Φαρμακείο άφησε χιλιάδες προσωπικά δεδομένα ασθενών να καταστραφούν από το νερό στην αποθήκη του - Πρόστιμο 320 χιλιάδες ευρώ για παραβίαση του GDPR

O Επίτροπος Πληροφοριών της Μεγάλης Βρετανίας επέβαλε στις 17.12.2019 πρόστιμο ύψους 320.000 ευρώ (275.000 αγγλικές λίρες) σε γνωστό φαρμακείο του Λονδίνου για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Το φαρμακείο, το οποίο προμηθεύει φάρμακα σε χιλιάδες νοσηλευτικά ιδρύματα, άφησε περίπου 500.000 έγγραφα που περιέχουν δεδομένα προσωπικού χαρακτήρα σε ανοικτά κουτιά στο πίσω μέρος των εγκαταστάσεών του.

Τα έγγραφα, που χρονολογούνται από τον Ιούνιο του 2016 έως τον Ιούνιο του 2018, περιελάμβαναν ονόματα ασθενών, διευθύνσεις, ημερομηνίες γέννησης, αριθμούς κοινωνικής ασφάλισης, ιατρικές πληροφορίες και ιατρικές συνταγές.

Τα έγγραφα με τα παραπάνω ευαίσθητα προσωπικά δεδομένα καταστράφηκαν καθώς βράχηκαν με νερό.

Σύμφωνα με την απόφαση, το φαρμακείο απέτυχε να τηρήσει τα αρχεία των ασθενών, παραβιάζοντας την αρχή της ακεραιότητας και εμπιστευτικότητας του GDPR, σύμφωνα με την οποία τα προσωπικά δεδομένα πρέπει να είναι επεξεργάζονται με τρόπο που εξασφαλίζει την ασφάλειά τους , συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή ζημία, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα.

Το συγκεκριμένο φαρμακείο απέτυχε να συμμορφωθεί με τις παραπάνω υποχρεώσεις με δύο τρόπους. Πρώτον, δεν εφάρμοσε μέτρα για την προστασία από μη εξουσιοδοτημένη πρόσβαση, καθώς άφησε τα προσωπικά δεδομένα ασθενών σε ένα ξεκλείδωτο κουτί που ο καθένας μπορούσε να δει.

Δεύτερον, απέτυχε να τα προστατεύσει από τυχαία καταστροφή, καθώς διαπιστώθηκε ότι τα κιβώτια εκτέθηκαν στη βροχή και είχαν καταστραφεί από το νερό.

Όπως σημειώνει το γραφείο του Επιτρόπου Πληροφοριών της Αγγλίας, ο απρόσεκτος τρόπος αποθήκευσης ειδικών δεδομένων του φαρμακείου δεν ήταν ο κατάλληλος για  προστασία από τυχαία ζημιά ή απώλεια. Αυτός ο τρόπος δεν ανταποκρίνεται σε αυτό που ο νόμος προβλέπει και δεν ανταποκρίνεται σε αυτό που οι άνθρωποι περιμένουν. H συγκεκριμένη παράβαση αφορούσε κυρίως στο άρθρο 32 του GDPR (Άρθρο 32-Ασφάλεια επεξεργασίας) (cylegalnews.com/itgovernance.co.uk)