Pe parcursul investigaţiei, autoritatea de supraveghere austriacă a descoperit următoarele:

  • operatorul nu a numit niciun Responsabil cu protecţia a datelor (DPO), nici nu a publicat datele de contact ale acestuia şi nici nu le-a raportat autorităţii de supraveghere
  • operatorul a obligat persoanele vizate să îşi dea consimţământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul
  • şi-a încălcat datoria de a furniza informaţii în conformitate cu art. 13, 14 GDPR. 
  • în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecţiei datelor, în conformitate cu art. 35 GDPR, a fost efectuat. 

Considerand toate cele de mai sus, autoritatea de supraveghere austriacă a decis sancţionarea operatorului cu o amendă administrativă de 55.000 EURO (din care 5.000 EUR costuri procedurale).

De ce este interesantă această amendă, pe scurt:

  1. Este cea mai mare amendă impusă de autoritatea austriacă de la intrarea in vigoare a GDPR-ului
  2. Este prima amendă din Europa care vizează încălcarea obligaţiei privind desemnarea unui DPO
  3. Este prima sancţiune pentru lipsa evaluării a impactului asupra protecţiei datelor ce vizează un operator din sectorul medical

Tot mai mulţi operatori din sectorul medical vizaţi de sancţiuni pentru încălcarea GDPR

  1. Spitalul din Haga a fost sancţionat pentru încălcarea articol 32 din GDPR, după ce zeci de angajaţi ai spitalului au studiat dosarul medical al unui pacient foarte cunoscut, fără a avea un motiv real pentru a face asta. În urma investigaţiei, Autoritatea a impus Spitalului Haga o amendă de 460.000 de euro pentru neasigurarea unui grad adecvat de securitate al datelor.  Am scris mai multe despre această amendă aici
  2. Un spital din portugalia a fost sancţionat cu 400.000 euro pentru că  personalul spitalului, psihologii, dieteticienii şi alţi profesionişti au avut acces la datele despre pacienţi prin profiluri false. Spitalul avea 985 de profiluri de medici înregistrate, având doar 296 de medici. Mai mult, medicii au avut acces fără restricţii la toate dosarele de pacienţi, indiferent de specialitatea medicului.
  3. Un spital de stat din Cipru a fost sancţionat cu 5.000 de euro pentru neacordarea accesului la dosarul sau medical unui pacient.

Cine este obligat să îşi desemneze un Responsabil cu Protecţia Datelor (DPO) ?

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere şi de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
  • desfăşoară o activitate principală care conduce la realizarea unei monitorizări constante şi sistematice pe scară largă a persoanelor;
  • desfăşoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale şi infracţiuni.

Conform ghidului ANSPDCP privind desemnarea unui responsabil cu protecţia datelor, spitalul este dat exemplu ca operator care are această obligaţie având în vedere preclurarea pe scară largă a datelor privind starea de sănătate şi un cabinet medical individual nu are această obligaţie datorită cantităţii limitate de date privind starea de sănătate.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor (de exemplu un cabinet medical individual), ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii şi respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor şi reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

  • să informeze şi să consilieze operatorul sau persoana împuternicită de operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
    personal;
  • să monitorizeze respectarea GDPR şi a legislaţiei naţionale în domeniul protecţiei datelor;
    să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor şi să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor şi să reprezinte punctul de contact în relaţia cu aceasta.