Proste to RODO ochrona danych w medycynie

Kary RODO w Polsce

Kary RODO w Polsce w Europie

Statystyki kar RODO w Polsce i w Europie.

Kary RODO w Polsce. Wielu z nas w codziennej pracy stara się wszelkimi sposobami wzbudzać i docierać do świadomości pracowników oraz administratorów danych osobowych. Nie ukrywajmy tego, ale jedną z metod jest uświadamianie poprzez podawanie przykładów kar nałożonych przez właściwe organy. Często konkretna decyzja dotycząca kary RODO w Polsce, czy w Europie, staje się przedmiotem naszej głębszej analizy.

Kary RODO to jedno ale są jeszcze odszkodowania.

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

  1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
  2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
  3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
  4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
  5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.
  6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Ciekawe narzędzie do analityki danych w zbiorze Kary RODO

Skontaktowali się z nami twórcy serwisu PrivacyAffairs.com proponując nam współpracę, oraz przedstawiając swoje narzędzie – bezpłatne – do analizowania informacji związanych z decyzjami nakładającymi kary RODO w Europie. Dzięki ich rozwiązaniu w banalnie prosty i szybki sposób możemy wyszukać interesująca nas decyzję, posługując się odpowiednim filtrem. W naszej ocenie analiza tematu Kary RODO w Polsce stanie się teraz o wiele łatwiejsza i szybsza.

Dane pozyskane dzieki GDPR Fines Tracker & Statistics.

Możliwość wyszukiwania decyzji z użyciem filtrów.

Użytkownik ma możliwość, zupełnie bezpłatnie, wyszukania interesującej go decyzji, jak również przeanalizowania jej treści, z uwagi na to, iż prowadzi do niej bezpośredni link. Mamy także możliwość posługiwania się wyszukiwarką poprzez odpowiednie filtrowanie wiadomości po zadanej zmiennej np. kraj, wielkość kary.

Kary RODO w Polsce

Jak działa program RODO Sender

Program do automatycznego szyfrowania załączników email oraz wysyłania hasła odrębnym kanałem za pomocą SMS do odbiorcy wiadomości.

Kara RODO dla szkoły za odciski palca uczniów

Kara RODO dla szkoły

Kara RODO dla szkoły za odciski palca uczniów

W komunikacie UODO z dnia 05 marca 2020r., czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki (…)”.

Decyzja Z 18.02.2020R. ZSZZS.440.768.2018

W treści decyzji czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych (…) stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku (…) polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

  1. nakazuje Szkole Podstawowej w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  2. nakazuje Szkole Podstawowej w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  3. nakłada na Szkołę Podstawową w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych) (…)”.

Brak podstawy prawnej do przetwarzania danych.

Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. Szkoła korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej, którego zadaniem było identyfikowanie dzieci w celu weryfikacji tego, czy uiszczona została opłaty za posiłek.

Pierwszeństwo dla zidentyfikowanych.

W komunikacie PUODO wskazuje, iż cyt.: “(…) w ukaranej Szkole Podstawowej, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne (…)”.

Wyciąg z treści Decyzji PUODO

Posługujemy się definicją z Rozporządzenia RODO

cyt.: “(…) zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.

Identyfikacja osoby w oparciu o dane biometryczne wg. definicji RODO

cyt.: “(…) w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.(…)”.

Wyścigi podstaw do przetwarzania wygrywa 6.1.e RODO

cyt.: “(…) Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.(…)”.

Dla zainteresowanych.

Zainteresowanych tematem daktyloskopii, odsyłam do interesującego opracowania pt. “Identyfikacja użytkownika na podstawie analizy linii papilarnych“. Autor opracowania podnosi, iż cyt.: “(…) system biometryczny popełnia dwa rodzaje błędów. Pierwszy polega na uznaniu za identyczne dwóch odcisków, które w rzeczywistości pochodzą z różnych palców. Jest to tzw. fałszywe dopasowanie. Drugi rodzaj błędu to uznanie dwóch identycznych odcisków palców za różne – tzw. fałszywe niedopasowanie (…)”.

Raz jeszcze o definicji na gruncie Rozporządzenia RODO

Uwaga pierwsza

Po lekturze ww opracowania, wskazuję raz jeszcze i podkreślam,  na gruncie analizowanej Decyzji PUODO pamiętać należy o autonomicznej definicji danych biometrycznych, jaką wprowadza art. 4 pkt 14) Rozporządzenia RODO, gdzie to „dane biometryczne” oznaczają

  • (1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
  • (2) dotyczą cech
    • fizycznych,
    • fizjologicznych
    • lub behawioralnych osoby fizycznej
  • (3) które
    • umożliwiają
    • lub potwierdzają jednoznaczną identyfikację tej osoby,
  • (np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)

(1) + (2) + (3) = dane biometryczne.

