Начало » Практика » Решения на КЗЛД за 2020 г. » Решение по жалба с рег. № ППН-01-499/27.05.2019 г.

Решение по жалба с рег. № ППН-01-499/27.05.2019 г.

РЕШЕНИЕ
№ ППН-01-499/2019 г.
София, 27.03.2020 г.
 
Комисията за защита на личните данни (КЗЛД, Комисията) в състав, председател – Венцислав Караджов и членове: Цанко Цолов и Мария Матева на редовно заседание, проведено на 05.02.2020 г. и обективирано в протокол № 5/05.02.2020 г., на основание чл. 10, ал. 1 от Закона за защита на личните данни (ЗЗЛД) във вр. с чл. 57, § 1, б. „е“ от Регламент (ЕС) 2016/679, разгледа по същество жалба с рег. № ППН-01-499/27.05.2019 г., подадена от Р.Д. срещу здравно заведение (З.З.). 
В жалбата, подадена от г-жа Р.Д. са изложени твърдения, че след проверка на здравното досие, с предоставен уникален код за достъп (УКД) от РЗОК – София, е установила, че е била хоспитализирана в З.З., правени са изследвания и съответно са изтеглени пари от НЗОК.
Жалбоподателката твърди, че никога не е била хоспитализирана в болница З.З. и  не познава лекаря, който е посочен, че я е изпратил в посочената болница.
Информира, че е посещавала болницата, като пациент за амбулаторна консултация с кардиолог.
Счита, че е извършено неправомерно използване на личните ú данни. Моли за извършване на проверка на З.З. и за налагане на санкция.
Като доказателство е приложено, копие извадка от системата на НЗОК за „хоспитализация“.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, с писмо изх. № ППН-01-499#1/25.07.2019 г. на З.З. ЕАД е предоставен срок за изразяване на становище и представяне на относими доказателства.
В отговор e постъпило становище от болницата, в което е посочено, че в случая не е извършено неправомерно използване на личните данни на жалбоподателката, като са посочени следните аргументи:
Жалбоподателката Р.Д. от гр. София, е дългогодишна пациентка на З.З. ЕАД, която не е била хоспитализирана в болницата, включително и през март 2018 г. На 19.03.2018 г. в болницата е постъпила за планово лечение, пациентка със същото име, но от гр. К. и различно ЕГН, като направлението е подписано от госпожата от гр. К.
При регистрацията на пациентката Р.Д. от гр. К., в сектор „Регистратура“, в болничната информационна система са въведени трите ѝ имена и системата автоматично ги е свързала с данните на вече съществуваща пациентка със същите три имена – тези на жалбоподателката от гр. София. Служителят от „Регистратура“ е регистрирал г-жа Р.Д. от К. с ЕГН-то на жалбоподателката от София. Поради тази причина хоспитализацията на Р.Д. от гр. К. и свързаните с нея изследвания и процедура, са свързани с болничното електронно досие на жалбоподателката Р.Д. от гр. София.
При регистрацията на Р.Д. от гр. К. за болнично лечение (хоспитализация) е извършено и чекиране на данните от личната ú карта в клиентската част на регистрационната система на НЗОК „Регистрационна система на събития по хоспитализация и дехоспиталазиця“ (Хадис), която незабавно изпраща данните в сървърната част на системата, разположена в ЦУ на НЗОК. Приложена е разпечатка от Болничната информационна система - справка от Гама Кодмастер - Данни от регистрационната система на НЗОК за деня на хоспитализацията - 19.03.2018 г. и деня на дехоспитализацията - 20.03.2018 г., от които е видно, че е разчетен правилният ЕГН на Р.Д. от гр. К.
За хоспитализацията на Р.Д. от гр. К. е съставена История на заболяването (ИЗ) № **** за времето от 19 март- 20 март 2018 г., която е приложена по опис към становището. От медицинската документация е видно, че реалното болнично лечение (хоспитализация) с необходимите изследвания, са проведени на Р.Д. от гр. К., а не на жалбоподателката.
През май 2019 г. жалбоподателката Р.Д. от гр. София е посетила З.З. за провеждане на кардиологичен преглед. При регистрацията, служител от сектор „Регистратура“ е  въвел трите имена на пациентката и от болничната информационна система е излязла информация за болнично лечение в периода 19.03. – 20.03.2018 г. Жалбоподателката устно е уведомена, че ще бъде проверена причината, поради която е въведена информация за болнично лечение, което тя не е провела.
Р.Д. от София, е поискала и получила своя УКД за проверка на данните в електронното й здравно досие от районната здравноосигурителна каса - гр. София (РЗОК). При проверката на пациентското досие в Интегрираната информационна система (ИИС) на НЗОК е установила, че на нейните имена и ЕГН към НЗОК е отчетена болнична медицинска помощ в периода 19.03.2018 г. - 20.03.2018 г. (извадка от досието й е приложено към жалбата на Р.Д. от гр. София).
На 25.05.2019 г. Р.Д. от гр. София е подала жалба до КЗЛД, а на 31.05.2019 г. е подала жалба със същото съдържание и до РЗОК - София град с вх. № ***/31.05.2019 г. (приложено е копие от жалбата й до РЗОК гр. София).
В резултат на жалбата, директорът на столичната РЗОК е издал Заповед № ***/03.07.2019 г. за извършване на проверка в З.З. ЕАД. Проверката е извършена на 03.07.2019 г., като за резултата от нея е издаден Протокол № ****/18.07.2019 г. В посочения протокол подробно е описано как въведеният неверен ЕГН на пациентката Р.Д. от гр. К. е довел до неправилно отчитане на извършената й медицинска дейност по клиничната пътека, по която е била лекувана, в електронните досиета на жалбоподателката- в болницата и в ЦУ на НЗОК (приложени са копия от заповедта и протокола).
В резултат на констатациите, отразени в протокола от проверката, проверяващият е издал Протокол за неоснователно получени суми № ***** от 18.07.2019 г. - поради допуснатата от лечебното заведение грешка в отчетната информация за пациентката Р.Д. от гр. К. и е наложена санкция на З.З. ЕАД, която е била заплатена за извършеното лечение на Р.Д. от гр. К. (приложено е копие от протокола).
От изложените обстоятелства, считат, че е видно, че поради техническа грешка, допусната по случайност, в електронното досие на жалбоподателката са отразени медицински дейности, които са били извършени на г-жа Р.Д. от К.
Информират, че в З.З. ЕАД ползва софтуерните продукти на „Г.К.К.П.“ СД, които са за автоматизирано управление на дейности, свързани с регистрация на медицинско и немедицински данни за пациент, генерирани по време на престоя му в лечебно -заведение, за болнична и специализирана доболнична медицинска помощ, както и с множество проверки на валидностга и целостта на въведените данни. З.З. ЕАД има с „Г.К.К.П.“ СД и договор за абонаментна поддръжка на софтуерните продукти. Лечебното заведение е поискало от „Г.К.К.П.“ СД да извърши необходимите действия за разделянето на медицинските данни за двете пациентки с идентични три имена, намиращи се в Болничната информационна система на З.З. ЕАД, в две отделни пациентски досиета, тъй като софтуерният продукт на „Г.К.К.П.“ не предоставя възможност на лечебните заведения да извършват подобни действия самостоятелно.
На 31.07.2019 г. от „Г.К.К.П.“ СД е извършено разделянето на двете електронни пациентски досиета. Приложено е заверено копие от История на заболяването на пациентката Р.Д., от гр. К., в която се съдържат медицински документи, издадени първоначално със сгрешен ЕГН и медицински документи с коригирания ЕГН.
В заключение считат, че може да се направи извод, че при допуснатата техническа грешка по време на регистрацията на пациентката от гр. К. в болничната информационна система на З.З. ЕАД, е настъпила случайна промяна в нейния ЕГН, отразен неправилно в нейната епикриза като ЕГН на жалбоподателката от гр. София. Сгрешеният ЕГН неправилно е бил попълнен и в отчета, подаден към Интегрираната информационна система на НЗОК. От тази случайна промяна до момента не са произтекли негативни последици за жалбоподателката. И двете жени са пациентки на З.З. ЕАД, като личните им данни фигурират в болничната информационна система на лечебното заведение.
С писмо изх. № ППН-01-499#3/25.-7.2019 г. от Регионалната здравноосигурителна каса е изискано предоставяне на информация. В отговор е депозирано становище, от което е видно, че след извършена проверка е действително установено, че случаят касае техническа грешка, допусната от служител на болницата.
