Od kilku dni wstrzymujemy się z ogłoszeniem dość doniosłego i być może historycznego wydarzenia. Wiele wskazuje na to, że portugalski organ nadzoru ochrony danych nałożył pierwszą w Europie finansową karę administracyjną w kwocie 400 000 Euro (ponad 1 600 000 zł).
Na wstępie wyjaśniamy, że nadal nie mamy pełnego przekonania co do prawdziwości tej informacji (stosownie do jednego ze źródeł, decyzja nie została jeszcze opublikowana). Natomiast coraz liczniej zaczyna występować na (wydaje się) poważnych serwisach internetowych zarówno w kraju jak i za granicą.
Czego sprawa dotyczy:
Postępowanie prowadził portugalski organ nadzoru ochrony danych osobowych (Comissão Nacional de Proteção de Dados) ws. domniemanego naruszenia przepisów przez szpital Barreiro Montijo polegających na zbyt szerokim dostępie użytkowników systemu informatycznego do danych medycznych gromadzonych przez szpital.
Co ustalono w sprawie:
Szpital publiczny umożliwił dostęp do informacji medycznych co najmniej 9 pracownikom socjalnym, którzy nie są lekarzami. W dodatku stwierdzono, że w sieci było 985 zarejestrowanych użytkowników z prawem dostępu do danych, podczas gdy szpital pracuje tylko 296 lekarzy. A także ustalono błędy w procedurze uwierzytelniania użytkowników oraz nieprawidłowości w oddzieleniu zarchiwizowanych danych szpitala Barreiro od danych innego szpitala. Inne źródła wskazują, że naruszenie również polegało na możliwości dostępu z wykorzystaniem „fałszywych kont” (fake account)
Sankcje:
Organ ustalił, że naruszono zasadę integralności i poufności oraz zasadę minimalizacji danych poprzez nieodpowiednie ograniczenie dostępu do danych medycznych pacjentów oraz zasadę poufności i integralności danych w samym systemie (rozumiane jako naruszenie bezpieczeństwa danych). Za co nałożono karę w łącznej wysokości 400 000 Euro. Na wysokość tej kary składają się w istocie trzy naruszenia (150 000 Euro za naruszenie dwóch pierwszych zasad, oraz 100 000 Euro za naruszenie bezpieczeństwa systemu). Nie jest jasne, czy szpital skorzystał z przysługujących kroków prawnych do weryfikacji zasadności decyzji przed sądem – przypuszczamy, że tak i w tym upatrujemy barku oficjalnej publikacji tekstu decyzji. Jest to o tyle prawdopodobne, że Portugalia nie przyjęła przepisów wprowadzających RODO, w związku z tym nie funkcjonują u nich (w przeciwieństwie do Polski) szczegółowe przepisy regulujące chwilę i sposób egzekucji kar, w związku z czym dopiero w toku kontroli sądowej tego rodzaju decyzja się „uprawomocni”. Szpital w swojej obronie podnosi argumenty, że system został dostarczony przez Portugalskie Ministerstwo Zdrowia, jednak to wskazuje, że kwestie zabezpieczeń leżą po stronie instytucji korzystającej z systemu.
Z naszych ustaleń wynika dodatkowo, że na przestrzeni lat Szpital Barreiro Montijo (wykaz postępowań, w języku portugalskim – przyp. SDP) był podmiotem kilku postępowań, co z kolei wpływa na uwiarygodnienie wysokości kary (która robi wrażenie w realiach polskich). Zgodnie z doniesieniami jest to najwyższa kara wymierzona przez portugalski organ.
Sprawa jest na pewno rozwojowa i przypuszczamy, że w niedalekiej przyszłości będzie jeszcze szeroko komentowana. Podkreślamy jednak ponownie, że źródła z których wnioskujemy powyższe są mimo wszystko nieoficjalne.
Sokół Doradztwo Prawne
Źródła: