Minister Adam Niedzielski opublikował niedawno na Twitterze (choć może powinienem napisać już na X, bo przecież nadeszła zapowiedziana przez Elona Muska zmiana) dane osobowe lekarza z Poznania. Publikacja była związana z twierdzeniem lekarza, że wprowadzone limity wystawiania recept powodują istotne problemy z dostępnością pacjentów do przysługujących im świadczeń zdrowotnych. Wpis obejmował imię i nazwisko lekarza oraz informację o tym, jakie leki wypisał sam sobie w ramach recepty pro auctore. Zdymisjonowany już minister miał na celu wykazanie fałszywości twierdzenia lekarza.
Czy minister jest uprawniony do publikowania takich informacji? Moim zdaniem nie. Szczególnie, że w tym przypadku ujawnione zostały także szczególne kategorie danych, konkretnie te dotyczące zdrowia lekarza. A jakie mogą być konsekwencje takiego działania?
*Spoiler alert – kary nakładane przez Prezesa UODO to nie jedyna możliwość.
Nieuprawnione przetwarzanie danych – sankcja
Sprawa jest w tym przypadku wielowątkowa. Mamy przecież do czynienia z ujawnieniem informacji przez osobę pełniącą wysoką funkcję w państwie. Z pewnością też znajdzie swoją kontynuację, bo minister przedstawił swoje wyjaśnienia, powołując się m.in. na działanie w ramach ważnego interesu w dziedzinie zdrowia publicznego. Skupię się jednak na ochronie danych osobowych. W tym zakresie przywołać należy przede wszystkim przepis art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych:
Art. 107. [Nielegalne przetwarzanie danych osobowych]
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Czy minister miał w tym przypadku podstawę do przetwarzania danych osobowych? Nawet jeżeli mógł uzyskać dostęp do danych zawartych w systemie recept, to nie miał podstaw do ich ujawnienia, zwłaszcza na Twitterze. Oznacza to, że przetwarzał dane w sposób nieuprawniony, a to może się wiązać z sankcjami z przytoczonego przepisu.
Należy podkreślić, że odpowiedzialność powinna być w tym przypadku zaostrzona, bo w grę wchodzą także dane dotyczące zdrowia. Możliwymi konsekwencjami jest więc grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat trzech.
Sprawa ministra to jedynie przykład
Przepis art. 107 ustawy o ochronie danych osobowych to taki, o którym zbyt często się nie mówi. Ochrona danych osobowych kojarzy się głównie z RODO – i słusznie, bo to ono reguluje tę materię. Nie można jednak zapominać o potencjalnych konsekwencjach nieuprawnionego przetwarzania danych. Sprawa ministra to tylko przykład sytuacji, gdy przepis ten może znaleźć zastosowanie.
Przykładów nielegalnego przetwarzania może być wiele. Mowa oczywiście o celowych działaniach, jak kradzież tożsamości czy wykorzystanie danych osobowych w celu wyłudzenia kredytu. Wspomnieć możemy o porwaniu cyfrowym i nierzetelnym telemarketingu. Są jednak również inne, bardziej przyziemne sytuacje.
Bo czy wszyscy administratorzy stosują się do terminów przechowywania danych? Czy może zdarza się, że archiwum pęka w szwach i kryje w sobie dokumenty, które już dawno powinny nie istnieć? A może zabrakło zgód na przetwarzanie danych, choć było to konieczne?
Myślę, że warto wykorzystać tę głośną medialnie sprawę i sprawdzić. Na pewno nie zaszkodzi.😉
Pouczająca lektura! Doceniam szczegółowość i dokładność. Szkoda tylko, że niektóre fragmenty są zbyt techniczne dla laików. Mimo to, świetne źródło wiedzy!