荷蘭名人醫療記錄被隨便查看
荷蘭有一所醫院名為Dutch Haga Hospital,有數十名職員不必要的查看一名有名的荷蘭人的醫療記錄,當中沒有得到當事人的同意以及授權,亦未得到數據控制者指示,職員就訪問及處理該患者的醫療記錄。 根據GDPR 第32(4)條,未經指示下任何對個人數據享有訪問權限的僱員或其他授權主體不得處理這些數據,意思是指醫院內即使是有訪問權限的職員,未經當事人授權或在危急情況都不可以獲得患者的醫療記錄。
經調查發現,數十名醫院職員可以隨意瀏覽病人的醫療記錄是因為醫院沒有採取合適的安全保密措施,第一是他們共沒有定期檢查有權訪問記錄信息的主體,第二是沒有採取多重驗證訪問身份的機制,如登入密碼或密碼結合員工通行證去確保瀏覽者以及訪客身份。
針對該事件,荷蘭數據保護監管機構於2019 年7月19日對該醫院做出 46 萬歐元的處罰決定。 此外,為督促Dutch Haga Hospital加強及提高患者記錄的安全性,強加了一個整改處罰決定,如果 Dutch Haga Hospital在 2019 年 10月 2 日之前沒有改善安全措施,醫院每兩週需要支付 10 萬歐元的罰款,而總罰款數最高不超過30 萬歐元。
如果我不信任該機構,可以要求對方刪除我的資料嗎?
根據GDPR,當中提及到資料擁有者分別享有(1)資料存取權 ; (2)被遺忘權 ; (3)可修改權。 假設你對該公司和機構如何保存以及使用你的個人資料有所懷疑,你可以使用你的權利,聯絡以及要求該公司/機構把你的個人資料刪除,如果該公司/機構沒有或沒有徹底刪除你的個人資料,你可以透過GDPR作出訴訟。有關更多GDPR資訊,歡迎聯絡stormeye查詢。