Novosti
17.09.2024.
AZOP izrekao nove upravne novčane kazne
Agencija za zaštitu osobnih podataka izrekla je novih 12 upravnih novčanih kazni u ukupnom iznosu od 270.700 eura zbog kršenja Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka.
Zbog niza kršenja Opće uredbe o zaštiti podataka novčana kazna u iznosu od 190.000 eura izrečena je Specijalnoj bolnici kao voditelju obrade. Agencija je zaprimila više zahtjeva za utvrđivanje povrede prava na zaštitu osobnih podataka zbog nedostavljanja kopija osobnih podataka od strane Specijalne bolnice s područja Rijeke, a do čega je došlo zbog gubitka osobnih podataka posebne kategorije (podataka o zdravlju) u srpnju 2019. godine. U okviru upravnog postupka Agencija je utvrdila da Specijalna bolnica:
- nije implementirala odgovarajuće tehničke mjere zaštite informacijskog radiološkog sustava u pogledu slikovnih datoteka, odnosno nije izradila sigurnosnu kopiju osobnih podataka, medicinskih slika radioloških pretraga, a što je protivno odredbi članka 32. stavka 1. točke b) Opće uredbe o zaštiti podataka. Upravo nepoduzimanje odgovarajućih tehničkih mjera dovelo je do nepovratnog gubitka osobnih podataka (medicinskih slika radioloških pretraga) pacijenata.
- nije informirala Agenciju o sigurnosnom incidentu gubitka osobnih podataka (medicinskih slika radioloških pretraga pacijenata) iz srpnja 2019. godine u roku od 72 sata od trenutka saznanja za incident, što je protivno odredbi članka 33. stavka 1. Opće uredbe o zaštiti podataka.
- nije sklopila ugovor o obradi osobnih podataka s društvom kao izvršiteljem obrade osobnih podataka, a što je protivno odredbi članka 28. stavka 3. Opće uredbe o zaštiti podataka. Utvrđeno je kako Specijalna bolnica, kao voditelj obrade i društvo koje je bilo zaduženo za implementaciju i održavanje novog sustava, kao izvršitelj obrade, nisu sklopili ugovor odnosan na obradu osobnih podataka.
- nije na odgovarajući način propisala rokove čuvanja osobnih podataka iz snimki telefonskih razgovora, što je protivno odredbi članka 5. stavka 1. točke e) Opće uredbe o zaštiti podataka.
- obrađuje osobne podatke ispitanika putem snimanja telefonskih razgovora putem pozivnog centra bez pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, odnosno istu nije dokazala u vezi s člankom 5. stavkom 2. Naime, Specijalna bolnica nije znala niti dati odgovor koja je pravna osnova za snimanje telefonskih razgovora te u niti jednom dijelu postupka nije dokazala postojanje pravne osnove za takvu obradu osobnih podataka, iako je Agencija u više navrata tražila navedeno.
- prilikom uspostave poziva pozivnom centru nije informirala ispitanike o obradi osobnih podataka koristeći jasan i jednostavan jezik, a što je protivno odredbi članka 12. stavka 1. Opće uredbe o zaštiti podataka. Također, bolnica nije pružila ispitanicima sve potrebne informacije o prikupljanju njihovih osobnih podataka putem snimanja telefonskih razgovora na način propisan sukladno odredbi članka 13. stavka 1. točke c) i stavka 2. točke a) i b) Opće uredbe o zaštiti podataka. Pregledom politike privatnosti utvrđeno je kako u niti jednom dijelu nije naznačeno da se snimaju telefonski razgovori koji su upućeni prema pozivnom centru.
- nije uključila službenicu za zaštitu podataka u pitanja vezana uz izradu/doradu politike privatnosti te u vezi snimanja telefonskih razgovora i propisivanja rokova čuvanja snimki telefonskih razgovora, a što je protivno odredbi članka 38. stavka 1. Opće uredbe o zaštiti podataka.
Naime, u srpnju 2019. Specijalna bolnica nepovratno je izgubila neodređeni broj osobnih podataka svojih ispitanika i to medicinske slike radioloških pretraga uz osnovne identifikacijske podatke te je u svojim očitovanjima prema AZOP-u tvrdila kako je za navedeni gubitak podataka saznala tek u rujnu 2022. godine nakon što su se ispitanici obratili Specijalnoj bolnici i zatražili pristup svojim osobnim podacima (medicinske slike radioloških pretraga) u obliku kopija, dok je u postupku utvrđeno suprotno. Konkretno, Agencija je tijekom postupka utvrdila kako je glavna inženjerka radiologije još 23. srpnja 2019. godine došla do saznanja kako se ne može pristupiti serveru radiološkog sustava na kojemu se nalaze slikovne datoteke pacijenata, a o čemu je izvršitelj obrade obavijestio upravu Specijalne bolnice. No, sigurnosni incident Specijalna bolnica nije prijavila Agenciji za zaštitu osobnih podataka.
Tijekom postupka utvrđeno je kako Specijalna bolnica ne radi back up (sigurnosnu kopiju) slikovne arhive iz radiološkog informacijskog sustava zbog po riječima bolnice, velike količine podataka, što bi iziskivalo veće resurse i ulaganja u informacijski sustav bolnice. Specijalna bolnica ne može se pozivati na troškove uspostave sigurnosnih kopija, budući da je ista dužna osigurati sigurnost zdravstvenih podataka te se postojanje sigurnosnih kopija ne može smatrati nerazmjernim troškom u pogledu rizika od gubitka takvih podataka. Upravo zbog nepoduzimanja tehničke mjere zaštite Specijalna bolnica snosi visoki stupanj odgovornosti, jer je izrada sigurnosnih kopija jedan od najboljih preventivnih alata koji osigurava kontinuiranu dostupnost i cjelovitost osobnih podataka.
Agencija za zaštitu osobnih podataka nije zaprimila informacije da je Specijalna bolnica poduzela bilo kakve radnje kako bi ispravila uočene nepravilnosti.
Agencija je izrekla i dvije upravne novčane kazne hotelima u ukupnom iznosu od 45.000 eura zbog neovlaštene obrade osobnih podataka putem kolačića te devet upravnih novčanih kazni voditeljima obrade u ukupnom iznosu od 35.700 eura zbog neoznačavanja da je objekt (konkretno trgovine) pod videonadzorom ili da oznaka nije vidljiva najkasnije prilikom ulaska u perimetar snimanja, odnosno da ista ne sadrži sve relevantne informacije (članak 27. Zakona o provedbi Opće uredbe o zaštiti podataka).
(azop.hr, 13. 9. 2024.)
Fotografija: Pixabay