Grčko nadzorno tijelo (DPA) kaznilo je centar za medicinsku dijagnostiku s 30.000 eura zbog kršenja načela integriteta i povjerljivosti gubitkom slika mamograma ispitanika zbog nedovoljnih tehničkih i organizacijskih mjera. DPA je dijagnostičkom centru zbog povrede podataka naložio da kao voditelj obrade obavijesti pogođene ispitanike o povredi.
Pacijentica (ispitanik) dijagnostičkog centra Pyle Axiou I.A.E. zatražila je kopije svoje medicinske dokumentacije u vezi s mamogramom provedenim u prošlosti.
Voditelj obrade je odgovorio da joj ne može dostaviti slike s mamograma, jer ih uređaj može pohraniti samo 3 mjeseca. Ispitanica je potom podnijela pritužbu DPA-u zbog kršenja svog prava na pristup. Naglasila je da su slike mamograma posebno važne s obzirom na njezinu dob i zdravstveno stanje.
Nakon pisma DPA-a, voditelj obrade je tvrdio kako su slike ipak bile pohranjene i na tvrdi disk u memoriji. Međutim, nije bilo moguće izvući ih.
Tijekom postupka, voditelj je tvrdio:
- da je iscrpio sve mogućnosti za povrat slika (ali bezuspješno);
- ispitaniku je dostavljen najvažniji medicinski karton: mišljenje liječnika na osnovi "slika".
- ispitanika je pravovremeno obavijestio o nedostupnosti slika;
- iznio je svoje mišljenje o pitanjima usklađenosti s obvezama prema člancima 32.-34. GDPR-a.
- Ispitanica je tijekom saslušanja tvrdila da je, osim kršenja prava na pristup, voditelj obrade povrijedio i njezino pravo na informacije - nije obavijestio o konačnom gubitku slika.
Tijelo za zaštitu podataka utvrdilo je da je razdoblje čuvanja slika deset godina od posljednjeg posjeta ispitanice. Tijelo za zaštitu podataka nadalje je napomenulo da slike nisu bile dostupne u vrijeme korištenja prava. Tijelo za zaštitu podataka stoga je utvrdilo da pravo ispitanice na pristup (članak 15. GDPR-a) nije prekršeno jer je bilo nemoguće dostaviti slike, iako su nezakonito izbrisane.
Međutim, DPA je utvrdio da gubitak dostupnosti slika predstavlja kršenje načela integriteta i povjerljivosti u skladu s člankom 5(1)(f) GDPR-a. DPA je zaključio da je gore navedeno kršenje rezultat nedovoljnih tehničkih i organizacijskih mjera za osiguranje odgovarajuće razine sigurnosti u skladu s člankom 32 GDPR-a.
DPA je izrekao administrativnu kaznu i dodatno ukorio voditelja jer ga je prekasno obavijestio o povredi podataka, što je kršenje članka 33 GDPR-a. DPA je također naložio voditelju da obavijesti pogođene ispitanike o povredi podataka u skladu s člankom 34 GDPR-a.
U praksi, velika većina zdravstvenih ustanova možda nije svjesna da ne čuva na adekvatan način medicinsku dokumentaciju niti je svjesna razlike zdravstvene i medicinske dokumentacije a hrvatski propisi poznaju razliku. Rizik takvog postupanja je iznimno velik stoga je preporuka da se provede kvalitetna revizija usklađenosti koja će vam ukazati na manjkavosti i rizike (koji mogu puno koštati).