Разглежданата жалба е съобразена в цялост с изискванията за редовност, съгласно чл. 28, ал. 1 от Правилник за дейността на Комисията за защита на личните данни и нейната администрация (ПДКЗЛДНА), а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис.
Предвидените в чл. 38, ал. 1 от ЗЗЛД срокове са спазени, предвид разпоредбата на пар. 44, ал. 2 от Преходните и заключителни разпоредби към закона за изменение на ЗЗЛД. Същата има за предмет твърдение за неправомерно обработване на личните данни на жалбоподателката и е насочена срещу администратор на лични данни, което изискване се явява абсолютна процесуална предпоставка.
В чл. 27, ал. 2 от АПК законодателят обвързва преценката за допустимост на искането с наличие на посочените в текста изисквания. Компетентността на Комисията при разглеждане на жалби е свързана със защитата на физическите лица във връзка с обработването на техните лични данни от лица, имащи качеството „администратори на лични данни” по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR).
На проведено на 18.12.2019 г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател: Р.Д., ответна страна З.З. ЕАД, в качеството на администратор на лични данни и заинтересована страна Национална здравноосигурителна каса – гр. София. Страните са редовно уведомени за насроченото за 05.02.2020 г. заседание на Комисията за разглеждане на жалбата по същество, като им е указано разпределянето на доказателствената тежест.
Съгласно чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, § 1, б. „е“ от Регламента и чл. 38, ал. 3 от Закона за защита на личните данни Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.
По същество жалбата е основателна.
Съгласно определението по член 4, точка 1 от Регламента „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“), е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Безспорно трите имена в комбинация с единия граждански номер представляват лични данни по смисъла на Регламента.
По административната преписка не е спорно, че жалбоподателката г-жа Р.Д. от гр. София с ЕГН 57****** е пациентка на З.З., като не е била хоспитализирана в периода март 2018 г. Не е спорно, че на дата 19.03.2018 г. в болница З.З. ЕАД е постъпила пациентка за планово лечение, с имена – Р.Д. от гр. К., идентични с имената на жалбоподателката, но с различен единен граждански номер ЕГН 53 ********. При регистрацията на пациентката в сектор „Регистратура“ в болничната информационна система са въведени трите имена на г-жа Р.Д. от гр. К., идентични с имената на г-жа Р.Д. от София, но с различно ЕГН, като по този начин служителката от сектор „Регистратура“ е регистрирала г-жа Р.Д. от гр. К. с единния граждански номер на жалбоподателката Р.Д. от гр. София.
Видно от предоставените в административното производство доказателства при изготвяне на история на заболяването (ИЗ) на 19.03.2018 г. са използвани личните данни на жалбоподателката Р.Д. от гр. София с ЕГН 57********. От предоставеното ИЗ, като доказателство е видно, че е направена корекция на единния граждански номер на дата 31.07.2019 г. Предоставена е справка от Националната агенция за приходите (НАП) от дата 19.03.2018 г., от която е видно, че е направена справка за здравноосигурителния статус на г-жа Р.Д. от гр. София с ЕГН 57********, а не на действително хоспитализираната г-жа Р.Д. от гр. К. с ЕГН 53 ********. Предоставена е и справка от НАП от дата 31.07.2019 г. за здравноосигурителния статус на г-жа Р.Д. от гр. К. Като доказателства са предоставени две епикризи ДК-07-0004, от които ясно се вижда, че е променен единствено единния граждански номер на лицето, за което се отнася епикризата, не е променен адреса и съдържанието на епикризите. От фиша за имунохематологично изследване от 20.03.2018 г. отново е видно, че са използвани личните данни на г-жа Р.Д. от гр. София ЕГН 57********, като единния граждански номер е коригиран с ЕГН-то на действително хоспитализираната пациентка.
В декларацията за информираност и съгласие на пациента по отношение на източника за заплащане и диагностиката и лечението на неговото заболяване отново фигурират данните на жалбоподателката г-жа Р.Д. с ЕГН 57******** от София.
От предоставените кардиограми е видно, че са изписани две имена – Р.Д. На разчитането на запис от Holter EGG от 19.03.2018 г. са изписани трите имена Р.Д. и възраст 61 г. От предоставените по административната преписка документи е видно, че жалбоподателката е родена през 1957 г., т. е към датата на извършване разчитането на записа на Холтер EEG е на 61 г., колкото е записано и в изследването, а възрастта на действително хоспитализираната пациентката – Р.Д. от К. предвид годината на раждане 1953 г. е 65 г., т. е разчитането е направено за жалбоподателката г-жа Р.Д. от гр. София, а не за действително хоспитализираната г-жа Р.Д. от гр. К.