Uwaga druga

Uwaga druga, aby uznać iż mamy do czynienia z danymi biometrycznymi, w rozumieniu ww. definicji na gruncie Rozporządzenia RODO, nie wystarczy, aby przetwarzać dane w postaci wizerunku twarzy (fotografia). Motyw 51 stanowi bowiem, iż cyt.: “(…) przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”.

Definicja danych biometrycznych

Lorem ipsum dolor sit amet, consectetur adipisciZa sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne? Czytaj więcej >>>

Procedura wewnętrzna bezpieczeństwa na terenie placówki.<br>Procedura postępowania w przypadku podejrzenia zakażenia COVID-19.

5/5

99,00 pln

Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych.
30 marca 2020 r.
Częstochowa

5/5

499,00 pln

Materiały szkoleniowe z warsztatów – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych. Zestaw gotowych dokumentów do wykorzystania w pracy.

5/5

200,00 pln

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

5/5

29,00 pln

Kary RODO w Polsce

Kary RODO w Polsce

Kary RODO w Polsce

Usystematyzowane i ułożone według kolejności decyzje nakładające kary RODO w Polsce. Sygnatury akt spraw odwoławczych. Informacje i doniesienia prasowe w temacie. Wszystko zebrane w jednym miejscu. Dla zainteresowanych wszystkie decyzje Urzędu Ochrony Danych Osobowych.

Bisnode

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 15 marca 2019r. ZSPR.421.3.2018.
Informacja prasowa UODO.

 

Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy. Informacja prasowa UODO.

Dolnośląski Związek Piłki Nożnej

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 25 kwietnia 2019r. ZSPR.440.43.2019. Informacja prasowa UODO.

 

WSA w Warszawie potwierdził zasadność kary nałożonej na Dolnośląski Związek Piłki Nożnej. Informacja prasowa UODO.

ClickQuickNow Sp. z o.o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.7.2019.
Informacja prasowa UODO.

Morele.net Sp. z o. o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.2.2019.
Informacja prasowa UODO.

Kary RODO w medycynie

Proste to RODO - Rozporządzenie RODO

Kary RODO w medycynie i nie tylko.

Pytania, które powinien sobie zadać każdy, kto zarządza jednostką medyczną

    • Czy masz świadomość tego, ile podmiotów zostało ukaranych z RODO od początku obowiązywania przepisów?
    • Czy wiesz jaka jest wartość kar RODO nałożónych od początku obowiązywania Rozporządzenia?
    • Jaki jest roczny budżet jednostki, jaką zarządzasz, który przeznaczany jest na jej funkcjonowanie?

Rozporządzenie RODO

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

4.   Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

5.   Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

6.   Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Liczba podmiotów ukaranych:

237

Wartość kar RODO:

€152,926,145

Nieprawidłowe praktyki podmiotów medycznych:

Kary RODO w medycynie stały się faktem. Co było powodem nałożenia na podmioty medyczne kar z RODO, zobacz sam. Zastanów się, czy w twojej jednostce wszystko funkcjonuje tak jak powinno.

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Pierwsza kara dla podmiotu publicznego

Proste to RODO - Rozporządzenie RODO

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

Pierwsza kara dla podmiotu publicznego. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.  

Umowa powierzenia przetwarzania danych

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

Przeglady danych

To jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego prowadzonego przez Prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Analiza ryzyka

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

RCPD

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Współpraca z PUODO

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Decyzja PUODO z 18.10.2109 [ZSPU.421.3.2019]

Źródło informacji: www.uodo.gov.pl

Bezpłatna konsultacja telefoniczna

Zapraszamy do kontaktu z nami. W ramach bezpłatnej konsultacji telefonicznej postaramy się określić, w jaki sposób jesteśmy w stanie Państwu pomóc. Tel. +48 694 494 240

Kary RODO w medycynie

Kary RODO w medycynie

Kary RODO w medycynie - omówienie decyzji

Kary RODO w medycynie stały się faktem. Wadliwe wdrożenie przepisów o ochronie danych osobowych to jedna z podstaw nakładania kar finansowych. Brak realizacji przyjętych i wdrożonych procedur, to kolejny problem jednostek. Elementarne uchybienia w zakresie dostępu do dokumentacji medycznej dotykają szerokiego grona podmiotów medycznych. Wskazane kategorie uchybień stały się powodami dla których organy nadzorcze podejmowały decyzje o nałożeniu kar finansowych z RODO na jednostki medyczne. Źródło danych, wykaz kar RODO w medycynie.

Kary RODO w Europie / statystyki / zestawienia

Prezentujemy Wam także Ciekawe narzędzie do analizy danych związanych z karami RODO, jakie zostały nałożone.

Zobaczcie sami jakie ciekawe informacje można pozyskać:

GDPR Fines Tracker & Statistics

Kary finansowe RODO - bezpieczeństwo systemów teleinformatycznych

Kara RODO HOLANDIA

Holandia
460,000 Euro

Szpital w Holandii nie posiadał adekwatnych wewnętrznych rozwiązań organizacyjno - technicznych w zakresie bezpieczeństwa i zasady ograniczonego dostępu do dokumentacji medycznej. W wyniku nieprawidłowej procedury dziesiątki pracowników szpitala miało możliwość niczym nieuzasadnionego przeglądania dokumentacji medycznej "znanej holenderskiej osoby".

