HR: Nove globe AZOP
Nadzorni organ je izrekel 12 upravnih glob v skupni vrednosti 270.700 EUR. Največja – 190.000 EUR je bila izrečena Specialni bolnišnici iz Reke zaradi neustreznih zaščitnih ukrepov in drugih obveznosti posebnih vrst osebnih podatkov.
Novica je bila objavljena 13. 9. 2024
Zaradi vrste kršitev Splošne uredbe o varstvu podatkov je bila Specialni bolnišnici kot upravljavcu podatkov izrečena globa v višini 190.000 evrov. Agencija je prejela več zahtev za ugotavljanje kršitve pravice do varstva osebnih podatkov zaradi zavrnitve posredovanja kopij osebnih podatkov s strani Specialne bolnišnice z območja Reke, do katere je prišlo zaradi izgube posebnih vrst osebnih podatkov (zdravstveni podatki) julija 2019.
Agencija je v upravnem postopku ugotovila, da Specialna bolnišnica:
ni izvedla ustreznih tehničnih ukrepov za zaščito radiološkega informacijskega sistema, ker da ni izdelal varnostne kopije slik radioloških preiskav, kar je v nasprotju z vsebino prvega odstavka 32. člena GDPR. Prav neizvajanje ustreznih tehničnih ukrepov je pripeljala do nepovratne izgube osebnih podatkov (medicinskih slik radioloških preiskav) bolnikov;
bolnišnica ni obvestila Agencije o varnostnem incidentu izgube osebnih podatkov v 72 urah od trenutka, ko je izvedela za dogodek, kar je v nasprotju z določili 33. člena 1. odst. GDPR;
z družbo kot izvajalcem obdelave osebnih podatkov ni sklenila pogodbe o obdelavi osebnih podatkov, kar je v nasprotju z določili 3. odstavka 28. člena GDPR;
ni ustrezno predpisala rokov hrambe osebnih podatkov iz posnetkov telefonskih pogovorov, kar je v nasprotju z določili točke e) prvega odstavka 5. člena GDPR;
bolnišnica obdeluje osebne podatke klicateljev s snemanjem telefonskih pogovorov preko klicnega centra brez zakonske podlage iz 1. odstavka 6. člena GDPR, kar predstavlja kršitev 5. člena. Upravljavec sploh ni znal odgovoriti, kaj je pravna podlaga za snemanje telefonskih pogovorov, v nobenem delu postopka pa ni dokazal obstoja pravne podlage za takšno obdelavo osebnih podatkov, čeprav je Agencija to večkrat zahtevala;
ob vzpostavitvi klica v klicni center klicateljev niso obvestili o obdelavi osebnih podatkov v jasnem in enostavnem jeziku, kar je v nasprotju z določili 1. odstavka 12. člena GDPR. Prav tako bolnišnica klicateljem ni posredovala vseh potrebnih informacij o zbiranju njihovih osebnih podatkov s snemanjem telefonskih pogovorov na način, kot je predpisano v skladu z določili 13. člena GDPR. Pri pregledu politike zasebnosti je bilo ugotovljeno, da v nobenem delu ni navedeno, da se telefonski pogovori v klicnem centru snemajo;
pooblaščene osebe za varstvo podatkov niso vključili v zadeve v zvezi z oblikovanjem/izpopolnjevanjem politike zasebnosti in v zvezi s snemanjem telefonskih pogovorov ter predpisovanjem rokov hrambe posnetkov telefonskih pogovorov, kar je v nasprotju z določili 38. člena GDPR.
Specialna bolnišnica je namreč julija 2019 izgubila nedoločeno število osebnih podatkov pacientov, in sicer medicinske posnetke radioloških preiskav skupaj z osnovnimi identifikacijskimi podatki, v izjavah za AZOP pa so trdili, da so za izgubo podatkov izvedeli šele septembra 2022, potem ko se je posameznik obrnil na Specialno bolnišnico in zahteval vpogled v svoje osebne podatke (medicinski posnetki radioloških preiskav) v obliki kopij. V postopku je bilo ugotovljeno ravno nasprotno, saj je Agencija je ugotovila, da je glavni inženir radiologije dne 23. julija 2019 ugotovil, da dostop do strežnika radiološkega sistema, ki vsebuje slikovne datoteke bolnikov, ni mogoč. O tem je obdelovalec obvestil vodstvo bolnišnice, ki pa varnostnega incidenta ni prijavilo Agenciji za varstvo osebnih podatkov.
Med postopkom je bilo ugotovljeno, da Specialna bolnišnica ne izvaja varnostnega kopiranja arhiva slik iz radiološkega informacijskega sistema zaradi, po mnenju bolnišnice velike, količine podatkov, kar bi zahtevalo preveč sredstev in vlaganj v informacijski sistem. Specialna bolnišnica se ne more sklicevati na visoke stroške vzpostavitve varnostnih kopij, saj je dolžna zagotoviti varnost zdravstvenih podatkov, obstoja varnostnih kopij pa ni mogoče šteti za nesorazmeren strošek glede na tveganje, ki ga predstavlja izguba teh podatkov. Ravno zaradi pomanjkanja tehničnih varovalnih ukrepov Specialna bolnišnica nosi visoko stopnjo odgovornosti, saj je izdelava varnostnih kopij eno najboljših preventivnih orodij, ki zagotavlja stalno dostopnost in celovitost osebnih podatkov. AZOP ni prejel informacij, da bi Specialna bolnišnica ukrepala z namenom odprave ugotovljenih nepravilnosti.
Agencija je izrekla tudi dve upravni globi hotelom v skupni vrednosti 45.000 evrov zaradi nepooblaščene obdelave osebnih podatkov prek piškotkov ter devet upravnih glob v skupni vrednosti 35.700 evrov zaradi manjkajočih obvestil, da so trgovine pod videonadzorom, neustrezno nameščenega obvestila pred vstopom v nadzorovan prostor, ali zaradi manjkajočih obveznih informacij o izvajanju videonadzora (27. člen zakona o izvajanju splošne uredbe o varstvu podatkov).
Vir: AZOP
Naslovna slika: RawPixel
