Indstiller privathospital til GDPR-bøde
Privathospitalet Capio A/S er indstillet til bøde. Det er Datatilsynet anmelder Capio A/S til politiet for ikke at have ført tilsyn med databehandlere. Privathospitalet indstilles til en bøde på ikke under 1.500.000 kr.
Datatilsynet har foretaget en undersøgelse af GHP Gildhøj Privathospital ApS’ (nu Capio A/S) tilsyn med databehandlere. I den forbindelse udvalgte Datatilsynet tilfældigt tre af privathospitalets databehandlere som genstand for undersøgelsen. Undersøgelsen af Capio A/S’ tilsyn med de tre databehandlere viste, at privathospitalet ikke havde ført tilsyn med databehandlerne. Det første tilsyn med hver enkelt databehandler blev først ført, da Datatilsynet indledte sin undersøgelse af privathospitalet.
På den baggrund har Datatilsynet besluttet at politianmelde Capio A/S for ikke at have handlet i overensstemmelse med det databeskyttelsesretlige princip om ansvarlighed. Det er således Datatilsynets vurdering, at privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger. Det gælder også selvom, at privathospitalet bad en anden part (en databehandler) om at behandle oplysningerne på sine vegne.
Iflg Datatilsynet foretages altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved sin vurdering bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover behandlede databehandlerne oplysninger om et stort antal registrerede. Tilsynet fremhævede også, at databehandlerne behandlede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.