7月，葡萄牙一家名为Barreiro的医院因其对患者数据的保护不当被处以40万欧元的罚款，目前案件仍在审理之中。这是“史上最严”的《欧盟通用数据保护条例》（GDPR）生效以来，首次公开宣布的违规罚款案例之一。

欧盟GDPR于今年5月25日执行，是迄今为止覆盖面最广、最严格的全球性数据隐私保护法规，违反规定的企业将面临最高达到2000万欧元或其全球收入的4%（两者取其高）的巨额罚款。并且，新规使用长臂管辖原则，无论公司总部设在哪里，只要在欧洲范围内经营就要受到GDPR的监管。

如今法案实施近半年，在全球范围内产生了一系列广泛影响。据欧盟隐私主管部门表示，预计今年年底前就将开始实施第一轮针对GDPR违规的罚款制裁甚至临时禁令。

一波又一波的“典型”浮出水面

自实施日起，GDPR即引起巨大震动，一轮轮声势浩大的诉讼已经在全球范围内展开。就在GDPR生效的第一天，国外某知名社交媒体及另一知名门户网站就遭到起诉，被指控强迫用户共享个人数据，两家公司分别面临高达39 亿欧元和37 亿欧元的诉讼请求。随后，国内某知名邮箱服务器也宣布推出欧洲市场。

除了针对科技巨头的天价罚单，欧洲各国执法部门也收到了大量有关违规行为的投诉，GDPR生效一个月之内，法国、爱尔兰、荷兰等国相关部门就收到了数百个关于GDPR的用户投诉，英国的投诉数量甚至超过了1000个。

直至7月，Barreiro 医院正式被起诉

Barreiro是如何踩雷的？

在Barreiro医院案例中，“未将临床数据的访问权限分开”是被起诉的关键。资料显示，该医院通过他们的系统向至少9名非医疗专业人员（社会工作者）授予患者临床数据。

相关机构在调查中发现：该医院只有296名医生，但在系统中具备访问功能的账户（医生）则多达985个。此外，Barreiro医院被控“未将本院患者数据与另一家医院的存档数据正确分开，并且发现访问认证机制不足”。

相关机构认为，Barreiro医院违反了GDPR条例中的“完整性”（integrity）、“保密性”（confidentiality）和“数据最小化”（data minimization）原则，未能确保其系统中数据的数据全性。前两项违罚款各为150,000欧元，而第三项罚款为100,000欧元。

当然，Barreiro医院同时质疑该机构没有处罚权，案例目前仍在审核中，未有定论。

捡证网与您分享检测认证行业资讯内容，如有检测认证业务咨询，请联系我们，电话：13636483412  QQ:495226609