Przejdź do treści
Strona główna » Blog » Kara Prezesa UODO dla podmiotu leczniczego w wysokości 10.000 zł

Kara Prezesa UODO dla podmiotu leczniczego w wysokości 10.000 zł

Omyłka w skierowaniu do poradni specjalistycznej polegająca na wskazaniu przez lekarza danych innej niż pacjent osoby, a konkretnie:

  • imienia,
  • nazwiska,
  • adresu zamieszkania,
  • numeru ewidencyjnego PESEL,
  • informacji o stanie zdrowia,

doprowadziła do nałożenia na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego w Warszawie kary pieniężnej. Co jednak było prawdziwym powodem do ukarania administratora przez Prezesa UODO?

Czego dotyczyło naruszenie?

Naruszenie polegało na niezgłoszeniu Prezesowi UODO naruszenia i niezawiadomieniu o naruszeniu ochrony danych osobowych osoby, której dane dotyczą.

Jaka została nałożona kara?

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 10.000 zł.

Dlaczego została nałożona kara?

Stało się tak dlatego, że po przeprowadzeniu oceny naruszenia administrator nie stwierdził wysokiego ryzyka naruszenia praw lub wolności osoby dotkniętej naruszeniem. Z uwagi na omyłkę w imieniu dane zawarte w skierowaniu nie dotyczyły osoby istniejącej. Z argumentacją tą nie zgodził się Prezes UODO wskazując, że istniała pełna możliwość ustalenia tożsamości tej osoby na podstawie pozostałych danych. Nie zgodził się również z tym, że naruszenie nie podlegało obowiązkowi notyfikacji oraz powiadomienia osoby fizycznej o naruszeniu. Wskazał ponadto, że dane objęte były tajemnicą zawodową. Nie miała znaczenia również agresywna postawa pacjenta, na którą powoływał się administrator. Sumując okoliczności, zaistniało w ocenie Prezesa UODO wysokie ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem.  

Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:

  • charakter i wagę naruszenia – zgłaszanie naruszeń ochrony danych osobowych jest istotne z punktu widzenia realnej poprawy bezpieczeństwa przetwarzania;
  • czas trwania naruszenia – od czasu powzięcia przez administratora informacji o naruszeniu do wydania decyzji minęło kilkanaście miesięcy, w czasie których ryzyko naruszenia praw lub wolności mogło się zrealizować;
  • umyślny charakter naruszenia – administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO oraz osoby, której dane dotyczą – uczynił to pomimo informacji od Rzecznika Praw Pacjenta i skierowanych do niego pism Prezesa UODO;
  • niedostateczny stopień współpracy z organem nadzorczym – w ocenie Prezesa UODO administrator nie zareagował prawidłowo na kierowane do niego pisma;
  • kategorie danych – dane osobowe, poza danymi zwykłymi, obejmowały również dane dotyczące zdrowia, należące do szczególnych kategorii danych osobowych;
  • sposób w jaki organ nadzorczy dowiedział się o naruszeniu – informacja wpłynęła od Rzecznika Praw Pacjenta.

Okolicznościami łagodzącymi były:

  • liczba poszkodowanych osób – naruszenie dotyczyło jednej osoby;
  • brak stwierdzenia wcześniejszych naruszeń ochrony danych osobowych.
Wnioski?
  • Oceniając ryzyko naruszenia praw lub wolności osób fizycznych bierz pod uwagę potencjalne skutki naruszenia.
  • Szczególne kategorie danych osobowych w naruszeniu zwiększają ryzyko, a tym samym podwyższają ocenę naruszenia.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.34.2021

Postscriptum

Ocena wagi naruszenia powinna odbywać się przez pryzmat potencjalnych negatywnych skutków dla osoby fizycznej, potencjalnego naruszenia jej praw lub wolności. Zgodnie ze słownikiem języka polskiego PWN, “potencjalny” to “taki, który może wystąpić lub pojawić się w określonych warunkach”. Czy poddając ocenie możliwość poszkodowania osoby dotkniętej naruszeniem nie powinny być więc brane również szanse na wystąpienie “określonych warunków”? Ocena wagi potencjalnych skutków z pominięciem oceny prawdopodobieństwa ich wystąpienia wydaje się niewystarczająca i oderwana od jej praktycznego znaczenia. Czy takim warunkiem jest choćby zamiar? A jeżeli tak, to czy brak zamiaru wykorzystania danych nie stanowi co najmniej o ograniczeniu możliwości wystąpienia skutku?

Należy rozróżnić sytuację, gdy dane są ujawnione osobie, która nie zamierza, a nawet nie wie jak mogłaby je wykorzystać, od sytuacji, gdy dane te byłyby ujawnione osobie, która ma realną możliwość ich wykorzystania. Oczywiście ocena tego prawdopodobieństwa może powodować problemy, a w wielu wypadkach nie da się jednoznacznie stwierdzić jakie są zamiary osoby, która weszła w posiadanie danych. Trudno jednak zgodzić się na przyjęcie założenia, że sam fakt wejścia przez znaną administratorowi osobę w posiadanie danych powoduje wysokie ryzyko naruszenia przy ich pomocy praw lub wolności. Tak samo jak sam fakt posiadania okularów nie musi oznaczać wady wzroku, a rakiety tenisowej bycia tenisistą, tak samo wejście w posiadanie danych nie musi oznaczać ich wykorzystania w sposób przestępczy. Pytanie, jak bardzo jest to prawdopodobne i w oparciu o jakie kryteria to prawdopodobieństwo mierzyć.

1 komentarz do “Kara Prezesa UODO dla podmiotu leczniczego w wysokości 10.000 zł”

  1. Pingback: 72 godziny - zgłaszanie naruszeń ochrony danych osobowych - Zdrowe Dane

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *