GDPR-aktuellt: Höga sanktionsavgifter till portugisiskt sjukhus vid överträdelse av GDPR

Att inte uppfylla de krav som ställs i GDPR kan bli dyrt för företag och myndigheter. I Portugal har nu det första fallet där brister uppdagats lett till högt sanktionsbelopp, även utdelning av sanktionsavgifter enligt tidigare lagstiftning på området har varit i ropet de senaste veckorna.

I Portugal fällde den portugisiska motsvarigheten till Datainspektionen ett sjukhus för att ha misslyckats att uppfylla kraven i GDPR. Sjukhuset hade misslyckats med att säkerställa vem som hade åtkomst till patientdata. Exempelvis hade över 900 användare registrerats som läkare och fått tillgång till patientdata, detta trots att det endast jobbade cirka 300 läkare på sjukhuset. Dessutom saknades det tillräckliga rutiner, teknik och annan säkerhet i sjukhusets IT-system för att uppfylla kraven i GDPR. Den totala bötessumman landade på 400 000 euro. Beslutet kan dock fortfarande komma att överklagas.

Även UK och Nederländerna har tilldelat sanktionsavgifter till jätten Uber för en incident som inträffade 2016. Uber fälldes för överträdelse då de misslyckades med att rapportera ett dataintrång inom 72 timmar från att det upptäckts. Incidenten ledde till obehörig åtkomst av personliga data om både chaufförer och passagerare och upp till 57 miljoner användare världen över beräknas ha drabbats av incidenten. Då incidenten inträffade innan GDPR trätt ikraft baserades sanktionerna dock på ländernas tidigare lagstiftning på området (i vilka det redan fanns krav på snabbt agerande och rapportering vid inträffade incidenter). Sammantaget landade sanktionsbeloppet på 1 090 760 euro (motsvarande ca 11 miljoner SEK). Uber ska dock enligt besluten från UK och Nederländerna enligt vår mening vara glada att incidenten inte inträffade efter GDPR trätt ikraft, då sanktionsavgiften hade grundats på nu gällande bestämmelse ger utrymme för sanktionsbelopp upp till 4% av den globala årsomsättningen.

Som vi tidigare skrivit om har den svenska Datainspektionen hittills nöjt sig med att dela ut reprimander, så den stora frågan återstår – när kommer den första sanktionen från Datainspektionen och vem faller offer för den.