В Комисията за защита на личните данни е постъпила жалба от Р.Д за незаконна обработка на личните и данни от здравно заведение (З.З). Комисията е образувала административна преписка по случая, като е установено, че жалбоподателката г-жа Р.Д. от гр. София е пациентка на З.З., като не е била хоспитализирана в периода март 2018 г. Установено е, че на дата 19.03.2018 г. в болница З.З. ЕАД е постъпила пациентка за планово лечение, с имена – Р.Д. от друг град с имена идентични с имената на жалбоподателката, но с различен единен граждански номер. При регистрацията на пациентката в сектор „Регистратура“ в болничната информационна система са въведени трите имена на г-жа Р.Д.. които са идентични с имената на г-жа Р.Д. от София, но с различно ЕГН, като по този начин служителката от сектор „Регистратура“ е регистрирала г-жа Р.Д. с единния граждански номер на жалбоподателката Р.Д. от гр. София. От предоставените по административната преписка доказателства е видно, че е констатирано нарушение „относно объркване на данни за пациенти“ и от НЗОК, съставен е протокол за неоснователно получени суми и за З.З. е възникнало задължението за възстановяване на неоснователно получена сума.
В предоставено становище на завеждащия отдел „Прием пациенти“ в здравното заведение е посочено, че е „напълно възможно в такава натоварена със здравословни проблеми ситуация при регистрацията на пациентки с три абсолютно еднакви имена и ЕГН-та започващи с една и съща цифра, да се допусне механично и неволно такава грешка“, а в становище на сектор КТМ е посочено, че „ по повод техническа грешка довела до разменени лични данни на пациенти. На 19.03.2018 г. вследствие на проблем със захранването, суич който отговаря за свързаността на Прием пациенти се рестартира, което води до нарушена връзка клиент – сървър и като резултат до объркване в личните данни за двама пациенти“.
От събраните доказателства по административната преписка Комисията безспорно е установила, че данните на жалбоподателката Р.Д. от гр. София са обработени неправомерно от болницата в резултата на техническа грешка, за която ответната страна не спори
От Комисията са разпоредили на болницата да приеме административни и технически мерки. Техническата мярка трябва да е такава, че да въведе принципа за защита на данните по подразбиране, да се настрои използваната системата, така, че автоматично да не зареждат тези данни в случаите, когато данните се въвеждат ръчно, както и да не допуска автоматично зареждане на лични данни без да са въведени от служител на регистратурата в болницата, а да се въвеждат изцяло от лицето въз основа на информацията от личната карта, за да се избегне субективният фактор, който със конкретна заповед не може да се избегне.
Такава техническа мярка е и в изпълнение на задълженията на администратора да прилага принципа за защита на личните данни по подразбиране, който е в сила от 25 май 2018 г.
Администраторът следва да предприеме подходящите действия и да уведоми Комисията за предприетите действия в срок от един месец от влизането на решението в сила, както и да плати наложената имуществена санкция в размер на 500,00 лв. .
Пълният текст на РЕШЕНИЕ № ПП Н-01-499/2019 от 27.03.2020 г. на Комисията за защита на личните данни можете да намерите в Информационния бюлетин на комисията за месец май, наличен на интернет страницата на Комисията.