Bolnica iz Barreira u Portugalu, Centro Hospitalar Barreiro Montijo je imala dvojbenu čast da bude prvi subjekt tog tipa, koji je dobio kaznu zbog nepoštivanja GDPR-a.
Razlozi kažnjavanja
Portugalski ekvivalent hrvatskog AZOP-a, Comissão Nacional de Protecção de Dados (CNPD) kaznio je bolnicu zbog niza propusta.
Jedan od najvećih je bio taj što je zdravstvenim podacima pacijenata moglo pristupiti više ljudi koji za to nisu imali valjani razlog. U bolničkom sustavu postojalo je 985 profila zaposlenika preko kojih se moglo pristupiti osjetljivim podacima, a s druge strane u bolnici je bilo samo 296 doktora koji su ovlašteni za takav pristup. Postojali su čak i profili osoba koje više nisu radile u bolnici. Osobe koje su imale pristup uključivale su i devet socijalnih radnika, koji nisu imali nikakve potrebe za takvim pristupom.
Problem je bio i u tome što nije postojao razdvojeni sustav pristupa podacima, što je u osnovi značilo da svaki doktor, bez obzira na specijalizaciju, može pristupiti svim podacima svih pacijenata u bolnici. To je bilo direktno kršenje načela smanjenja podataka.
Ne treba ni spomenuti da bolnica nije imala razrađene i dokumentirane procedure za postupanje s podacima.
Fascinantna činjenica je bila i to što je CNPD saznao za propuste iz novina, a ne na temelju neke žalbe ili prijave.
Obrana
Pokušavajući se obraniti od optužbi bolnica je izjavila da je koristila isti IT sustav koji joj je doznačilo Ministarstvo zdravlja, ali CNPD je zaključio da je svako tijelo samo zaduženo za svoju usklađenost s GDPR-om, što znači da se bolnica trebala pobrinuti da prilagodi sustav na način da bude usklađen i siguran.
Zaključak
Za propuste je bolnica „nagrađena“ sa sveukupno 400 000 eura kazne, što još uvijek nije ni blizu od maksimalne kazne za takve prekršaje, od 20 000 000 eura ili 4% godišnjeg prometa. Blagost pri kažnjavanju opravdana je time što je bolnica odmah surađivala s nadzornim tijelom i brzo primijenila potrebne modifikacije, te je u ekspresnom roku uskladila svoje poslovanje s GDPR-om.