Kórházat bírságoltak a GDPR megsértése miatt
A GDPR bevezetése nyomán Magyarországon már 600 bejelentést kapott a hatóság, írja összeállításában a Privátbankár.
Május 25-én lépett életbe az Európai Unió általános adatvédelmi rendelete, a GDPR (Genderal Data Protection Regulation), ami egységessé tette az EU adatvédelmi szabályozását. Bár sok szempontból az új rend nem szigorúbb, mint ami Magyarországon korábban is hatályban volt, az előírások megszegése esetén kiszabható bírság akár elképesztő méreteket is ölthet: elérheti a 20 millió eurót (közel 6,5 milliárd forintot) vagy a cégcsoport teljes, globális forgalmának 4 százalékát – attól függően, melyik a több.
Jelentősen megnövekedett a nemzeti hatóságokhoz beérkező panaszok száma, Magyarországon is több mint 600 bejelentés érkezett, melyeket egyenként ki kell vizsgálni, és meg kell állapítani, hogy elég megalapozottak-e az eljárás megindításához, írja a Privátbankár.
Hasonló a helyzet az EU többi tagországában is. A brit hatósághoz hetente több mint 500 bejelentés érkezik, május 25. és július 3. között az előző évi 2417 panasz helyett már 6281 ügyben fordultak az ICO-hoz - írják. Az illetékes francia hatóság is a panaszok számának 37 százalékos növekedéséről számolt be. A legérdekesebb Írország helyzete, hiszen az olyan technológiai óriások, mint például a Google és a Facebook ,írországi leányvállalaton keresztül működnek az EU-s piacokon. Nem csoda tehát, hogy ebben az esetben is drasztikus növekedést tapasztal a hatóság, az előző évi 230 bejelentéshez képest 1713 történt május 25. óta.
Két esetben már bírságösszeg meghatározására is sor került. Az osztrák adatvédelmi hatóság (DSB) első, ítélethozással végződő GDPR-vizsgálata egy, a kamerarendszer nem megfelelő alkalmazásával kapcsolatos ügyben folyt még szeptember közepén. A megbírságolt vállalkozás olyan zártláncú kamerarendszert használt az ingatlan előtt, amely a járda – így közterület – nagy részét is rögzítette. A DSB ezt a GDPR megszegésének ítélte, hiszen a közterületek ilyen célú, nagy mértékű megfigyelése nem megengedett. A vizsgálat során kiderült, hogy a kamerarendszer használatáról szóló megfelelő tájékoztatás sem történt meg. A kiszabott bírság összege ebben az esetben 4800 euró, mintegy másfél millió forintnak megfelelő összeg volt.
A második, már bírsággal lezárt esetben egy portugál kórház, a Centro Hospitalar Barreiro Montijo esetében állapított meg komoly bírságot a helyi adatvédelmi hatóság (CNPD). A több jogsértést is feltáró vizsgálat során kiderült, hogy a kórház nem megfelelően tárolta a betegek adatait, valamint a betegadatokhoz való hozzáférés szabályozása sem volt megfelelő.
A kórházi rendszerben 985 olyan felhasználót találtak a vizsgálat során, akik orvosi hozzáféréssel rendelkeztek, holott az intézményben összesen csak 296 orvos dolgozik. Külön probléma, hogy a kórházi személyzet korlátozás nélkül hozzáfért az összes beteg összes adatához, így előfordulhatott hogy például a dietetikusok hozzáfértek a pszichiátriai adatokhoz, vagy a nem orvosként dolgozó kórházi személyek ráláttak a vizsgálatok adataira is. A betegadatbázis nem megfelelő kezelése mellett az előbb bemutatott adatkezelési folyamat egyáltalán nem tudja garantálni az adatok integritását, bizalmasságát és elérhetőségét - állapította meg a vizsgálat.
A 400 ezer eurós bírság (közel 130 millió forint!) a portugál adatvédelmi hatóság által valaha kiszabott legnagyobb büntetés. A kórház elismerte a problémákat, azonban megkérdőjelezi, hogy a CNPD eljárhat-e, és szabhat-e ki bírságot velük szemben, így várhatóan bírósági felülvizsgálatot kér a bírság kifizetése előtt.
Dr. Szilágyi András, a BKIK Mediációs és Jogi Koordinációs Osztályának elnöke a kamara által szervezett workshopon nemrég arról beszélt: a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) az elmúlt időszakban még csak puhatolózott a szabályszegő vállalkozásoknál és vállalatoknál, aminek egyik oka, hogy példamutató európai precedensre várnak – ami a büntetés mértékét illeti –, másrészt pedig az, hogy az első ízben elkövetett adatvédelmi szabályszegéseket Magyarországon a fokozatosság elve alapján csupán figyelmeztetéssel honorálják.