Предоставени са резултати от лабораторни изследвания, които като показатели на хематологичните изследвания са идентични, но едните са за Р.Д., с ЕГН 57********, а другите на Р.Д. с ЕГН 53********. По същия начин са предоставени и два амбулаторни лиса № *** от 19.03.2018 г., в които разликата е в единния граждански номер и възрастта на вписания пациент.
Предвид гореизложеното твърденията на З.З. ЕАД, че „от цялата медицинска документация е видно, че реалното болнично лечение (хоспитализация) с необходимите изследвания са проведени на Р.Д. от гр. К., а не на жалбоподателката, не кореспондира с предоставените по административната преписка доказателства.
Следва да се посочи, че релевантно към спора е твърдените на болницата, че е извършено чекиране на данните от личната карта на г-жа Р.Д. от гр. К. в клиентската част на регистрационната част на регистрационната система на НЗОК „Регистрационна система на събитията по хоспитализация и дехоспитализация“ (ХАДИС). От приложената разпечатка от болничната информационна система за хоспитализация и дехоспитализация е видно, че е разчетен правилния единен граждански номер на пациентката Р.Д. от гр. К. с ЕГН 53********. От предоставената квитанция за заплащане на потребителска такса – леглоден с № **** от 20.03.2018 г. е видно, че са посочени личните данни на действително хоспитализираната г-жа Р.Д. от гр. К. В амбулаторни листове № *** и ****, двата от 19.03.2018 г. са вписани имената и единния граждански номер на действително хоспитализираната пациентка г-жа Р.Д. от гр. К., като обаче на същите е видна дата на издаване 31.07.2019 г., т. е повече от година след хоспитализирането на пациентката.
От предоставените по административната преписка доказателства е видно, че е констатирано нарушение „относно объркване на данни за пациенти“ и от НЗОК, съставен е протокол за неоснователно получени суми и за З.З. е възникнало задължението за възстановяване на неоснователно получена сума.
В предоставено становище на завеждащия отдел „Прием пациенти“ е З.З. ЕАД е посочено, че е „напълно възможно в такава натоварена със здравословни проблеми ситуация при регистрацията на пациентки с три абсолютно еднакви имена и ЕГН-та започващи с една и съща цифра, да се допусне механично и неволно такава грешка“, а в становище ма сектор КТМ е посочено, че „ по повод техническа грешка довела до разменени лични данни на пациенти. На 19.03.2018 г. вследствие на проблем със захранването, суич който отговаря за свързаността на Прием пациенти се рестартира, което води до нарушена връзка клиент – сървър и като резултат до объркване в личните данни за двама пациенти“.
От събраните доказателства по административната преписка безспорно се установи, че данните на жалбоподателката Р.Д. от гр. София са обработени неправомерно от болницата в резултата на техническа грешка, за която ответната страна не спори.
В разпоредбата на чл. 32, § 4 Регламент ЕС 2016/679 е посочено, че администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора.
Доколкото е осъществено неправомерно обработване от страна на болницата на данните на г-жа Р.Д. от София, очевидно от З.З. не са предприети подходящи технически и организационни мерки, което се явява нарушение на разпоредбата на чл. 32, § 4 от Регламент (ЕС) 2016/679.
С оглед разпределяне на доказателствената тежест в административния процес и събраните по преписка доказателства се налага изводът, че личните данни на жалбоподателката Р.Д. от гр. София са обработени от З.З. ЕАД, в нарушение на чл. 32, § 4 от регламента. Следва да се посочи, че в хода на административното производство не са ангажирани доказателства, от които да е видно, че администраторът е предприел стъпки, физическите лица, които имат достъп до лични данни и действат под негово ръководство, обработват данните по негово указание, не са предоставени доказателства за правилата за обработване на данните от болницата, както и указания или обучения за самите физически лица, които обработват лични данни.
Комисията разполага с оперативната самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективните правомощия по чл. 58, § 2 от Регламент 679/2016 г. да упражни. Преценката се основава на целесъобразност и ефективност на решението при отчитане на особеностите на всеки отделен случай и степента на засягане на интересите на конкретно физическо лице – субект на данни, като и на обществения интерес. Правомощията по чл. 58, § 2, без това по буква „и“ , имат характер на принудителни административни мерки, чиято цел е да предотвратят или преустановят извършването на нарушение, като по този начин се достигне дължимото поведение, в областта на защитата на личните данни. Административното наказание „имуществена санкция“ има санкционен характер. При прилагането на подходящата корективна мярка по чл. 58, § 2 от Регламента се взема предвид естеството, тежестта и поледиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка – предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл. 58, § 2, буква „и“.
В конкретния случай корективните мерки по букви „а“ – „з“ и буква „й“ на чл. 58, § 2 от Регламента са приложими, предвид факта, че се касае за не предприемане на подходящи технически и организационни мерки. Комисията отчита и факта, че жалбоподателката е пациент на болницата З.З. ЕАД и личните ѝ данни фигурират в системата на болницата. Отчетен е и фактът, че въпреки, че е подадена грешна информация към НЗОК, институцията разполага с личните данни на жалбоподателката Р.Д. от гр. София.
С предоставената заповед № РД-18-162/01.08.2019 г. на изпълнителния директор на З.З. ЕАД, Комисията счита, че от болницата са предприети технически мерки за защита на данните, но тези технически мерки са предприети след установяване на нарушението от страна на болницата. Заповед № РД-18-162/01.08.2019 г. на изпълнителния директор на З.З. ЕАД е издадена едва след установяване на нарушението, предмет на настоящия спор, а е трябвало да бъде издадена на по-ранен етап, тъй като болницата не обработват данни от момента на жалбата. Самата заповед, в която е посочено служителите от „Регистратура“ стриктно да изпълняват изискването за въвеждане на ЕГН на пациент в болничната информационна система, не е достатъчна. Издадената заповед е организационна мярка, но тя е недостатъчна, защото не отстранява субективния момент, който е действието на всеки един служител, който е на смяна, а също и натовареността в болницата, което може да доведе до грешки при въвеждането в системата.
Болницата следва да приеме административни и технически мерки. Техническата мярка трябва да е такава, че да въведе принципа за защита на данните по подразбиране, да се настрои използваната системата, така, че автоматично да не зарежда тези данни в случаите, когато данните се въвеждат ръчно, както и да не допуска автоматично зареждане на лични данни без да са въведени от служител на регистратурата в болницата, а да се въвеждат изцяло от лицето въз основа на информацията от личната карта, за да се избегне субективният фактор, който със конкретна заповед не може да се избегне.
Тази техническа мярка е и в изпълнение на задълженията на администратора да прилага принципа за защита на личните данни по подразбиране, който е в сила от 25 май 2018 г. Поради всичко изложено администраторът следва да предприеме подходящите действия и да уведоми Комисията за предприетите действия в срок от един месец от влизането на решението в сила.
Съгласно гореописаното и предвид характера и вида на констатираното нарушение и обстоятелството, че същото е довършено, Комисията счита за целесъобразно, пропорционално и възпиращо налагането на корективна мярка и по чл. 58, § 2, буква „и“ от Регламента, а именно налагане и на имуществена санкция на администратора З.З. ЕАД за нарушение на чл. 32, § 4 от Регламента, като КЗЛД счита, че същата ще има предупредително и възпиращо действие и ще допринесе за спазване от страна на администратора на установения правов ред.
В съответствие с чл. 83, § 2, буква „и“, мотивите са следните:
Буква „а“ – С обработването са засегнати правата на едни субект на данни, не се установи да са настъпили вреди за жалбоподателката.
Буква „б“ – В случая, съобразно насоките на работна група 29, приети на 03.10.2017 г. се касае за небрежност от страна на З.З. ЕАД, предвид факта, че предприятията следва да отговарят за осигуряването на адекватни структури и ресурси в зависимост от естеството и сложността на своята дейност.
Буква „в“ – от административния орган е констатирано, че са предприети мерки от администратора с цел предотвратяване на подобни нарушения, издадена е заповед  № РД-18-162/01.08.2019 г. на изпълнителния директор на З.З. ЕАД за стриктно въвеждане на ЕГН на пациенти в болничната информационна система от служителите от „Регистратура“, след като е установено нарушението. Междувременно в момента на установяване на нарушението от болницата са предприети своевременни действия с цел да не се позволи нарушението да продължи или да се разрасне до етап, в който би имало много по- сериозно въздействие.
