excesiv de utilizatori. Pentru aceasta incalcare spitalul in cauza a primit amenda de 150.000 euro

A doua incalcare priveste neaplicarea unor masuri tehnice si organizatorice care sa restrictioneze accesul neautorizat la date cu caracter personal, precum si a incalcarii principiului colectarii minime de date cu caracter personal. Aceasta incalcare a fost sanctionata cu 150.000 euro.

In cele din urma, autoritatea portugheza pentru protectia datelor (CNPD) a amendat spitalul in cauza in pentru incapacitatea acestuia de a asigura in mod constant condifentialitatea, integritatea si disponibilitatea sistemelor si serviciilor, precum si neimplementarea masurilor tehnice si organizatorile pentru a asigura un nivel de securitate adecvat la risc, incluzand procesul de testare regulata, accesare si evaluare pentru a asigura siguranta procesarii. Pentru aceasta abatere penalitatea a fost de 100.000 euro.

Apararea a precizat faptul ca spitalul foloseste sisteme IT oferite sistemului public de sanatate de catre Ministerul Sanatatii din Portugalia, nu propriile sisteme. 

CNPD a luat in considerare printre altele urmatoarele aspecte:

• Nu a existat niciun document care sa contina corespondenta dintre competentele functionale ale utilizatorilor si profilele de acces la informatii (incluzand informatii clinice)
• Nu a existat niciun document care sa defineasca regulile de creare a utilizatorilor in sistemul informatic
• Noua angajati cu profil tehnic aveau drepturi de acces rezervate grupului medical, ceea ce rezulta in posibilitatea acestora de a accesa procesele clinice ale tuturor utilizatorilor
• Posibilitatea oferita oricarui doctor, indiferent de specialitate de a accesa la orice moment datele clientilor spitalului. Aceasta a fost considerata o violare a principiului de “necesitatea de a stii” si a principiului de “minimizare a datelor”.
• Au fost 985 utilizatori asociati profilului “doctor” dar conform organigramei interne existau doar 296 de medici in spital.
• Mentinerea unor profile inutile ale doctorilor care nu mai ofereau servicii pentru spital
• Existenta a doar 18 conturi inactive, ultimul fiind dezactivat in Noiembrie 2016

Spitalul a actionat in acest mod cu toate ca stia ca este in afara legii.

Pentru determinarea amenzii finale, considerate scazute in comparatie cu prevederile regulamentului, CNPD a actionat in conformitate cu articolul 83(1)(a-k):

• Natura, gravitatea si durata incalcarii tinand in cont natura si scopul procesarii, precum si numarul de subiecti afectati. De asemenea s-a tinut cont de faptul ca datele personale manipulate erau categorii speciale de date, continand date medicale care mareau considerabil posibilitatea unor daune majore subiectilor afectati.
• Gradul de cooperare cu autoritatea nationala pentru remedierea cauzelor care a produs acest indicent

La stabilirea amenzii s-a luat in calcul si faptul ca spitalul a luat masuri imediate de remediere a situatiei.