Dentalna klinika u Rumunjskoj je imala povredu osobnih podataka svojih pacijenata na način da su osobni podaci iz kartona pacijenata klinike, prvenstveno kontaktni podaci, završili u drugoj dentalnoj klinici.
Ispostavilo se da je bivši zaposlenik klinike kopirao bazu pacijenata kako bi ih kontaktirao u ime druge klinike.
Da, ovdje se radi o povredi osobnih podataka.
Voditelj obrade je dentalna klinika koja vodi kartone svojih pacijenata. I mora ih zaštititi od neovlaštenog ili nezakonitog kopiranja, pristupa, brisanja, kopiranje i izmjena.
Nakon što su zaposlenici dentalne klinika shvatili da im je bivši kolega kopirao podatke pacijenata za svoje „buduće“ svrhe, dentalna klinika je ovu povredu osobnih podataka pacijenata prijavila nadzornom tijelu za zaštitu osobnih podataka u Rumunjskoj u skladu s obvezama iz članka 33. GDPR-a.
Međutim, kad je nadzorno tijelo stiglo u nadzor nad klinikom dostavom relevantnih informacija, dokumenata, procjena posljedica za pacijente, opisa poduzetih sigurnosnih mjera i dokaza, suradnja klinike je praktički prestala.
Nadzornom tijelu nije preostalo drugo nego kazniti kliniku zbog nesuradnje, odnosno, sukladno stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja, kao jedan od kriterija za izricanje novčanih upravnih kazni prema članku 83. stavku 2. točki f. GDPR-a.
Mjera radi osiguranja izostanka sigurnosnih mjera da se podaci iz kartona pacijenata ne mogu iznijeti neovlašteno i da kartonima pacijenta smiju pristupati samo i isključivo ovlaštene osobe, predstavljaju ključne sigurnosne mjere.
Uz obvezno korištenje lozinke i multifaktorske autentifikacije, važno je definirati prava pristupa s obzirom na uloge i nužne potrebe pristupa u timu klinike, kao i enkripciju podataka u kartonu pacijenta i onemogućavanje opcija za kopiranje baze podataka pacijenata na USB stik ili na drugi način.
Više o rumunjskom slučaju:
https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_20.02.2026&mtc=today
Image from Freepik
#gdprcroatia
