Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/9

Kraj:

Szwecja

Data wydania decyzji:

03.12.2020 r.

Podmiot kontrolowany:

Capio St. Göran AB

Wysokość kary (EUR):

2.900.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Capio St. Görans Sjukhus AB naruszyło przepisy dotyczące ochrony danych osobowych ze względu na brak przeprowadzenia analizy potrzeb i ryzyka przed przyznaniem uprawnień dostępu do systemów informatycznych zawierających dane pacjentów.

 

Opis wydarzeń

  1. Tło: Szwedzki organ nadzorczy (Datainspektionen) przeprowadził kontrolę w Capio St. Görans Sjukhus AB 3 kwietnia 2019 roku.
  2. Stwierdzone naruszenia:
    • Brak przeprowadzenia analizy potrzeb i ryzyka przed przyznaniem uprawnień dostępu do systemów Cambio Cosmic, Nationell patientöversikt (NPÖ) i TakeCare.
    • Przyznanie użytkownikom uprawnień dostępu do danych pacjentów bez odpowiednich ograniczeń.
    • Stwierdzono, że ponad 2700 pracowników miało dostęp do informacji dotyczących prawie 490 000 pacjentów, a ponad innych 600 pracowników miało dostęp do danych dotyczących około 3 milionów pacjentów znajdujących się w programie TakeCare.
  3. Działania podjęte przez Capio St. Görans Sjukhus AB:
    • Capio St. Görans Sjukhus AB twierdziło, że wcześniej przeprowadziło analizy potrzeb i ryzyka, jednak nie były one zachowane.
    • W odpowiedzi na kontrolę, Capio St. Görans Sjukhus AB przedstawiło nowe dokumenty dotyczące analiz potrzeb i ryzyka, jednak nie spełniały one wymogów prawnych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przeprowadzenie i dokumentowanie analiz potrzeb i ryzyka: Przeprowadzanie i dokumentowanie analizy potrzeb i ryzyka dla systemów informatycznych i aplikacji.
  2. Indywidualne przyznawanie uprawnień: Przyznawanie każdemu użytkownikowi indywidualnych uprawnień dostępu do danych osobowych powinno być ograniczone do niezbędnego minimum i oparte na przeprowadzonej analizie potrzeb i ryzyka skorelowanej ze stanowiskiem.
  3. Regularne przeglądy i aktualizacje: Regularne przeglądanie i aktualizowanie analizy potrzeb i ryzyka oraz przyznanych uprawnień w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO