Przykładowe kary nałożone w EU i UK na firmy z branży medycznej
400,000 Euro dla publicznego szpitala w Portugalii
Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pośrednictwem fałszywych profili. System zarządzania profilami okazał się wadliwy – szpital miał 985 zarejestrowanych profili lekarzy, podczas gdy zatrudniał w rzeczywistości tylko 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza.
14,000 Euro dla cyrpyjskiego lekarza
Jedna z pacjentek poskarżyła się, że wniosek o udostępnienie jej dokumentacji medycznej nie został uwzględniony przez szpital, ponieważ administrator nie mógł zidentyfikować/zlokalizować dokumentacji.
Po zbadaniu sprawy na lekarza, który prowadził jej leczenie nałożone karę 14 tysięcy Euro za niekontrolowaną utratę dokumentacji medycznej, a dodatkowo na szpital – karę administracyjną w wysokości 5000 Euro.
350 000 Euro dla holenderskiego szpitala
Stwierdzono, że Szpital w mieście Haga nie posiada odpowiedniego wewnętrznego zabezpieczenia dokumentacji pacjentów. Dochodzenie Holenderskiego organu nadzorującego stosowanie prawa ochrony danych nastąpiło, gdy okazało się, że dziesiątki personelu szpitala bez potrzeby związanej z ochroną zdrowia sprawdzały dokumentację medyczną jednej z osób, uznawanych za celebrytę w Holandii.
25 000 Euro dla austriackiej firmy z branży medycznej
Kara została nałożona na spółkę z branży medycznej za niedopełnienie obowiązków informacyjnych oraz za niewyznaczenie inspektora ochrony danych.
7 400 Euro dla szpitala wojskowego w Bułgarii
Szpital wojskowy nie dotrzymał terminu zgłaszania naruszeń danych osobowych.
50 000 Euro dla Duńskiego Towarzystwa Ubezpieczeniowego
Menzis (Duńskie Towarzystwo Ubezpieczeń Zdrowotnych) zostało ukarane po stwierdzeniu, że personel marketingu miał dostęp do danych pacjentów.
320 000 Euro dla angielskiej apteki
Firma Doorstep Dispensaree Ltd. (apteka) przechowywała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS oraz informacje medyczne i recepty w niezamkniętych pojemnikach z tyłu budynku i nie zabezpieczyła tych dokumentów przed żywiołami, co spowodowało uszkodzenie dokumentów przez wodę.
65 000 Euro dla irlandzkiego szpitala położniczego
Irlandzki Urząd Ochrony Danych nałożył grzywnę na Cork University Maternity Hospital (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały usunięte w publicznym centrum recyklingu. Wśród usuniętych dokumentów były dane osobowe specjalnej kategorii – dotyczące sześciu pacjentów.
100 000 Euro dla 3 estońskich aptek internetowych
Osoby trzecie mogły przeglądać aktualne recepty innej osoby po zalogowaniu się do e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Organ ochrony danych podkreślił, że chociaż zakup leków na receptę dla innych osób musi być możliwy, to obowiązkiem firmy jest zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą.
2 400 Euro dla hiszpańskiego lekarza
Hiszpański organ ochrony danych (aepd) nałożył na lekarza karę w wysokości 4 tys. euro za brak polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna grzywna w wysokości 4000 EUR została obniżona zarówno za natychmiastową zapłatę, jak i przyznanie się do odpowiedzialności o każde 20% do kwoty 2400 EUR.
20 000 Euro dla belgijskiego laboratorium
Kara została nałożona za naruszenie kilku zasad RODO, poprzez: brak stosowania jakiegokolwiek szyfrowania danych pacjentów, nie przeprowadzenie DPIA (ocena ryzyka przetwarzania danych) w przypadku przetwarzania danych zdrowotnych na dużą skalę oraz brak polityki prywatności na stronie internetowej.
45 000 Euro dla włoskiego szpitala
Włoski organ ochrony danych (Garante) wszczął dochodzenie przeciwko Szpitalowi w Bergamo po tym, jak jeden z pacjentów omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną dotyczącą siedmiu innych pacjentów w swojej cyfrowej dokumentacji medycznej.
7 000 Euro dla włoskiego firmy medycznej
Kara zostala nałożona na firmę firmę TECNOMEDICAL S.r.l. po tym, jak pacjent zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej przeprowadzonego u niego zabiegu wszczepienia implantów dentystycznych, a administrator danych nie przekazał żądanych informacji w terminie i w całości.
7 000 Euro dla włoskiego firmy medycznej
Kara zostala nałożona na firmę firmę TECNOMEDICAL S.r.l. po tym, jak pacjent zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej przeprowadzonego u niego zabiegu wszczepienia implantów dentystycznych, a administrator danych nie przekazał żądanych informacji w terminie i w całości.
5 000 Euro dla greckiego lekarza pediatry
Grecki organ ochrony danych ukarał pediatrę grzywną w wysokości 5000 EUR. Ojciec poprosił administratora o wgląd do dokumentacji medycznej dziecka za pośrednictwem poczty elektronicznej. Jednak administrator nie zastosował się do tego żądania.
