υγείας

ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ: ΠΑΡΑΒΙΑΣΕΙΣ ΚΑΙ ΣΗΜΑΝΤΙΚΑ ΠΡΟΣΤΙΜΑ

Οι Ευρωπαϊκές Αρχές Προστασίας Δεδομένων έχουν ήδη επιβάλει σημαντικά πρόστιμα που αφορούν τα δεδομένα υγείας, παρότι διανύουμε ακόμη τους πρώτους μήνες του 2024. Με αφορμή την Παγκόσμια Ημέρα Υγείας, στις 7 Απριλίου 2024, σας παρουσιάζουμε τα πιο σημαντικά πρόστιμα που έχουν επιβληθεί εντός του 2024 αναφορικά με την επεξεργασία προσωπικών δεδομένων υγείας.

Πρόστιμο 300.000 ευρώ σε εταιρεία ιατρικών τεχνολογιών για παραβίαση προσωπικών δεδομένων σε emails

Εταιρεία ιατρικών τεχνολογιών απέστειλε ενημερωτικό email στους χρήστες μίας εφαρμογής, για την καταγραφή και παρακολούθηση των επιπέδων γλυκόζης. Το email αφορούσε  τεχνικά ζητήματα της εφαρμογής και απεστάλη σε όλους τους χρήστες, εντός και εκτός ΕΕ. Μάλιστα, η Εταιρεία απέστειλε τα emails,  χωρίς να ρυθμρίσει την «κρυφή κοινοποίηση». Επομένως, οι ηλεκτρονικές διευθύνσεις 5.000 χρηστών βρέθηκαν εκτεθειμένες, καθώς ήταν ορατές σε όλους τους παραλήπτες. 

Η ιταλική αρχή προστασίας ενημερώθηκε από την εταιρεία για το συμβάν και διαπίστωσε παραβίαση του άρθρου 9 του ΓΚΠΔ λόγω μη εξουσιοδοτημένης κοινοποίησης διευθύνσεων ηλεκτρονικού ταχυδρομείου ατόμων που πιθανόν να πάσχουν από διαβητικές παθήσεις. Η ιταλική αρχή διαπίστωσε ότι η Εταιρεία παραβίασε και τα άρθρα 5 και 32 του ΓΚΠΔ, καθώς τα τεχνικά και οργανωτικά μέτρα που είχε λάβει δεν ήταν επαρκή και κατάλληλα, ώστε να διασφαλίσουν την ασφαλή επεξεργασία των δεδομένων.Για τους λόγους αυτούς, επιβλήθηκε στην Εταιρεία διοικητικό πρόστιμο 300.000 ευρώ.

Πρόστιμο 201.232 ευρώ σε νοσοκομείο για μη επίβλεψη του εκτελούντος την επεξεργασία

Με μία πρωτοφανή απόφαση, η δανική αρχή προστασίας δεδομένων επέβαλε πρόστιμο σε ιδιωτικό νοσοκομείο, για μη επίβλεψη των εκτελούντων του. Ειδικότερα, η δανική αρχή, κατόπιν ελέγχου, διαπίστωσε ότι οι εκτελούντες την επεξεργασία δεν είχαν ελεγχθεί εδώ και χρόνια από το νοσοκομείο ως προς την συμφωνία για την συμμόρφωσή τους με τον ΓΚΠΔ.  Η αρχή έκρινε, ότι  το νοσοκομείο υποχρεούται να διασφαλίζει ότι τα προσωπικά δεδομένα τυγχάνουν σύννομης και θεμιτής επεξεργασίας από τους εκτελούντες την επεξεργασίας.

Η δανική αρχή προστασίας δεδομένων υπογραμμίζει ότι η αποτελεσματική εποπτεία των εκτελούντων την επεξεργασία δεδομένων υπερβαίνει τη σύναψη συμφωνίας προστασίας δεδομένων και απαιτεί ενεργή παρακολούθηση και μετά την υπογραφή. Μάλιστα, η ίδια αρχή έχει εκδώσει από το 2021 μία σειρά οδηγιών για την επίβλεψη των εκτελούντων την επεξεργασία. Γι’ αυτούς τους λόγους, επιβλήθηκε στο νοσοκομείο διοικητικό πρόστιμο ύψους 1.5 εκατομμυρίου κορώνες Δανίας (201.232 ευρώ).

Πρόστιμο 20.000 ευρώ σε ιατρό για την τοποθέτηση συνταγογραφήσεων σε γραμματοθυρίδα

Ιταλός ιατρός προκειμένου να αποφύγει τις επισκέψεις των ασθενών του για την παραλαβή των συνταγογραφήσεων τους, τις τοποθετούσε σε θυρίδα έξω από το ιατρείο του. Οι συνταγογραφήσεις δεν περιέχονταν σε φάκελο, με αποτέλεσμα κάθε ενδιαφερόμενος να πρέπει να ανατρέξει σε όλες τις συνταγογραφήσεις, προκειμένου να εντοπίσει τη δική του. Κατά την έρευνα της ιταλικής αρχής προσωπικών δεδομένων εντοπίστηκε ότι η θυρίδα περιείχε 67 συνταγογραφήσεις διαφορετικών ασθενών.

Η ιταλική αρχή προστασίας δεδομένων, Garante, τόνισε πως για λόγους διαφύλαξης της εμπιστευτικότητας του εγγράφου, η συλλογή των συνταγογραφήσεων από τους ασθενείς είναι δυνατή, εφόσον βρίσκονται σε κλειστό φάκελο. Η ιταλική αρχή  διαπίστωσε την παραβίαση των άρθρων 5, 9 και 32 ΓΚΠΔ και επέβαλε στον ιατρό το διοικητικό πρόστιμο των 20.000 ευρώ.

Πρόστιμο 8.000 ευρώ για ανάρτηση της ρινοπλαστικής στα social media

Κέντρο αισθητικής πλαστικής χειρουργικής στην Ιταλία ανήρτησε τόσο κατά τη διάρκεια ρινοπλαστικής επέμβασης όσο και με το πέρας αυτής, οπτικοακουστικό υλικό στο Instagram, το οποίο περιέχει δεδομένα υγείας του υποκειμένου και αποκαλύπτεται το πρόσωπο του. Παρότι το υποκείμενο είχε συγκαταθέσει στην ανάρτηση υλικού σε μέσα κοινωνικής δικτύωσης, για σκοπούς επικοινωνιακούς, επιστημονικούς και προωθητικούς, η ιταλική αρχή έκρινε ότι η ενημέρωση που είχε προηγηθεί της συγκατάθεσης ήταν πλημμελής, γενική και ανεπαρκής. Σύμφωνα με την ιταλική αρχή, όταν η συγκατάθεση δεν αφορά την επεξεργασία των δεδομένων που σχετίζονται με την παροχή της υπηρεσίας, αλλά εξυπηρετεί άλλους σκοπούς, θα πρέπει να είναι ρητή, συγκεκριμένη και εν πλήρει επιγνώσει.

Γι’ αυτό το λόγο, η ιταλική αρχή προστασίας δεδομένων, ύστερα από καταγγελία του υποκειμένου, διαπίστωσε  παραβίαση των άρθρων 5 παρ.1α, 6, 9, 12 και 13 του ΓΚΠΔ και επέβαλε διοικητικό πρόστιμο 8.000 ευρώ στο κέντρο αισθητικής πλαστικής χειρουργικής, αλλά και το μέτρο της τροποποίησης της φόρμας ενημέρωσης και συγκατάθεσης σύμφωνα με τις οδηγίες της.

