Pierwsza połowa 2018 roku upłynęła na intensywnych działaniach przedsiębiorców, organów, prawników i informatyków, mających na celu wdrożenie nowych regulacji prawnych, dotyczących ochrony danych osobowych, a wynikających z przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO1).
Również zespół Kancelarii prowadził intensywne działania w tym zakresie: zrealizowaliśmy z sukcesem kompleksowe implementacje nowych zasad ochrony danych osobowych dla wielu naszych klientów.
Działania te były kluczowe, nie można jednakże poprzestać wyłącznie na wdrożeniu odpowiednich mechanizmów w zakresie ochrony danych osobowych, gdyż równie istotne jest faktyczne ich funkcjonowanie w praktyce. Dobitnie pokazuje to przykład postępowania kontrolnego, zakończonego nałożeniem kary, przeprowadzonego przez Krajową Komisję Ochrony Danych w Portugalii (Comissão Nacional de Proteção de Dados) w szpitalu Barreiro-Montijo. Wydana przez organ portugalski decyzja jest o tyle interesująca, że w sposób skonkretyzowany odnosi się do – często ogólnych – norm wynikających z RODO, w szczególności dotyczących zasady adekwatności sposobu i zakresu podmiotowego przetwarzania danych.
PIERWSZE KARY NA PODSTAWIE PRZEPISÓW RODO
Krajowa Komisja Ochrony Danych w Portugalii (Comissão Nacional de Proteção de Dados), nałożyła na szpital Barreiro-Montijo grzywnę w wysokości 400 000 € z uwagi na naruszenie zasad ochrony danych osobowych pacjentów. W swojej decyzji komisja wskazała na szereg naruszeń, które na porządku dziennym miały miejsce w placówce.
Nieautoryzowany dostęp do danych osobowych
Wśród najważniejszych naruszeń dostrzeżonych przez Komisję należy wskazać rażącą dysproporcję pomiędzy liczbą zatrudnionych w szpitalu pracowników a liczbą aktywnych kont, za pośrednictwem których można było uzyskać dostęp do danych medycznych. Zgodnie bowiem z rachunkami wystawianymi przez szpital liczba zatrudnionych lekarzy wynosiła 296, podczas gdy Komisja zarejestrowała 985 aktywnych kont z pełnym dostępem do danych osobowych pacjentów. Wśród uchybień Komisja wskazała także fakt, że do danych medycznych, do których co do zasady powinni mieć dostęp wyłącznie lekarze, upoważnieni byli także pracownicy z zakresu pomocy społecznej czy pracownicy techniczni. Co więcej z konta testowego utworzonego przez ekspertów z ramienia Komisji możliwe było uzyskanie dostępu do danych pacjentów nie tylko szpitala w Barreiro, ale też do plików cyfrowych szpitala Santa Cruz w mieście Carnaxide. W toku czynności kontrolnych Komisja wykazała także, że szpital nie ma wewnętrznych zasad tworzenia kont (aby stworzyć konto pracownicze wystarczyło napisać wiadomość mailową do współpracującego ze szpitalem informatyka). Udzielane uprawnienia dostępowe nie były także różnicowane na poziomie dostępu do rodzaju informacji klinicznych – metoda uwierzytelniania użytkowników nie zakładała identyfikacji indywidualnej pozwalającej na dostęp do określonych danych, co w efekcie powodowało, że technicy pracujący w szpitalu mieli taki sam dostęp do danych klinicznych jak lekarze.
Mając na uwadze wyniki kontroli przeprowadzonej w szpitalu, Komisja ustaliła, że doszło do naruszenia przepisów art. 5 ust. 1 lit. c i f w związku z art. 83 ust. 5 lit. a oraz art. 32 ust. 1 lit b RODO. Komisja zidentyfikowała więc trzy naruszenia: naruszenie zasady integralności i poufności danych, naruszenie zasady minimalizacji danych oraz brak zapewnienia przez administratora odpowiednich środków technicznych gwarantujących zachowanie poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych.
Kara za naruszenie przepisów RODO
Za wskazane naruszenia na szpital nałożono łączną karę w wysokości 400 000 € – odpowiednio po 150 000 € za naruszenie zasady integralności i poufności danych oraz naruszenie zasady minimalizacji danych, natomiast za brak zapewnienia odpowiednich środków bezpieczeństwa Komisja zdecydowała się na wymierzenie kary w wysokości 100 000 €. Okolicznością wpływającą na wymiar kary był przede wszystkim fakt, że w ocenie Komisji szpital miał pełną świadomość tego, iż był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do ustalania zakresu ich dostępu do profili informacyjnych stosownie do zakresu obowiązków pracowniczych, mimo to nigdy nie podjęto czynności w celu doprowadzenia do stanu zgodnego z prawem.
Przypomnieć należy, że zgodnie z art. 83 RODO, maksymalny wymiar kary, która może zostać nałożona na skutek wykrycia naruszeń w zakresie ochrony danych osobowych, wynosi 20 mln € lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w odniesieniu do przedsiębiorcy, przy czym zastosowanie ma kwota wyższa.
Realne sankcje
Sam fakt nałożenia tak wysokiej kary stanowi wyraz tego, że dotkliwe konsekwencje finansowe łamania przez przedsiębiorców przepisów dotyczących ochrony danych osobowych, są jak najbardziej realne, a podmioty zobowiązane do stosowania RODO powinny być świadome, że jego przepisy nie będą przepisami martwymi.
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)