Nieprzestrzeganie unijnego RODO może drogo kosztować szpital

Autor: pwx/Rynek Zdrowia • • 23 lipca 2019 19:52

RODO wymaga, aby wszystkie podmioty, które przetwarzają dane osobowe obywateli UE, stosowały odpowiednie środki bezpieczeństwa. Są pierwsze kary dla szpitali, które nie dostosowały się do unijnego prawa. Dotyczą szpitali w Holandii i Portugalii.

Nieprzestrzeganie unijnego RODO może drogo kosztować szpital
Fot. Adobe Stock. Data Dodania: 16 grudnia 2022

Według szacunków RODONET, polskiej sieci inspektorów danych osobowych specjalizującej się w zapewnieniu podmiotom medycznym zgodności z RODO, ponad połowa polskich podmiotów medycznych nie wdrożyła zaleceń RODO.

W przypadku małych praktyk i gabinetów lekarskich wspomniany odsetek może być jeszcze większy.

Jak podaje w przesłanej redakcji Rynku Zdrowia informacji Sylwia Mezio z RODONET, wiele gabinetów podjęło prowizoryczne działania zaradcze, takie jak zakup standardowej dokumentacji lub skopiowanie powszechnie dostępnych klauzul informacyjnych dla pacjentów i wyeksponowanie ich w miejscu świadczenia usług. - Niestety takie działania nie zapewniają ani całkowitego bezpieczeństwa danych osobowych, ani bezpieczeństwa placówki w razie kontroli RODO lub doniesienia ze strony pacjenta - uważa inspektor.

Nieprzestrzeganie przepisów dotyczących bezpieczeństwa danych osobowych może prowadzić do wysokiej kary. Dowodzą tego przypadki dwóch szpitali - w Holandii i Portugalii.

Urząd Ochrony Danych Osobowych w Holandii - Authoriteit Persoonsgegevens - ukarał szpital Haga za naruszenie RODO. Szpital Haga został ukarany grzywną w wysokości 460 000 euro za niedostosowanie środków bezpieczeństwa, które przyczyniły się do naruszenia prywatności pacjenta. Naruszenie dotyczyło osoby publicznej, której dane osobowe zostały ujawnione przez personel placówki.

W trakcie dochodzenia stwierdzono, że szpital nie posiada odpowiedniego systemu zabezpieczenia dokumentacji pacjentów, nie wdrożył uwierzytelniania dwuskładnikowego i nie monitoruje rejestru upoważnionych do przetwarzania danych osobowych. Brak odpowiednich środków bezpieczeństwa jest sprzeczny z wymogami RODO  i grzywna została uznana za konieczną.

W ubiegłym roku podobna grzywna została wydana na rzecz Centro Hospitalar Barreiro Montijo
w Portugalii przez portugalski organ ochrony danych. Szpital nie zdołał zabezpieczyć rejestrów
i uniemożliwić nieautoryzowany dostęp do danych. Portugalski szpital został ukarany grzywną
w wysokości 400 000 euro.

Zdaniem Sylwi Mezio prawidłowe wdrożenie RODO wymaga przeprowadzenia audytu bezpieczeństwa danych osobowych, opracowania wewnętrznej - znanej każdemu pracownikowi - polityki bezpieczeństwa danych. Istotne jest też m.in. stworzenie zestawu rejestrów RODO, w tym rejestru czynności przetwarzania, rejestru zbiorów danych, rejestru osób upoważnionych ( to tego rejestru zabrakło w przypadku szpitala HAGA).

 

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

    Najnowsze