Από τα παραπάνω διαπιστώνουμε ότι η διαφύλαξη των δεδομένων υγείας είναι ιδιαίτερα σημαντική. Οι πάροχοι ιατρικών υπηρεσιών θα πρέπει να είναι πολύ προσεκτικοί όταν επεξεργάζονται ευαίσθητα προσωπικά δεδομένα, καθώς  απλές, άλλοτε συνηθισμένες, πρακτικές μπορεί να αποτελέσουν παραβιάσεις.

Πηγές:

GDPRhub

BioSlice Blog | Arnold & Porter LLP | European Life Sciences

News | DataGuidance

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

ανοδική πορεία προστίμων gdpr

GDPR: Η ανοδική πορεία των προστίμων

Ανοδική πορεία  των προστίμων σχετικά με τον GDPR παρατηρείται από ποικίλες στατιστικές μελέτες κατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί. Παρά το γεγονός ότι το 2023 δεν έχει ακόμη ολοκληρωθεί, τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία του enforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

Η ανοδική ποτρεία των προστίμων σχετικά με τον GDPR για το έτος 2023, οφείλεται κυρίως στο πρόστιμο ρεκόρ που επεβλήθη στη Meta. Ειδικότερα, το πρόστιμο ανέρχεται στο ποσό των 1,2 δισεκατομμυρίων ευρώ. Αφορμή αποτέλεσε η παράνομη μεταφορά δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ.  Αναμφίβολα, μέχρι την επιβολή του προστίμου στη Meta,  στις πρώτες θέσεις των εταιρειών με τα υψηλότερα πρόστιμα, βρισκόταν η Amazon και η Criteo. Συγκεκριμένα, για την τελευταία της επεβλήθη πρόστιμο ύψους 40 εκατομμυρίων ευρώ, λόγω έλλειψης των συναινέσεων των χρηστών σχετικά με τη εξατομικευμένη διαφήμιση.

Με αφορμή, τα παραπάνω πρόστιμα δεν πρέπει να ξεχνάμε, ότι η συμμόρφωση με τον GDPR είναι σημαντική για την εύρυθμη λειτουργία των εταιρειών. Μάλιστα, από το σύνολο των προστίμων προκύπτουν τρεις κοινές παραβιάσεις, οι οποίες μπορούν να λειτουργήσουν ως αφύπνιση για τις υπόλοιπες εταιρείες.  Τα τρία κοινά λάθη είναι τα εξής:

Μη λήψη ενημέρωσης για την συναίνεση του χρήστη

Σύμφωνα με τον GDPR, οι εταιρείες πρέπει να διασφαλίζουν ότι οι πελάτες τους αντιλαμβάνονται πλήρως και συναινούν με τον τρόπο επεξεργασίας και χρήσης των δεδομένων τους. Επομένως, σημαίνει ότι οι σχετικές πληροφορίες παρατίθενται στους πελάτες, με προσιτό τρόπο, αποφεύγοντας την περίπλοκη νομική ορολογία. Απαραίτητο είναι τα άτομα να δίνουν ελεύθερα ή να αρνούνται τη συγκατάθεσή τους.

Χαρακτηριστικό παράδειγμα εταιρείας  που δεν διασφάλισε τη συναίνεση των χρηστών της είναι η Google. Το πρόστιμο, που της επεβλήθη από την Γαλλική Αρχή Προστασίας Δεδομένων ανήλθε στα 57 εκατομμύρια δολάρια, το 2019. Η δημοφιλής μηχανή αναζήτησης δεν είχε παράσχει στους χρήστες σαφείς και διαφανείς πληροφορίες σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών τους δεδομένων, με σκοπό την εξατομικευμένη  διαφήμιση.

Διαβίβαση προσωπικών δεδομένων εκτός ΕΕ

Μέρος της  συμμόρφωσης με τον GDPR περιλαμβάνει τον τρόπο μεταφοράς των δεδομένων εκτός της Ευρωπαϊκής Ένωσης (ΕΕ). Το άρθρο 44 του GDPR ορίζει ότι οι οργανισμοί πρέπει να προβλέπουν επαρκείς διασφαλίσεις για τη μεταφορά προσωπικών δεδομένων σε χώρες με λιγότερο αυστηρούς νόμους σχετικά με την προστασία δεδομένων.

