Jednym z zadań Prezesa Urzędu Ochrony Danych Osobowych jest reagowanie na nieprawidłowości związane z przetwarzaniem danych osobowych. Swoją wiedzę na ten temat, poza prowadzonymi kontrolami, zdobywa także w wyniku zgłaszania naruszeń przez administratora lub skarg zgłoszonych przez osobę, której dane dotyczą. Prezes UODO może w ramach prowadzonych postępowań nałożyć kary, wśród których na wyobraźnię najlepiej oddziałują głośne medialnie kary finansowe. Poza funkcją dyscyplinującą w konkretnym przypadku decyzje takie są też świetnym źródłem pozyskania informacji na temat tego, na co należy zwracać uwagę, by prawidłowo przetwarzać dane osobowe.
Jedna z ostatnich decyzji Prezesa UODO, na mocy której został ukarany mBank, jest związana z zagadnieniem istotnym dla placówek medycznych, które także było przedmiotem wcześniejszej kary dla podmiotu leczniczego właśnie. Z tego artykułu dowiesz się, na co warto zwrócić uwagę w tych dwóch sytuacjach w odniesieniu do swojej praktyki.
Obowiązek zgłoszenia naruszenia ochrony danych osobowych
Zanim przejdę do części zasadniczej, przypomnę o obowiązku zgłoszenia naruszenia, który spoczywa na administratorze. W przypadku wystąpienia naruszenia, a więc w pewnym uproszczeniu sytuacji mającej wpływ na dostęp do danych, ich integralność lub poufność, administrator jest zobowiązany do oceny wagi tego zdarzenia.
Naruszenie, którego waga przekracza niską wartość, podlega na mocy RODO obowiązkowi zgłoszenia do Prezesa UODO w terminie 72 godzin od jego stwierdzenia. Każdy przypadek należy jednak ocenić indywidualnie i w odniesieniu do szczególnych okoliczności zdarzenia. Administrator powinien także ocenić potencjalny wpływ na prawa i wolności osób dotkniętych tym naruszeniem. W przypadku wysokiego ryzyka ich naruszenia powinien te osoby poinformować o naruszeniu, a także potencjalnym ryzyku i sposobach jego ograniczenia.
Kara finansowa dla mBanku
W przypadku mBanku istotny jest właśnie ten ostatni fragment, ponieważ nałożona na niego kara finansowa w wysokości ponad 4 milionów złotych jest spowodowana niepoinformowaniem o naruszeniu dotkniętych nim klientów banku.
Naruszenie dotyczyło wysłania danych osobowych klientów do nieprawidłowego adresata. Była nim inna instytucja finansowa, w związku z czym mBank uznał, że jest ona podmiotem zaufanym, a przez to naruszenie poufności danych osobowych nie powoduje ryzyka naruszenia praw osób, których one dotyczą. Nie zgodził się tym samym z Prezesem UODO, który poinstruował wcześniej bank o konieczności poinformowania tych osób o naruszeniu.
Lekcja dla administratorów
Sytuacja mBanku przypomina niejako inną decyzję Prezesa UODO, którą wydał w 2022 roku w sprawie Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego w Warszawie. Chodziło w tej sprawie o przesłanie danych osobowych pacjenta w skierowaniu do poradni specjalistycznej, w którym lekarz wskazał osobę inną niż pacjent, którego ono dotyczyło. Kara finansowa wyniosła w tym przypadku 10.000 zł.
Wspólnym mianownikiem obu spraw jest naruszenie poufności w kontaktach z inną placówką zobowiązaną do zachowania tajemnicy. Jak jednak wskazuje w decyzji dotyczącej mBanku Prezes UODO, obowiązek zachowania tajemnicy ciążący na podmiocie, któremu zostały ujawnione dane nie wystarczy, aby uznać go za podmiot zaufany. To z kolei powoduje, że nie można wykluczyć naruszenia praw osób dotkniętych naruszeniem, więc powinny one zostać o nim poinformowane.
Inaczej byłoby, jak wskazuje Prezes UODO, w sytuacji, gdy z podmiotem, któremu w sposób nieuprawniony ujawniono dane osobowe, utrzymywana byłaby stała relacja, na podstawie której można by zakładać, że nie wykorzysta dalej przekazanych danych.
Nie warto ignorować naruszeń ochrony danych osobowych
Niezależnie od sytuacji nie warto ignorować incydentów, które mogą stanowić naruszenie ochrony danych osobowych. Każdy przypadek powinien podlegać ocenie i odnotowaniu, nie tylko ze względu na obowiązki prawne, ale także praktyczne aspekty prowadzenia działalności. Przydatne w tym celu jest ustalenie zasad postępowania z naruszeniami.
Jeżeli dotychczas takich zasad nie ustaliłeś w swojej firmie, mogę Ci w tym pomóc. Możesz też liczyć na moje wsparcie w ocenie wagi naruszenia i ustalenia planu działania w przypadku jego wystąpienia.