400 000 EUR. Tokią baudą duomenų apsaugos institucija paskyrė vienai Portugalijos ligoninei už BDAR pažeidimus. Turbūt įdomiausias momentas šioje byloje yra tai, kad tyrimas buvo pradėtas ne gavus duomenų subjekto skundą, o Portugalijos laikraščiui išpublikavus straipsnį apie galimus šios ligoninės pažeidimus duomenų apsaugos srityje. Pradėjus tirti šią situaciją, paaiškėjo, kad:

1. visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų. Tyrimą atlikusi institucija tai įvertino kaip būtinumo žinoti ir duomenų kiekio sumažinimo principo pažeidimą;

2. rasti 985 naudotojų profiliai pavadinimu „gydytojas“, kai oficialiai ligoninėje dirbo tik 296 gydytojai;

3. gydytojų, kurie nebedirba ligoninėje, profiliai buvo ir toliau palaikomi;

4. užfiksuota tik 18 neaktyvių paskyrų, kurių paskutinė buvo deaktivuota daugiau nei prieš 2 metus;

5. ligoninė neturėjo vidinių teisės aktų, kuriais būtų sureglamentuota paskyrų informacinei sistemai kūrimo tvarka ir taisyklės.

Ligoninės argumentas, jog ji naudojo IT sistemą, kurią viešosioms ligoninėms suteikė Portugalijos sveikatos ministerija, asmens duomenų apsaugos institucijos taip pat neįtikino. Nepaisant to, kad už šiuos pažeidimus grėsusi maksimali bauda yra ženkliai didesnė, nereikėtų pamiršti, kad kalbame apie viešojo sektoriaus subjektą. Pirmojoje nacionalinio duomenų apsaugos įstatymo redakcijoje Portugalija apskritai planavo netaikyti jokių baudų viešajam sektoriui, tačiau įvertinus valstybės teisinės sistemos tradicijas bei galiojančią ES teisę, to buvo atsisakyta. Palyginimui, Vokietijos asmens duomenų apsaugos institucija dar lapkritį paskyrė 20 000 EUR baudą privačiam subjektui - pokalbių platformai - už duomenų saugumo pažeidimą, kurio metu buvo atskleisti 808 000 naudotojų el. pašto adresai ir 1,8 mln. naudotojų prisijungimo prie platformos vardai ir slaptažodžiai. Tyrimo metu taip pat atskleista, kad jautri informacija, kaip kad slaptažodžiai, buvo saugoma paprastu tekstu.

Kitaip, nei Vokietijos pavyzdys ir kiti žiniasklaidoje aptariami duomenų saugumo pažeidimai, kurių metu pavogiami viešbučių ar interneto svetainių klientų duomenys, Portugalijos atvejis kalba apie Reglamento pažeidimą taikant netinkamas technines bei organizacines priemones ir netinkamai organizuojant asmens duomenų tvarkymą, kas, tikiu, aktualu didelei daliai tiek privataus, tiek viešojo sektoriaus, atstovų. Portugalijos ligoninė buvo nubausta už BDAR pagrindinių duomenų tvarkymo principų pažeidimą (BDAR 83 str. 5 d. a punktas) ir nesugebėjimą užtikrinti nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo (BDAR 32 str. 1 d. b punktas).

400 000 EUR bauda lyginant su 20 000 EUR atrodo įspūdingai, ypač atsižvelgiant į tai, kad pirmuoju atveju kalbame apie viešąjį, o antruoju - apie privatų subjektą. Didelę reikšmę sprendžiant dėl baudos dydžio neabejotinai turėjo ir duomenų jautrumas. Sveikatos duomenys yra nepalyginamai jautresni, nei asmeninė pokalbių svetainės klientų informacija. Visgi svarbiausia pamoka šioje byloje, manau, yra kiek kitokia: duomenų apsaugos institucijos itin rimtai vertina organizacinių ir techninių priemonių taikymą, procedūrų tinkamumą, reglamentavimo trūkumą visose įmonėse, net ir tose, kurios iš pirmo žvilgsnio tinkamai vykdė savo veiklą. Jeigu duomenų saugumo pažeidimų, kurių metu būtų įsilaužta į informacines sistemas ir nutekinta asmens duomenų, neįvyko, tai nereiškia, kad neatitikimas BDAR reikalavimams bus vertinamas kaip “lengvas”. Kaip matyti iš Vokietijos ir Portugalijos pavyzdžių, sulaukti rimtos baudos galima ne tik praradus milijonų klientų duomenis.

Daugiau informacijos čia.