υγείας

ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ: ΠΑΡΑΒΙΑΣΕΙΣ ΚΑΙ ΣΗΜΑΝΤΙΚΑ ΠΡΟΣΤΙΜΑ

Οι Ευρωπαϊκές Αρχές Προστασίας Δεδομένων έχουν ήδη επιβάλει σημαντικά πρόστιμα που αφορούν τα δεδομένα υγείας, παρότι διανύουμε ακόμη τους πρώτους μήνες του 2024. Με αφορμή την Παγκόσμια Ημέρα Υγείας, στις 7 Απριλίου 2024, σας παρουσιάζουμε τα πιο σημαντικά πρόστιμα που έχουν επιβληθεί εντός του 2024 αναφορικά με την επεξεργασία προσωπικών δεδομένων υγείας.

Πρόστιμο 300.000 ευρώ σε εταιρεία ιατρικών τεχνολογιών για παραβίαση προσωπικών δεδομένων σε emails

Εταιρεία ιατρικών τεχνολογιών απέστειλε ενημερωτικό email στους χρήστες μίας εφαρμογής, για την καταγραφή και παρακολούθηση των επιπέδων γλυκόζης. Το email αφορούσε  τεχνικά ζητήματα της εφαρμογής και απεστάλη σε όλους τους χρήστες, εντός και εκτός ΕΕ. Μάλιστα, η Εταιρεία απέστειλε τα emails,  χωρίς να ρυθμρίσει την «κρυφή κοινοποίηση». Επομένως, οι ηλεκτρονικές διευθύνσεις 5.000 χρηστών βρέθηκαν εκτεθειμένες, καθώς ήταν ορατές σε όλους τους παραλήπτες. 

Η ιταλική αρχή προστασίας ενημερώθηκε από την εταιρεία για το συμβάν και διαπίστωσε παραβίαση του άρθρου 9 του ΓΚΠΔ λόγω μη εξουσιοδοτημένης κοινοποίησης διευθύνσεων ηλεκτρονικού ταχυδρομείου ατόμων που πιθανόν να πάσχουν από διαβητικές παθήσεις. Η ιταλική αρχή διαπίστωσε ότι η Εταιρεία παραβίασε και τα άρθρα 5 και 32 του ΓΚΠΔ, καθώς τα τεχνικά και οργανωτικά μέτρα που είχε λάβει δεν ήταν επαρκή και κατάλληλα, ώστε να διασφαλίσουν την ασφαλή επεξεργασία των δεδομένων.Για τους λόγους αυτούς, επιβλήθηκε στην Εταιρεία διοικητικό πρόστιμο 300.000 ευρώ.

Πρόστιμο 201.232 ευρώ σε νοσοκομείο για μη επίβλεψη του εκτελούντος την επεξεργασία

Με μία πρωτοφανή απόφαση, η δανική αρχή προστασίας δεδομένων επέβαλε πρόστιμο σε ιδιωτικό νοσοκομείο, για μη επίβλεψη των εκτελούντων του. Ειδικότερα, η δανική αρχή, κατόπιν ελέγχου, διαπίστωσε ότι οι εκτελούντες την επεξεργασία δεν είχαν ελεγχθεί εδώ και χρόνια από το νοσοκομείο ως προς την συμφωνία για την συμμόρφωσή τους με τον ΓΚΠΔ.  Η αρχή έκρινε, ότι  το νοσοκομείο υποχρεούται να διασφαλίζει ότι τα προσωπικά δεδομένα τυγχάνουν σύννομης και θεμιτής επεξεργασίας από τους εκτελούντες την επεξεργασίας.

Η δανική αρχή προστασίας δεδομένων υπογραμμίζει ότι η αποτελεσματική εποπτεία των εκτελούντων την επεξεργασία δεδομένων υπερβαίνει τη σύναψη συμφωνίας προστασίας δεδομένων και απαιτεί ενεργή παρακολούθηση και μετά την υπογραφή. Μάλιστα, η ίδια αρχή έχει εκδώσει από το 2021 μία σειρά οδηγιών για την επίβλεψη των εκτελούντων την επεξεργασία. Γι’ αυτούς τους λόγους, επιβλήθηκε στο νοσοκομείο διοικητικό πρόστιμο ύψους 1.5 εκατομμυρίου κορώνες Δανίας (201.232 ευρώ).

Πρόστιμο 20.000 ευρώ σε ιατρό για την τοποθέτηση συνταγογραφήσεων σε γραμματοθυρίδα

Ιταλός ιατρός προκειμένου να αποφύγει τις επισκέψεις των ασθενών του για την παραλαβή των συνταγογραφήσεων τους, τις τοποθετούσε σε θυρίδα έξω από το ιατρείο του. Οι συνταγογραφήσεις δεν περιέχονταν σε φάκελο, με αποτέλεσμα κάθε ενδιαφερόμενος να πρέπει να ανατρέξει σε όλες τις συνταγογραφήσεις, προκειμένου να εντοπίσει τη δική του. Κατά την έρευνα της ιταλικής αρχής προσωπικών δεδομένων εντοπίστηκε ότι η θυρίδα περιείχε 67 συνταγογραφήσεις διαφορετικών ασθενών.

Η ιταλική αρχή προστασίας δεδομένων, Garante, τόνισε πως για λόγους διαφύλαξης της εμπιστευτικότητας του εγγράφου, η συλλογή των συνταγογραφήσεων από τους ασθενείς είναι δυνατή, εφόσον βρίσκονται σε κλειστό φάκελο. Η ιταλική αρχή  διαπίστωσε την παραβίαση των άρθρων 5, 9 και 32 ΓΚΠΔ και επέβαλε στον ιατρό το διοικητικό πρόστιμο των 20.000 ευρώ.

Πρόστιμο 8.000 ευρώ για ανάρτηση της ρινοπλαστικής στα social media

Κέντρο αισθητικής πλαστικής χειρουργικής στην Ιταλία ανήρτησε τόσο κατά τη διάρκεια ρινοπλαστικής επέμβασης όσο και με το πέρας αυτής, οπτικοακουστικό υλικό στο Instagram, το οποίο περιέχει δεδομένα υγείας του υποκειμένου και αποκαλύπτεται το πρόσωπο του. Παρότι το υποκείμενο είχε συγκαταθέσει στην ανάρτηση υλικού σε μέσα κοινωνικής δικτύωσης, για σκοπούς επικοινωνιακούς, επιστημονικούς και προωθητικούς, η ιταλική αρχή έκρινε ότι η ενημέρωση που είχε προηγηθεί της συγκατάθεσης ήταν πλημμελής, γενική και ανεπαρκής. Σύμφωνα με την ιταλική αρχή, όταν η συγκατάθεση δεν αφορά την επεξεργασία των δεδομένων που σχετίζονται με την παροχή της υπηρεσίας, αλλά εξυπηρετεί άλλους σκοπούς, θα πρέπει να είναι ρητή, συγκεκριμένη και εν πλήρει επιγνώσει.

Γι’ αυτό το λόγο, η ιταλική αρχή προστασίας δεδομένων, ύστερα από καταγγελία του υποκειμένου, διαπίστωσε  παραβίαση των άρθρων 5 παρ.1α, 6, 9, 12 και 13 του ΓΚΠΔ και επέβαλε διοικητικό πρόστιμο 8.000 ευρώ στο κέντρο αισθητικής πλαστικής χειρουργικής, αλλά και το μέτρο της τροποποίησης της φόρμας ενημέρωσης και συγκατάθεσης σύμφωνα με τις οδηγίες της.

Από τα παραπάνω διαπιστώνουμε ότι η διαφύλαξη των δεδομένων υγείας είναι ιδιαίτερα σημαντική. Οι πάροχοι ιατρικών υπηρεσιών θα πρέπει να είναι πολύ προσεκτικοί όταν επεξεργάζονται ευαίσθητα προσωπικά δεδομένα, καθώς  απλές, άλλοτε συνηθισμένες, πρακτικές μπορεί να αποτελέσουν παραβιάσεις.

Πηγές:

GDPRhub

BioSlice Blog | Arnold & Porter LLP | European Life Sciences

News | DataGuidance

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Top