Privathospitalet GHP Gildhøj Privathospital – nu kendt som Capio – har ikke ført tilsyn med dets databehandlere, og derfor indstiller Datatilsynet nu hospitalet til en bøde på 1,5 millioner kroner.
Det sker, efter, at tilsynet har undersøgt hospitalets databehandlere.
På baggrund af dette har tilsynet vurderet, at Capio ikke lever op til det databeskyttelsesretlige princip om ansvarlighed.
”Det er således Datatilsynets vurdering, at privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger,” skriver tilsynet i afgørelsen og fortsætter:
”Det gælder også selvom, at privathospitalet bad en anden part (en databehandler) om at behandle oplysningerne på sine vegne.”
Konkret har Datatilsynet vurderet, at sagens grovhed ifølge databeskyttelsesforordningens artikel 83 gør, at en bøde er nødvendig.
Artikel 83 dækker over betingelserne for at uddele GDPR-bøder, hvor myndigheden skal vurdere omstændighederne.
Tilsynet har lagt vægt på, at der i flere år ikke blev ført tilsyn med databehandlerne, selvom disse databehandlere behandlede oplysninger om ”et stort antal registrerede”.
Dertil er der – i kraft af at der er tale om en sundhedsinstitution – tale om særligt følsomme oplysninger.