RODO: 10 000 zł kary dla USK WUM. Za co dokładnie?

Powodem nałożenia kary była nieprawidłowa reakcja na błędnie wystawione skierowanie
Powodem nałożenia kary była nieprawidłowa reakcja na błędnie wystawione skierowanie.

Prezes UODO nałożył administracyjną karę pieniężną na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego. Powodem było niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych, a także niezawiadomienie osoby poszkodowanej o zaistniałym naruszeniu.

Jak doszło do wycieku danych?

Prezes UODO otrzymał od Rzecznika Praw Pacjenta informacje o możliwości zaistnienia naruszenia ochrony danych osobowych u Administratora. Wynikało z nich, iż jeden z pacjentów Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego (w skrócie: Centrum Klinicznego WUM) otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe innej osoby. Zakres skierowania obejmował: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o rozpoznaniu, czyli informacje o stanie zdrowia. Przyczyną naruszenia był błąd lekarza, który w sytuacji stresowej omyłkowo pobrał nieprawidłową kartę pacjenta i w związku z tym skierowanie zostało wystawione na nieprawidłowe dane – dane innego pacjenta.

W przypadku zaistnienia takiego zdarzenia, każdy administrator danych osobowych powinien przeprowadzić analizę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, która jest niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dane dotyczą.

Reakcja UCK WUM

Uniwersyteckie Centrum Kliniczne WUM wyjaśniło, iż została dokonana wstępna i uproszczona analiza poziomu ryzyka zaistniałego zdarzenia, z której wyniknęło, że potencjalnie pokrzywdzona została jedna osoba fizyczna, której to dane w wąskim i do tego częściowo błędnym zakresie zostały ujawnione innej osobie. Na podstawie przeprowadzonej analizy Administrator zakwalifikował to zdarzenie jako incydent bezpieczeństwa.

Mimo to podjął on decyzję o nie dokonywaniu zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych oraz nie zawiadomił osób, których dane dotyczą. Jak uważa Administrator, potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna (skierowanie zawierało błędne imię pacjenta) stąd wniosek, iż incydent bezpieczeństwa nie wiązał się z wysokim ryzykiem dla praw lub wolności osoby.

Zaistniałe w Centrum Kliniczne WUM zdarzenie niezaprzeczalnie doprowadziło do udostępnienia danych osobowych osobie nieuprawnionej, gdyż wszystkie dane oprócz imienia były prawidłowe i dane te umożliwiały jednoznaczną identyfikację osoby fizycznej. Co więcej, oprócz udostępnienia danych osobowych, w tym danych zwykłych, nastąpiło także udostępnienie danych szczególnych kategorii – danych o stanie zdrowia (na temat rozpoznania).

Wnioski na przyszłość

Ten szeroki zakres nieuprawnionego udostępnienia, zdaniem Prezesa UODO, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Nie należy pominąć także faktu, iż ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, polegające na przekazaniu mu przez lekarza skierowania z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej.

Prezes UODO wyraził opinię, iż Administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby. W związku z tym Prezes UODO nałożył na Centrum Kliniczne WUM administracyjną karę pieniężną w wysokości 10 tys. zł W ocenie Prezesa UODO, nałożona administracyjna kara pieniężna spełnia funkcję represyjną, gdyż stanowi odpowiedź na naruszenie przez Administratora przepisów rozporządzenia RODO.

Będzie również spełniać funkcję prewencyjną, gdyż wskaże Administratorowi, na którego została nałożona kara jak i wszystkim innym administratorom danych, na niedopuszczalność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych. Obowiązki te mają przecież na celu zapobieganie, ograniczenie lub usunięcie negatywnych i często dotkliwych skutków naruszeń dla osób, których naruszenie dotyczy.

Czytaj także: Sprawdź jaka kara grozi za wyciek danych i jak zmniejszyć jej wysokość