Španjolska Agencija za zaštitu podataka (AEPD) je nedavno kaznila bolnicu IDCQ Hospitales y Sanidad, S.L.U. (dio grupe Quirón Salud Madrid) s 1.200.000 eura zbog nezakonitog brisanja medicinskih podataka pacijenta i kršenja načela zaštite podataka po dizajnu te po zadanim postavkama (privacy by design and by default).
Ispitanik je 18. studenog 2021. podvrgnut magnetskoj rezonanciji u bolnici. Donijeli su nekoliko CD-ova koji sadrže ranije snimke magnetske rezonancije iz 2018., 2019. i 2020. godine, kako bi medicinsko osoblje moglo usporediti te slike s novim pregledom. Interna dokumentacija bolnice potvrdila je da je ispitanik dostavio te CD-ove.
Dana 29. ožujka 2022. ispitanik se vratio u bolnicu kako bi preuzeo CD-ove. Bolnica ih je obavijestila da CD-ovi nisu pronađeni. Dana 4. travnja 2022. voditelj obrade je e-poštom objasnio da bolnica ima ograničen fizički kapacitet pohrane i da se nepreuzeti fizički materijal periodično uklanja. Voditelj obrade je izjavio da CD-ovi koje je dostavio ispitanik više nisu dostupni.
Voditelj obrade je kasnije opisao svoje interne postupke. Navedeno je da pacijenti moraju prikupiti rezultate fizičkih testova u roku od mjesec dana te da ih bolnica obavještava o tom pravilu putem obrasca za prikupljanje. Sav nepreuzeti fizički materijal šalje se u središnji arhiv ili uništava nakon mjesec dana.
U siječnju 2024. ispitanik zatražio je od bolnice da ponovno vrati CD-ove. Dana 23. siječnja 2024. voditelj je odgovorio da su slike odavno uništene te je naglasio pravilo prikupljanja od mjesec dana. Dana 19. siječnja 2024. ispitanik je podnio pritužbu španjolskom DPA-u (AEPD) tvrdeći da je voditelj obrade izgubio CD-ove.
AEPD je zatražio informacije od bolnice i pokrenuo formalni postupak 22. studenog 2024. U svojoj odluci o pokretanju postupka, AEPD je naveo da činjenice koje su navedene mogu predstavljati kršenje članka 9. GDPR-a, članka 6. GDPR-a i članka 25. GDPR-a. Dana 16. srpnja 2025., AEPD je izdao prijedlog odluke kojim se predlažu kazne od 100.000 eura za članak 9., 100.000 eura za članak 6. i 1.000.000 eura za članak 25.
Voditelj obrade osporio je prijedlog. Tvrdio je da je AEPD netočno ponovno procijenio medicinske kriterije sugerirajući da su CD-ovi trebali biti dodani u medicinski karton. Prema voditelju, samo liječnik koji je liječio pacijenta može odlučiti što pripada tom kartonu prema domaćem zdravstvenom zakonodavstvu. Voditelj je inzistirao na tome da CD-ovi nisu medicinska dokumentacija koju je izradila bolnica te stoga nisu podložni obvezama čuvanja prema nacionalnom zdravstvenom zakonodavstvu. Ponovio je da bi pohranjivanje CD-ova izvan njihove neposredne dijagnostičke upotrebe prekršilo načelo minimizacije podataka. Voditelj je također izjavio da ima odgovarajuće interne postupke za rukovanje vanjskim materijalom te da su navodne povrede bile neutemeljene ili zastarjele.
Odluka - kršenje GDPR-a
AEPD je utvrdio da je voditelj obrade prekršio članke 9., 6. i 25. GDPR-a. Utvrđeno je da je voditelj nezakonito uništio zdravstvene podatke ispitanika, djelovao bez valjane pravne osnove te nije implementirao zaštitu podataka po namjeni i zadanim postavkama.
U vezi s člankom 9. GDPR-a, AEPD je utvrdio kršenje jer je voditelj izbrisao podatke MRI ispitanika bez ikakve primjenjive iznimke iz članka 9(2) i prije razdoblja čuvanja koje zahtijeva važeći propis. CD-ovi su bili dio pacijentove kliničke dokumentacije, no kada se pacijent vratio po njih, bolnica ih je već uklonila odnosno uništila.
Osim toga, AEPD je utvrdio kršenje članka 6. GDPR-a jer je bolnica izbrisala pacijentove podatke MRI bez ikakve zakonske osnove. Bolnica je uklonila CD-ove nakon mjesec dana u skladu s vlastitom praksom čišćenja arhive, iako je zdravstveni zakon zahtijevao dulje čuvanje, te nije mogla dokazati nijedan razlog iz članka 6(1) koji bi dopuštao takvo brisanje.
Nadalje, AEPD je utvrdio kršenje članka 25. GDPR-a jer bolnica nije imala nikakav postupak za upravljanje kliničkim podacima koje su pružili pacijenti i nije implementirala zaštitu podataka po namjeni i zadanim postavkama. Iako je imala pravila za snimanje i prava ispitanika, nije imala sustav koji bi regulirao pohranu, zadržavanje ili vraćanje fizičkih medija koji sadrže zdravstvene podatke, što je rezultiralo gubitkom pacijentovog CD-a.
Budući da su te zaštitne mjere trebale biti integrirane od samog početka, a bolnica je tek nakon početka istrage uspostavila postupak, AEPD je utvrdio da ovaj strukturni propust predstavlja kršenje članka 25. GDPR-a.
Štoviše, AEPD je odbacio argumente da je pogrešno protumačio obveze zaštite podataka ili da je klinička dokumentacija koju su dostavili pacijenti izuzeta od zahtjeva za čuvanje, naglašavajući da zdravstveni centri moraju čuvati sve kliničke podatke koje posjeduju, bez obzira na format.
Slijedom toga, AEPD je izrekao kazne od 100.000 eura za članak 9., 100.000 eura za članak 6. i 1.000.000 eura za članak 25., što ukupno iznosi 1.200.000 eura.
Izbjegnite kažnjavanje i uredite rokove čuvanja zdravstvene dokumentacije, provedite i implementirajte sve zahtjeve propisa o zaštiti osobnih podataka jer je to jedini način da se izbjegne kažnjavanje.