80 700 Euro dla duńskiej firmy medycznej
W styczniu 2021 r. organ ochrony danych dowiedział się, że firma Medicals Nordic używa WhatsApp do przesyłania poufnych informacji i danych dotyczących zdrowia obywateli poddawanych testom w ośrodkach testowych firmy. Wszyscy pracownicy pracujący w centrum testowym zostali zaproszeni do grupy WhatsApp powiązanej z centrum testowym. Członkowie tej grupy WhatsApp otrzymywali wszystkie wiadomości przesyłane przez innych pracowników w grupach. Oznaczało to, że pracownicy, którzy nie mieli związanej z pracą potrzeby przetwarzania danych – otrzymywali jednak informacje, które obejmowały m.in. numery personalne i dane dotyczące stanu zdrowia obywateli.
5 000 Euro dla rumuńskiej firmy
Firma MED LIFE S.A. wyrzuciła dokumenty zawierające wrażliwe dane pacjenta do ogólnodostępnego kosza na śmieci. Osoba znalazła te dokumenty i złożyła skargę do organu ochrony danych.
91 000 Euro dla brytyjskiej fundacji
Fundacja Tavistock and Portman – NHS Foundation Trust specjalizująca się w zdrowiu psychicznym z siedzibą w Londynie chciała przeprowadzić konkurs, w którym pacjenci kliniki tożsamości płciowej dla dorosłych mieli dostarczyć dzieła sztuki do dekoracji odnowionego budynku kliniki. W tym celu przypadkowo wysłano dwa e-maile z otwartą listą adresatów (jeden do 912 odbiorców, a drugi do 869 odbiorców). Z treści e-maila wynikało, że wszyscy odbiorcy byli pacjentami kliniki. Trust natychmiast rozpoznał błąd i bezskutecznie próbował odzyskać e-maile. W ramach dochodzenia ustalono, że trust nie posiada żadnych środków technicznych ani organizacyjnych, aby zapobiec temu wysoce przewidywalnemu błędowi ludzkiemu lub go złagodzić. ICO oceniło szkody poniesione przez osoby dotknięte chorobą jako wysokie, biorąc pod uwagę, że informacje o relacjach osób dotkniętych chorobą z kliniką tożsamości płciowej są bardzo wrażliwymi danymi osobowymi. Dzięki natychmiastowemu wdrożeniu środków bezpieczeństwa i szerokiej współpracy z ICO, kara – początkowo nałożona w wysokości 910 000 Euro została obniżona do 91 000 euro.
2 120 Euro dla polskiego szpitala
Polski organ ochrony danych nałożył na Szpital Uniwersytecki WUM karę w wysokości 2120 euro. W szpitalu uniwersyteckim doszło do naruszenia danych, w którym pacjent otrzymał skierowanie od lekarza, które zawierało między innymi dane osobowe (imię i nazwisko, adres itp.) innego pacjenta, dodatkowo ani lekarz, ani szpital nie poinformowali pacjenta ani organu o naruszeniu danych.
202 000 Euro dla firmy medycznej z wyspy Man
Firma Manx Care wysłała e-mailem niezabezpieczony załącznik zawierający poufne informacje dotyczące zdrowia pacjenta do ponad 1870 odbiorców , które nie były związane z opieką nad pacjentem. Firma nie poinformowała też osoby, której dane dotyczą, o naruszeniu danych.
20 000 Euro dla belgijskiego laboratorium
W toku dochodzenia stwierdziono, że laboratorium nie przeprowadziło oceny skutków dla ochrony danych DPIA, lekarze mogli przeglądać dane osobowe pacjentów na stronie internetowej bez szyfrowania, a także laboratorium nie opublikowało oświadczenia o ochronie prywatności na swojej stronie internetowej.
7 000 Euro dla włoskiej placówki onkologicznej
Włoski organ ochrony danych nałożył grzywnę na onkologiczną placówkę I.S.P.R.O.. w efekcie otrzymania przez jednego z pacjentów – dokumentacji medycznej innego pacjenta, omyłkowo wysłanej e-mailem.
16 000 Euro dla hiszpański zakład opieki zdrowotnej
Hiszpański organ ochrony danych nałożył karę pieniężną na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L.
Pacjent, który złożył skargę do organu ochrony danych na na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L., podczas badania lekarskiego wypełnił formularz zgody, w którym pewne pozycje były już wcześniej zaznaczone. Pierwotna kara z 20 000 EUR została obniżona do 16 000 EUR w związku z dobrowolną i szybką wpłatą grzywny.
Jeśli chciałbyś powierzyć nam funkcję DPO w Twojej firmie – oto co w ramach tej usługi będziemy wykonywać:
- powiadamiać Cię o wszelkich zmianach prawnych w tematyce GDPR / UK GDPR,
- prowadzić rejestr czynności przetwarzania (“Record of processing activities“) zgodnie z wymogami art. 30 GDPR,
- udzielać nielimitowanych porad online i telefonicznie,
- regularnie (1 do roku) dokonywać audytu Twojej firmy,
- wprowadzać wymagane prawem zmiany dokumentacji,
- reprezentować Cię wobec ICO (w tym w postępowaniu w sprawie naruszeń) oraz podmiotów danych osobowych (Data Subject Access Request).
Kliknij w przycisk DPO – aby poznać szczegóły naszej oferty
