RODO_kara

Pierwsza kara z RODO nałożona

W ostatnim artykule informowaliśmy Państwa o tym, że pomimo tego, iż RODO obowiązuje od 25 maja 2018 r., to jednak nie wszyscy dokonali odpowiednich zmian w swoich organizacjach, nie spełniając tym samym wymagań unijnego rozporządzenia. Pełna treść poprzedniego artykułu dostępna jest TUTAJ.

Na portugalski szpital została nałożona kara w wysokości 400 000 Euro, co w przeliczeniu wynosi 1,7 mln złotych. Karę nałożono z uwagi na wykryte nieprawidłowości przy przetwarzaniu danych osobowych w związku z wejściem w życie przepisów RODO. Portugalski odpowiednik naszego Urzędu Ochrony Danych Osobowych w toku czynności kontrolnych wykrył kilka nieprawidłowości.

Wobec powyższego czy polscy przedsiębiorcy mają się czego obawiać?

Polscy przedsiębiorcy od momentu wdrożenia unijnych regulacji obawiają się wysokich kar, których nałożenie mogłoby wpłynąć na prowadzone procesy biznesowe. Obawy są słuszne, bowiem za brak wdrożenia grozi kara w wysokości aż 20 mln Euro, w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Dlaczego portugalski szpital został ukarany? Jakie sankcje mogą zostać nałożone na polskich przedsiębiorców?

W portugalskim szpitalu pracuje na co dzień około 300 lekarzy, dostęp do dokumentacji medycznej pacjentów był możliwy aż z około 985 kont, w tym kont nie tylko personelu medycznego, ale także pracowników obsługi technicznej oraz kont byłych użytkowników. W szpitalu nie funkcjonowała też żadna utrwalona procedura w zakresie nadawania i odbierania uprawnień. Luki w zabezpieczeniach polegały również na braku hierarchizacji dostępów do poszczególnych informacji klinicznych.

W portugalskim szpitalu naruszono zatem zasadę poufności, integralności i minimalizacji danych, które są filarami RODO. Poufność zakłada, że informacje są dostępne tylko dla uprawnionych osób, integralność, że nie mogą być zmieniane w sposób nieautoryzowany. Zasada minimalizacji nakłada na administratorów obowiązek zbierania jak najmniejszej liczby danych, w konkretnym i uzasadnionym celu.

Portugalski szpital nie jest jedynym, na który nałożono karę. Austriacki organ odpowiedzialny za ochronę danych nałożył karę 4800 Euro na podmiot, który nieprawidłowo zaprojektował ustawienie monitoringu.

Szpital w Portugalii kwestionuje wysokość nałożonej kary, postępowanie administracyjne zatem jeszcze trwa. Niemniej postępowanie kontrolne zakończone nałożeniem kary jest konsekwencją przywiązywania przez kraje Unii Europejskiej dużej uwagi do tematyki ochrony danych osobowych obywateli Unii.

W Polsce nie nałożono jeszcze na żaden podmiot kary finansowej, urzędnicy z Urzędu Ochrony Danych Osobowych przeprowadzają jednak kontrole, w konsekwencji których na polskich przedsiębiorców również może zostać nałożona kara finansowa.

O tym jak uchronić się przed nałożeniem kary z RODO oraz co może wpłynąć na jej wysokość przeczytają Państwo w kolejnym artykule. 

Źródło: https://www.gdprtoday.org/portuguese-dpa-imposes-400000-e-fine-on-hospital-for-two-violations-of-the-gdpr/

 

Kancelaria Prawna Rafał Kufieta

 

 

Zapisz się do naszego newslettera

Rozwiązałeś swój problem?

Podpowiemy Ci co należy zrobić.
Ciekawe rozwiązania bezpłatnie wprost na Twój email