skip to Main Content

A svéd hatóság egészségügyi szolgáltatókat vizsgált

A Svéd Adatvédelmi Hatóság (Datainspektionen) 2020. decemberében jelentette be, hogy véget ért vizsgálata, melyben 8 különböző, állami- és magánkézben levő egészségügyi szolgáltató adatkezelését vizsgálta. A megvizsgált 8 intézmény közül 7 esetben szabálytalanságokat talált, melyeket emiatt a jövőben akár bírsággal sújthat. Úgy látszik, a Datainspektionen kiemelt figyelmet szentel az egészségügyi adatok védelmének; nem ez az első esetük, hogy hasonló területen vizsgálódnak.

Minden intézmény esetében arra volt kíváncsi a Hatóság, hogy elvégezték-e az előzetes hatásvizsgálatot annak érdekében, hogy meghatározzák a különleges adatok kezelésének kockázatait, az ezek csökkentésére hozott intézkedéseket, továbbá azt, melyik alkalmazott milyen hozzáférést kapjon az adatokhoz.

A GDPR 35. cikk (1) és (3) bekezdése értelmében adatvédelmi hatásvizsgálat elvégzésé kötelező például különleges adatok nagy számban történő kezelése esetén. A hatásvizsgálat elvégzése egészségügyi intézmények számára tehát széles körben kötelező, mely segíthet nyújthat többek között abban is, hogy pontosan meghatározzák, mely munkavállalóknak mely adatokhoz legyen hozzáférése.

A hatóság által vizsgált szolgáltatók közül mindössze egy végzett előzetes hatásvizsgálatot, de azt is hiányosan. Hét esetben az adatkezelő semmilyen mértékben nem korlátozta az adatokhoz a hozzáférést a személyzet számára, így bármely alkalmazott hozzáférhetett bármely beteg személyes adataihoz. Ez alapján a hatóság megállapította, hogy a hét intézmény nem rendelkezett a szabályos adatkezeléshez szükséges szervezeti és technikai intézkedésekkel.

A Datainspektionen várhatóan bírságokat fog kiszabni az ügyben, melyek összege 2,5M és 35M korona (89,5 millió – 1,1 milliárd Ft) között várható. A kiszabott bírságok mértéke nem egyező lesz minden esetben, különösen, mivel nem ugyanazok a szabályok vonatkoznak az állami és magánintézményekre. Magáncégek esetében a maximális kiszabható bírság a GDPR szerint szokásos 20M euró, vagy az előző éves bevétel legfelejebb 4%-a, míg állami intézmények esetében ez 10M koronában (358,5M Ft) van maximalizálva. Magyarországon költségvetési szervek esetében a bírság maximuma 20 millió forint.

A vizsgálatok befejezése nyomán a Hatóság kiadott egy útmutatót, melyben összefoglalja annak fő pontjait, illetve tanácsokat ad a hatásvizsgálatok elvégzésével kapcsolatban. Ebben ismét kiemeli, hogy a vizsgálat elvégzése alapvető szükséglet, mielőtt a kérdéses intézményekben a különleges adatok kezelése megkezdődhet. A hatásvizsgálat elvégzésére egyébként külön szoftver is létezik, melyet a francia hatóság adott ki.

Back To Top