Η Βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων (ICO), επέβαλλε το πρώτο πρόστιμο αυστηρά υπό το πρίσμα του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR), σε φαρμακείο του Λονδίνου, ύψους 275.000 λιρών (περίπου 323.000 ευρώ), για τη μη ασφαλή τήρηση ειδικής κατηγορίας προσωπικών δεδομένων.
Τα προσωπικά δεδομένα ειδικής κατηγορίας (πρώην ευαίσθητα) είναι αυτά που αποκαλύπτουν τη φυλετική ή εθνοτική τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Η εταιρεία Doorstep Dispensaree Ltd, η οποία αναλαμβάνει την προμήθεια φαρμάκων σε πελάτες και ιδρύματα δεν είχε λάβει μέτρα ασφαλείας τήρησης του φυσικού της αρχείου το οποίο περιλάμβανε έγγραφα με ονόματα, διευθύνσεις, ημερομηνίες γέννησης, αλλά και πλήθος ειδικών καατηγοριών προσωπικών δεδομένων όπως, ΑΜΚΑ, ιατρικές πληροφορίες και συνταγογραφήσεις ασθενών. Τα εν λόγω έγγραφα, τα οποία έφταναν τα 500.000 βρέθηκαν σε ξεκλείδωτα κουτιά σε εγκαταστάσεις της εταιρείας.
Επιλέον, έγγραφα που χρονολογούνταν από τον Ιούνιο του 2016 έως τον Ιούνιο του 2018 είχαν προσβληθεί από πλημμύρες λόγω του ότι δεν προστατεύονταν επαρκώς γεγονός που αποτελεί παραβίαση του GDPR και συγκεκριμένα παραβίαση των αρχών ακεραιότητας και εμπιστευτικότητας εφόσον απουσίαζε η ενδεδειγμένη ασφάλεια και προστασία των δεδομένων από καταστροφή και φθορά όπως και η χρησιμοποίηση κατάλληλων τεχικών ή οργανωτικών μέτρων.
Τα φυσικά πρόσωπα θα πρέπει να αισθάνονται ασφάλεια όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων ειδικά όταν εμπιστεύονται μία επιχείρηση ή έναν οργανισμό για την τήρηση τους. Η διαρροή δεδομένων υγείας τους εκτός από παραβίαση της νομοθεσίας, μπορεί να προκαλέσει επιπρόσθετα ανεπανόρθωτη ηθική βλάβη σε έναν ασθενή που υφίσταται σοβαρά προβλήματα υγείας.
Για την επιβολή του συγεκριμένου προστίμου η Βρετανική Αρχή έλαβε υπόψιν της τις παραβιάσεις από τις 25 Μαϊου και μετά οπότε και τέθηκε σε εφαρμογή ο GDPR και παράλληλα, διέταξε την εταιρεία να βελτιώσει τις πρακτικές προστασίας δεδομένων της εντός τριών μηνών με την απειλή περαιτέρω κυρώσεων σε περίπτωση που δεν το πράξει.
Το γεγονός αυτό αναμφίβολα αποκαλύπτει ότι η αποτυχία επιβολής του πιο απλού μέτρου προστασίας, του κλειδώματος του αποθηκευτικού χώρου τήρησης του φυσικού αρχείου μετά την εφαρμογή του GDPR, μπορεί να αποβεί μοιραία για μία εταιρεία. Ο Κανονισμός έχει τεθεί σε εφαρμογή ακριβώς για να ενιχύσει το αίσθημα ασφάλειας των προσώπων αναφορικά με την προστασία των θεμελιωδών δικαιωμάτων τους και την προστασία των δεδομένων τους, και δεν αφήνει περιθώρια σε εταιρείες που επεξεργάζονται δεδομένα ειδικής κατηγορίας να παραμένουν αδιάφορες και αδρανείς ως προς τη λήψη βασικών μέτρων προστασίας.