400 000 EUR kary na gruncie RODO w Portugalii

Nie spotkałem się z przedsiębiorcą, który dyskutując o RODO nie poruszyłby kwestii kar za nieprawidłowe przetwarzanie danych osobowych oraz ich ewentualnych wysokości. Na szczęście dla wszystkich ciekawych pojawiają się już pierwsze decyzje organów nadzorczych, na podstawie których na administratorów nakładane są kary pieniężne. Jedną z nich jest decyzja Comissão Nacional de Proteção de Dados (Komisja Ochrony Danych) – odpowiednika polskiego Urzędu Ochrony Danych Osobowych.

Organ ten postanowił nałożyć 400 000 EUR kary na szpital, który nieprawidłowo zarządzał dostępami do danych swoich pacjentów, w tym zawierających informacje o ich zdrowiu. Okazało się, że w systemie informatycznych założonych było 985 kont umożliwiających dostęp do danych, mimo że liczba osób uprawnionych wynosiła 296.

Szpitalowi zarzucono brak odpowiednich procedur tworzenia kont oraz regulowania dostępu do danych. Ponadto według Komisji Ochrony Danych szpital nie dokonywał weryfikacji, czy konta byłych lekarzy zostały usunięte.

Oczywiście nie jest to decyzja ostateczna, zaś władze szpitala kwestionują jej zasadność. Niemniej orzeczenie portugalskiego organu daje nam pewne wyobrażenie o wysokości kar i może mieć wpływ również na podejście innych organów.