Portekiz Denetim Otoritesi (CNPD), Avrupa Genel Veri Korumu Tüzüğü’nün (GDPR) ihlali sebebiyle bir hastaneye 400.000 avro para cezası verdi. Kararın detayları henüz açıklanmamış olmakla birlikte basında yer alan bilgilere göre, yürütülen soruşturmada hastane çalışanlarının, psikolog, diyetisyen ve diğer uzmanların sahte hesaplar ile hasta kayıtlarına ulaştıkları tespit edilmiştir. Hastalara ait kişisel verilerin tutulduğu sistem incelendiğinde hastanede çalışan 296 doktor olmasına rağmen, sistemde 985 doktor profili bulunduğu görülmüştür. Bunun yanı sıra doktorların tüm hasta kayıtlarına herhangi bir kısıtlama – özellikle branş alanlarına göre bir sınırlama – olmaksızın erişebildikleri fark edilmiştir. Tüm bu bilgiler doğrultusunda Otorite, hastanenin; hasta verilerinin korunması için gerekli teknik ve idari tedbirleri almadığına karar vermiştir.
Hastane, daha önceden yapılan savunmada var olan kayıt sisteminin Portekiz Sağlık Bakanlığı tarafından oluşturulmuş genel bir sistem olduğunu ileri sürmüştür. Ancak Otorite, sistemin GDPR ile uyumunun hastanenin sorumluluğunda olduğunu vurgulamıştır.
Yukarıda yer alan karar, GDPR’ın uygulandığı ilk kararlardan ve Otorite’nin bu zamana kadar verdiği en yüksek cezalardan biridir. Nitekim Avrupa Veri Koruma Komiseri, GDPR’ın yürürlüğe girdiği tarihten itibaren çok az fiili uygulamanın görüldüğünü ancak yakın tarihte birçok kararın gelmesini beklediklerini belirtmişti. Tüm bu bilgiler ışığında GDPR kapsamında bu karara benzer kararlar ile ilerleyen zamanlarda daha çok karşılaşılacağı söylenebilecektir.