Kara 100 tys. zł za ujawnienie danych przez A. Niedzielskiego


Za ten wpis na Twitterze (X) byłego Ministra Zdrowia, obecne Ministerstwo Zdrowia zapłaci 100 tys. zł. kary.
Za ten wpis na Twitterze (X) byłego Ministra Zdrowia, obecne Ministerstwo Zdrowia zapłaci 100 tys. zł. kary.

Prezes Urzędu Ochrony Danych Osobowych nałożył 100 tys. zł kary na byłego Ministra Zdrowia Adama Niedzielskiego. Chodzi o sprawę ujawnienie danych o recepcie wystawionej przez jednego z lekarzy. Karę UODO nałożył na organ jakim jest MZ, ale poszkodowany lekarz może jeszcze dochodzić swoich praw przed sądem cywilnym.

Wysoka kara, którą zapłaci Ministerstwo Zdrowia

Przypomnijmy, że w sierpniu 2023 r., ówczesny Minister Zdrowia Adam Niedzielski opublikował na platformie X (były Twitter) wpis z informacją na temat lekarza, który wystawił sobie receptę na lek z grupy psychotropowych.

Sprawa ostatecznie skończyła się dymisją Niedzielskiego, a incydentem zainteresował się Urząd Ochrony Danych Osobowych. 22 grudnia Prezes UODO opublikował decyzję, w której stwierdza, że “Minister Zdrowia bezprawnie ujawnił dane o stanie zdrowia tej osoby”. Po przeprowadzeniu postępowania administracyjnego wydał decyzję, w której nałożył na Ministra Zdrowia administracyjną karę w wysokości 100 tys. zł.

To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa. Jednak za ujawnienie danych nie zapłaci Adam Niedzielski z własnej kieszeni, tylko organ jakim jest Ministerstwo Zdrowia, a więc z naszych podatków.

Wpis na X (Twitter), który wywołał burzę, został usunięty dopiero po kilku dniach.
Wpis na X (Twitter), który wywołał burzę, został usunięty dopiero po kilku dniach.

Wymierzając karę UODO wziął pod uwagę zarówno umyślny charakter naruszenia, jak i brak odpowiednich działań po stronie administratora po wystąpieniu tego incydentu. Poza usunięciem wpisu w mediach społecznościowych, nie podjęto działań takich, jak np. przeproszenie lekarza, wyrażenie ubolewania, czy publicznego przyznania się do błędu.

Uzasadnienie UODO: naruszono przepisy RODO

UODO ustalił, że administratorem ujawnionych danych jest Minister Zdrowia jako organ, bowiem to on został wyposażony w określone uprawnienia pozwalające mu na dostęp do danych przetwarzanych we wspomnianym systemie w ściśle zdefiniowanych przypadkach i w określonych celach. Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli Minister Zdrowia.

Bez znaczenia jest miejsce publikacji danych osobowych. UODO zaznaczył też, że osoba, której dotyczyło naruszenie – czyli lekarz Piotr Pisula – może dochodzić swoich praw zarówno przed sądem cywilnym, jak i złożyć skargę do Prezesa UODO na niezgodne z prawem przetwarzanie jej danych osobowych przez Adama Niedzielskiego, działającego „prywatnie” jako osoba fizyczna.

Na decyzję zareagował poszkodowany lek. Piot Pisula, który skomentował sprawę na platformie X: “To nie koniec całej sprawy, ale to pierwszy dobry krok, który daje nadzieję, że pozostałe instytucje państwowe ocenią ją równie rzetelnie”.

Komentarz poszkodowanego lekarza na platformie X po ogłoszeniu decyzji UODO.
Komentarz poszkodowanego lekarza na platformie X po ogłoszeniu decyzji UODO.

UODO w swojej decyzji zwrócił m.in. uwagę na fakt, że przekazanie danych pozyskanych z rejestru nastąpiło przy pomocy komunikatora WhatsApp, co stworzyło też możliwość utraty kontroli nad tymi danymi, w tym ich bezpieczeństwem. Przypomnijmy, że ustalenia pokontrolne sugerują, że dane miały krążyć pomiędzy Adamem Niedzielskim, dyrektorem Centrum e-Zdrowia Pawłem Kikosickim i dyrektorem Departamentu Innowacji w MZ Piotrem Węcławikiem.

Według UODO, WhatsApp “nie jest wskazany do komunikacji w administracji publicznej z uwagi na to, iż właściciel tego komunikatora był już karany przez irlandzki organ nadzorczy m.in. za brak przejrzystości w przetwarzaniu danych osobowych.”

Minister Zdrowia nie tylko nie zapewnił odpowiedniego poziomu zabezpieczenia danych, ale również niewłaściwie powiadomił osobę, której dane dotyczą o naruszeniu. W informacji tej zabrakło choćby opisu możliwych konsekwencji dla tej osoby w związku z naruszeniem ochrony jej danych czy opisu środków w celu zminimalizowania negatywnych skutków naruszenia.

Urząd nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Ministra Zdrowia. Zastosowanie innych środków naprawczych niż kara, nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych zaniedbań.

Czytaj także: Minister Zdrowia ujawnia dane o recepcie. “Cios dla e-zdrowia”