Proste to RODO

Dostęp do dokumentacji medycznej powinny posiadać wyłącznie osoby upoważnione do tego, w związku z realizacją celów określonych przez jednostkę.

Ponadto dostęp do danych szczególnej kategorii powinien być realizowany zgodnie z zakresem poleceń wydanych przez jednostkę, jako administratora danych osobowych. Powyższe wymaga prowadzenie i aktualizowania wykazu osób upoważnionych.

Jak również wymaga od administratorów systemów informatycznych prowadzenia i ewidencjonowania nadanych loginów do systemów informatycznych. Wymusza również przyjęcie i stosowanie polityki weryfikacji poprawności posługiwania się loginami i indywidualnymi hasłami przez personel upoważniony.

Nieprawidłowe praktyki jednostek medycznych:

Kary finansowe RODO - udostępnianie dokumentacji medycznej

Kara RODO Cypr

Cypr
5,000 Euro

Jednostka medyczna nie mogła zrealizować prawa pacjenta do dostępu do dokumentacji medycznej z uwagi na fakt, iż nie potrafiła jej odszukać.

Proste to RODO

Jednostki medyczne powinny bezwzględnie realizować prawo pacjentów do dostępu do dokumentacji medycznej oraz do udzielania informacji na temat ich stanu zdrowia i udzielonych im świadczeń medycznych.

Jednostki w tym celu powinny posiadać procedury udostępniania informacji i dokumentacji medycznej oraz przeszkolić personel medyczny w posługiwaniu się nimi.

Nieprawidłowe praktyki jednostek medycznych:

Kary finansowe RODO - błąd systemu teleinformatycznego

Portugalia Kara RODO

Portugalia
400,000 Euro

Wadliwie działający system zarządzania loginami / profilami umożliwiającymi dostęp do dokumentacji medycznej stał się powodem nałożenia kary na portugalski szpital. W systemie aktywnych było 985 profili a zatrudnionych tylko 296 lekarzy.

Proste to RODO

Aktualizowanie profili loginów dostępowych jest obowiązkiem jednostki. Każda zmiana personelu wymaga podjęcia działań w zakresie aktualizacji loginów dostępowych.

Jednostki powinny także wdrażać polityki resetowania haseł, tak aby nie były tworzone nowe profile dostępowe bez usuwania starych, co do których hasło zostało zagubione przez pracownika.

Zakres uprawnień dla nadawanego loginu powinien być zgodny z zakresem upoważnienia wydanego przez administratora danych osobowych .

Nieprawidłowe praktyki jednostek medycznych:

Kary finansowe RODO - błąd systemu teleinformatycznego

Flaga Bułgaria Proste to RODO

Bułgaria
510 Euro

Bez dyspozycji pacjenta, doszło do zmiany podmiotu odpowiedzialnego za opiekę medyczną nad zainteresowanym, w następstwie przekazania jego danych osobowych do innego podmiotu medycznego.

Proste to RODO

Jednostki medyczne posiadać wiedzę na temat swoich prawi i obowiązków. Muszą bezwzględnie znać procedury obowiązujące w realiach medycznych.

Dokumentem, który ułatwia zarządzanie procesem przetwarzania danych osobowych jest Rejestr Czynności Przetwarzania Danych, który identyfikuje podstawy prawne i cele przetwarzani.a

Nieprawidłowe praktyki jednostek medycznych:

Bezpłatne konsultacje z naszym ekspertem

Wypełnij samodzielnie ankietę sprawdzającą:

Ankieta sprawdzająca do pobrania za darmo.

Zapraszamy na bezpłatne konsultacje. Mając na uwadze opisane kary RODO w medycynie przygotowaliśmy krótka ankietę sprawdzającą ryzyko wystąpienia naruszenia ochrony danych osobowych.

Po wypełnieniu ankiety skontaktuj się z naszym ekspertem:

Po wypełnieniu ankiety zapraszamy na telefoniczne bezpłatne konsultacje. Nasz ekspert Dominik Spałek omówi z Państwem wyniki ankiety. Ankieta jak i konsultacja ma charakter anonimowy i nie jest obowiązkowa.

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Pierwsza kara z RODO

Pierwsza kara z RODO

Kara za brak realizacji obowiązku informacyjnego

Pierwsza kara z RODO 26 marca 2019r. Prezes UODO podała informację na oficjalnym briefingu o nałożeniu pierwszej kary administracyjnej w wysokości 943 tys zł. w związku z niedopełnieniem obowiązku informacyjnego przez administratora danych osobowych.

cyt.:”(…)Decyzja dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, pozyskane ze źródeł publicznie dostępnych m.in. z CEIDG i przetwarzała je w celach zarobkowych(…)”.

Czytaj dalej