Όπως εξάλλου αναφέρθηκε και ανωτέρω, επεβλήθη στη Meta πρόστιμο 1,2 δισεκατομμυρίων ευρώ από την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας.  Η εταιρεία δεν συμμορφώθηκε με απόφαση του ανώτατου δικαστηρίου της Ευρωπαϊκής Ένωσης του 2020. Αναλυτικότερα, το ανώτατο δικαστήριο έκρινε ότι τα δεδομένα των Ευρωπαίων χρηστών που μεταφέρθηκαν από την εταιρεία στις Ηνωμένες Πολιτείες, δεν έχουν επαρκή προστασία έναντι των αμερικανικών αρχών.

Παράνομη επεξεργασία δεδομένων ανηλίκων

Η προστασία των δεδομένων των ανηλίκων αποτελεί κορυφαία προτεραιότητα στο πλαίσιο του GDPR. Επομένως, οι οργανισμοί υποχρεούνται να λαμβάνουν ρητή συγκατάθεση από τον κηδεμόνα ενός ανηλίκου, πριν επεξεργαστούν προσωπικά δεδομένα παιδιών ηλικίας κάτω των 16 ετών ή μικρότερης ηλικίας, όπως ορίζεται από κάθε κράτος μέλος της ΕΕ.

Η παραβίαση των νομοθετικών υποχρεώσεων που εδραιώνονται με τον Γενικό Κανονισμό Προστασίας Δεδομένων μπορεί να έχει σημαντικές επιπτώσεις σε μία εταιρεία. Σε παράνομη επεξεργασία δεδομένων ανηλίκων προέβη η δημοφιλής πλατφόρμα κοινωνικής δικτύωσης TikTok. Ειδικότερα, της επιβλήθηκε πρόστιμο 12,7 εκατομμυρίων λιρών για παράνομη επεξεργασία δεδομένων 1,4 εκατομμυρίων παιδιών κάτω των 13 ετών χωρίς τη γονική συναίνεση. Σύμφωνα με τον GDPR, η διασφάλιση του απορρήτου και της ευημερίας των νεαρών χρηστών είναι απαραίτητο στοιχείο για την επίτευξη της συμμόρφωσης.

Τι μπορούμε να μάθουμε από αυτά τα πρόστιμα;

Λαμβάνοντας υπόψιν τα πρόστιμα του 2023 σχετικά με τον GDPR, επισημαίνεται η κρίσιμη σημασία της συμμόρφωσης με τον Κανονισμό. Αναμφισβήτητα, οι εταιρείες οφείλουν να δώσουν προτεραιότητα στη λήψη ενημέρωσης και συναίνεσης των χρηστών, να εξασφαλίζουν ασφαλείς μεταφορές δεδομένων εκτός ΕΕ και να τηρούν τους κανόνες σχετικά με την προστασία των δεδομένων των ανηλίκων.

Επομένως, οι εταιρείες πρέπει να μάθουν από τα λάθη των άλλων και να λάβουν προληπτικά μέτρα. Είναι σημαντικό να εστιάσουν  στην προστασία του απορρήτου των χρηστών, στη μείωση πιθανού κινδύνου, στην οικοδόμηση εμπιστοσύνης και στην αποφυγή των νομικών και οικονομικών συνεπειών με τη μη συμμόρφωση με τον GDPR.

 

Πηγές:

  • CPO Magazine: Lessons Learned From GDPR Fines in 2023/ Διαθέσιμο εδώ.
  • Statista: Data Protection Fines Reach Record High in 2023/ Διαθέσιμο εδώ.
  • Τechcrunch: Adtech giant Criteo hit with revised €40M fine by French data privacy body over GDPR breaches/ Διαθέσιμο εδώ.

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Top