Буква „г“ – нарушението се отнася до предприемане подходящи технически и организационни мерки, в административното производство не бяха ангажирани каквито и да било доказателства досежно процедури, методи, представляващи „добри практики“, които се прилагат от болницата в сферата на защита на личните данни.
Буква „д“ - Нарушението, съгласно разпоредбата на чл. 32, § 4 от Регламента е първо за администратора.
Буква „е“ – отстраняването на нарушеното не е възможно. Съобразно насоките дадени от работна група 29 по този критерий се взема предвид, че в резултатът на намесата на администратора, отрицателните последици по отношение на правата на жалбоподателя са се проявили, отколкото биха могли да имат без тази намеса.
Буква „ж“ – обработени са трите имена, ЕГН и адрес на жалбоподателката, данни, които идентифицират и дават възможност за пряко идентифициране на лицето.
Буква „з“ – след сезиране на Комисията от субекта на данни. С тълкуване от Работна група 29 за този критерий е посочено, че спазването на това задължение не може да се тълкува като смекчаващ фактор, а липсата на уведомяване или неспазване на срока поради неадекватната оценка на степента на нарушението може да обуслови по – сериозна санкция.
Буква „и“ – администраторът не е санкциониран за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни.
Буква „й“ – към момента на извършване на нарушението не са предоставени одобрени кодекси за поведение.
Буква „к“ – при отчитане степента на извършеното нарушение, се вземат предвид като смекчаващи отговорността обстоятелство, че болницата по всякакъв начин е съдействала за изясняване на нарушението, включително и за коригиране на данните в здравното досие на жалбоподателката.
При преценка на обстоятелствата по преписката Комисията намира, че на З.З. ЕАД, следва да се наложи административно наказание „имуществена санкция“ в малък размер. Администраторите са длъжни да познава закона и да спазват неговите изисквания, още повече, че те дължат необходимата грижа, предвидена в закона и произтичаща от предмета му на дейност, кадровия и икономически ресурс. Комисията счита, че наложената санкция следва да е в размер на 500 лв. (пет стотин лева), размер много под средния минимум предвиден в Регламента, за такова нарушение.
Предвид изложеното и на основание чл. 57, § 1, б. „е“ от Регламента, съответно чл. 10, ал. 1, във връзка с чл. 38, ал. 3 от Закона за защита на личните данни, Комисията се произнесе със следното
РЕШЕНИЕ:
1. Обявява жалба с рег. № ППН-01-499/27.05.2019 г., подадена от Р.Д. срещу здравно заведение ЕАД, за основателна, за нарушение на разпоредбата на чл. 32, § 4 от Регламент (ЕС) 2016/679.
2. Във връзка с т. 1 и основание чл. 58, § 2, б. „г“ от Регламент (ЕС) 2016/679 издава  разпореждане на администратора здравно заведение  ЕАД да предприеме подходящи технически мерки за настройване на системата, по начин, който не допуска автоматично зареждане на лични данни без да са въведени от служител на регистратурата в болницата, в изпълнение на задълженията на администратора да прилага принципа за защита на личните данни по подразбиране, който е в сила от 25 май 2018 г.
3. Срок за изпълнение на разпореждането – един месец от влизането на решението в сила, след което администраторът да уведоми Комисията за изпълнението, като представи съответните доказателства.
4. Във връзка с т. 1, на основание чл. 83, § 4, буква „а“, във връзка с чл. 58, § 2, буква „и“ от Регламент 679/2016, налага на администратора на лични данни – здравно заведение ЕАД, ЕИК ******, със седалище и адрес на управление гр. *****, имуществена санкция и размер на 500 лв. (петстотин лева)
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни, пред Административен съд – София – град.
След влизане в сила на решението, сумата по наложеното наказание да бъде преведена по банков път:
Банка БНБ – ЦУ
IBAN: BG18BNBG96613000158601 BIC BNBGBGSD
Комисия за защита на личните данни, БУЛСТАТ 130961721
В случай че санкциите не бъдат платени след влизане в сила на решението, ще бъдат предприети действия за принудително събиране.

 

  ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ:
     Венцислав Караджов /п/    Цанко Цолов /п/
       Мария Матева /п/

 


Файлове за сваляне

Решение по жалба с рег. № ППН-01-499/27.05.2019 г.


Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2
Cookie Settings