Portugalská nemocnica dostala hneď dve pokuty za vážne porušenie GDPR: 400 000 €

Pozor na údaje, ktoré vykazujú vysokú mieru citlivosti. Nemocnica v Portugalsku na to doplatila, a tak nerešpektujúc GDPR musí znášať pomerne vysoké sankcie uložené portugalským úradom na ochranu osobných údajov Comissão Nacional de Protecção de Dados. Pacienti sú zraniteľnou kategóriou dotknutých osôb a údaje, ktoré sa o nich spracúvajú, sú citlivými v zmysle GDPR. Nemôžeme preto dopustiť, aby k takýmto údajom bol v rámci personálnej štruktúry nemocnice nezabezpečený prístup. Pre pacientov ide o výrazný dopad na ich základné práva a slobody a ujma, ktorá im môže byť takýmto konaním spôsobená, je nevyčísliteľná.

Čo sa stalo? V prípade prvého porušenia išlo problematiku neobmedzeného, resp. nedifencovaného prístupu k osobným údajom pacientov, ku ktorým mali mať prístup iba lekári. Vykonaný audit úradu však ukázal, že k osobným údajom sa dá dostať cez „falošné“ technické profily, a tak sa ku zdravotným údajom pacientov dostali aj pracovníci nemocnice, psychológovia a ďalšie nepovolané osoby. Nemocnica mala 985 registrovaných profilov v rámci IT systému, pričom iba 296 z nich boli profily lekárov a zvyšnú časť predstavovali osoby, ktoré k dátam nemali mať prístup. Nepovolaným osobám nemocnica týmto spôsobom tiež umožnila konzultovať lekárske záznamy pacientov bez riadneho povolenia. Nemocnica neprijala žiadne opatrenia, aby zamedzila takémuto ilegálneho prístupu a minimálne odstránila zo systému účty tých lekárov, ktorí pre nemocnicu už nepracujú, a preto úrad sankcionoval vo výške 300 000 EUR. Úrad však kontroloval ďalej a nakoľko nemocnica a jej kompetentné orgány neboli schopné zdokumentovať tiež schopnosť nemocnice zabezpečiť diskrétnosť, integritu, dostupnosť a trvalú odolnosť liečebných systémov a služieb, nemocnica dostala ďalšiu pokutu vo výške 100 000 EUR.

Schopnosť riadne kontrolovať prístup k osobným údajom je minimálnou požiadavkou pre fungovanie organizácií vo verejnej aj súkromnej sfére. Nielenže môže ísť, v prípade podobných porušení, o veľké finančné sankcie, v hre je tiež riziko poškodenia dobrého mena. Je potrebné prijať postupy na riadenie a monitorovanie dodržiavania prístupu a efektívne spravovať prístupové práva používateľov, aby sa podobnej situácii bolo možné vyhnúť.

Správa totožnosti a prístupu umožňuje organizáciám kontrolovať prístup používateľov k IT systémom a rovnako aj určiť a zdokumentovať, kedy a prečo bol prístup povolený. Zavedenie tejto technológie znamená, že organizácia bude môcť úradom preukázať, že je schopná ovládať a riadiť totožnosť používateľov, a tým chrániť citlivé údaje a dodržiavať GDPR.

Podľa stanoviska úradu, nemocnica neprijala vhodné technické a organizačné opatrenia, aby chránila citlivé dáta pacientov, pričom je zodpovednosťou nemocnice uistiť sa, že jej IT systémy sú v súlade s GDPR, a tak čelí dôsledkom.

Nemocnica oznámila, že voči rozhodnutiu úradu sa bude brániť. Uvidíme, či bude úspešná.