Kara pieniężna dla szpitala za niezgłoszenie naruszenia ochrony danych osobowych
Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył administracyjną karę pieniężną na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego w wysokości 10 tys. zł. Przyczyną decyzji było niezgłoszenie PUODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą.
Naruszenie ochrony danych osobowych polegało na tym, że lekarz wypisujący skierowanie do poradni specjalistycznej omyłkowo wpisał w nim dane osobowe innej osoby (imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia).
W wyniku analizy tego zdarzenia, Szpital doszedł do wniosku, że wskutek błędu ujawnione dane są danymi nieistniejącej osoby. Instytucja oceniła, że był to incydent bezpieczeństwa, który nie wywiera znaczących skutków dla praw i obowiązków osoby, której dane dotyczą.
W wyniku postępowania skargowego Prezes UODO doszedł do przeciwnych wniosków – uznał, że doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych osobie nieuprawnionej. Zdaniem Prezesa UODO dane pozwalały na łatwą identyfikację pacjenta.
Wedle Prezesa UODO w danej sprawie doszło nie tylko do wycieku szerokiego zakresu danych osobowych tzw. zwykłych ale również szczególnej kategorii. Ich ujawnienie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo doszło jednocześnie do naruszenia tajemnicy lekarskiej. Oznacza to, że administrator miał obowiązek zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą. Dodatkowo Prezes UODO stwierdził szereg błędów w ocenie skutków naruszenia.
Podsumowując, jeżeli wskutek incydentu dojdzie do ujawnienia szerokiego zakresu danych osobowych (w tym danych szczególnej kategorii), należy zawsze stwierdzić wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. W związku z tym administrator powinien realizować odpowiednie obowiązki. Ponadto dokonując oceny skutków naruszenia nie należy arbitralnie obniżać ryzyka, jeżeli incydent dotyczy jednej osoby.
