Islandský úřad uložil pokutu Národnímu ústavu soudního lékařství za porušení GDPR na webovém portálu Heilsuvera
Islandský úřad pro ochranu osobních údajů uložil Národnímu ústavu soudního lékařství (National Medical Examiner), správci, pokutu ve výši 12 000 000 ISK (přibližně 82 000 EUR) za několikanásobné porušení GDPR po narušení bezpečnosti na jeho webových stránkách Heilsuvera - online zdravotnického systému a portálu pro předepisování léků.
Okolnosti
Islandský úřad pro ochranu údajů obdržel oznámení od Národnímu ústavu soudního lékařství (správce) o narušení bezpečnosti jeho webových stránek Heilsuvera. Prostřednictvím webových stránek byly neoprávněným osobám zpřístupněny osobní údaje fyzických osob.
Bylo například možné, že po přihlášení na webové stránky Heilsuvera došlo k manipulaci s tzv. parametry za účelem zobrazení neautorizovaných zpráv (např. kliknutím pravým tlačítkem myši počítače na přístupový kód na konkrétní stránce webu a jeho následnou změnou k zobrazení jiné stránky v dané oblasti). Bylo zjištěno, že bylo možné změnit adresu URL snímku sonogramu, k němuž měly osoby přístup ze systému zdravotnické dokumentace, za účelem zobrazení jiných snímků v systému, tj. příloh, které tam byly také uloženy.
Správce vysvětlil, že porušení ochrany údajů následovalo mimo jiné proto, že došlo k závadě na propojovacím kabelu v důsledku komunikace se systémem mimo webové stránky společnosti Heilsuvera. Přesněji řečeno, kontrolní prvky rozhraní API, které se aktivují při načítání dokumentů mimo webové stránky společnosti Heilsuvera, neměly dostatečnou funkčnost pro potvrzení práv pro přístup k údajům.
Stanovisko
Islandský úřad uvedl, že všechny operace zpracování musí být v souladu s obecnými zásadami podle článku 5 GDPR. Konkrétně úřad uvedl, že činnosti zpracování musí být v souladu se zásadou integrity a důvěrnosti podle čl. 5 odst. 1 písm. f) GDPR.
Dále úřad zdůraznil, že dané činnosti zpracování musí být mimo jiné v souladu také s požadavky na zabezpečení zpracování podle článku 32 GDPR a se zásadou záměrné a standardní ochrany údajů podle článku 25 GDPR.
Úřad pro ochranu osobních údajů zohlednil povahu zpracovávaných osobních údajů (údaje obsahovaly citlivé údaje podle článku 9 GDPR v rámci internetových stránek společnosti Heilsuvera a shledal, že je mimořádně důležité, aby byla zavedena vhodná technická a organizační opatření k zajištění bezpečnosti zpracování podle čl. 32 odst. 1 GDPR.
Bylo rovněž zdůrazněno, že s ohledem na citlivou povahu dotčených informací je třeba vyvinout zvláštní úsilí k zajištění vestavěné a standardní ochrany údajů podle článku 25 GDPR.
Úřad nakonec rozhodl, že správce nezajistil zabezpečení osobních údajů zpracovávaných na internetových stránkách společnosti Heilsuvera způsobem požadovaným v čl. 32 odst. 1 písm. b) a d) obecného nařízení o ochraně osobních údajů. Úřad rovněž zjistil, že záměrná a standardní ochrana osobních údajů nebyla dostatečně zajištěna, jak požaduje článek 25 GDPR. V důsledku toho bylo zjištěno, že správce rovněž porušil zásadu integrity a důvěrnosti podle čl. 5 odst. 1 písm. f) GDPR.
Správci byla za porušení čl. 5 odst. 1 písm. f), článku 25 a čl. 32 odst. 1 písm. b) a d) nařízení GDPR uložena pokuta ve výši 12 000 000 ISK (přibližně 82 000 EUR).