iStock
Kara finansowa dla podmiotu leczniczego za naruszenie przepisów o ochronie danych osobowych
| Tagi: | Marek Saj |
Na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się informacja o nałożeniu przez prezesa tego urzędu kary pieniężnej na jeden z dużych podmiotów leczniczych w Polsce za naruszenie przepisów o ochronie danych osobowych. Chodzi o kwotę 10 tys. zł, którą podmiot leczniczy musi uiścić w drodze administracyjnej. Jak do tego doszło?
Tekst Marka Saja, dyrektora biura Wielkopolskiej Izby Lekarskiej, specjalisty w zakresie ochrony danych osobowych:
Okazuje się, że jeden z lekarzy, wypisując skierowanie do poradni specjalistycznej, pomylił dane identyfikacyjne pacjenta, co skutkowało ujawnieniem danych osobowych innego pacjenta oraz danych dotyczących stanu zdrowia tego pacjenta. Co istotne, administrator danych (podmiot leczniczy) odnotował ten fakt w swoim rejestrze naruszeń, jednak w wyniku przeprowadzonej wewnętrznej analizy uznał, że sytuacja ta, dotycząca jednostkowego pacjenta, nie narusza praw i wolności osób fizycznych i nie wymaga informowania o tym fakcie osoby, której dane zostały ujawnione, ani zgłoszenia tego incydentu do Urzędu Ochrony Danych Osobowych. Jak się okazało, poczynione kroki przez administratora danych okazały się niewystarczające. Urząd Ochrony Danych Osobowych i jego prezes byli innego zdania. Informacja o naruszeniu dotarła do urzędu (za pośrednictwem Biura Rzecznika Praw Pacjenta) i przeprowadzono postępowanie wyjaśniające, w toku którego prezes Urzędu Ochrony Danych Osobowych uznał, że zaistniało wysokie ryzyko naruszenia praw i wolności osoby fizycznej poprzez ujawnienie danych osobowych, za pomocą których można bez problemu zidentyfikować osobę, której dane zostały ujawnione, a dodatkowo ujawnione zostały informacja o stanie zdrowia i tajemnica zawodowa. W ocenie prezesa Urzędu Ochrony Danych Osobowych należało sytuację tę zgłosić jako naruszenie do ww. urzędu, a ponadto poinformować osobę, której dane zostały ujawnione, o zaistniałej sytuacji. W toku ustaleń okazało się, że w ocenie urzędu podmiot leczniczy nie współpracował właściwie z urzędem w zakresie wyjaśnienia sprawy.
Co zatem oznacza ta sytuacja w praktyce?
Po pierwsze należy jeszcze raz podkreślić, że przetwarzanie danych osobowych przez podmioty lecznicze charakteryzuje się wysokim stopniem prawdopodobieństwa naruszenia praw i wolności osób fizycznych, bowiem nawet tak jednostkowy przypadek został uznany przez prezesa Urzędu Ochrony Danych Osobowych za naruszenie systemu ochrony danych osobowych. W związku z powyższym podmioty lecznicze powinny zadbać o pełne wdrożenie wewnętrznych przepisów w zakresie ochrony danych osobowych oraz uświadomić personel o zagrożeniach i skutkach czynności, które mogą się wydarzyć w podmiocie leczniczym. Po drugie należy wskazać, że w obecnych okolicznościach świadomość pacjentów o ich prawach znacząco wzrosła, co powinno również dotrzeć do podmiotów leczniczych, że nie można bagatelizować wniosków tych pacjentów czy też doprowadzić do marginalizowania pewnych sytuacji, które miały miejsce. Po trzecie należy znacząco zmienić podejście do kwestii ochrony danych osobowych i instytucji naruszenia systemu ochrony danych osobowych. Widać wyraźnie, że samo wystąpienie naruszenia i powiadomienie o tym naruszeniu wcale nie musi być równoznaczne z nałożeniem kary administracyjnej. Dopiero nałożenie wielu czynników może taki skutek przynieść.
Decyzja DKN.5131.34.2021 prezesa Urzędu Ochrony Danych Osobowych dostępna na stronie internetowej: www.uodo.gov.pl/decyzje/DKN.5131.34.2021.
Tekst opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 9/2022.
Okazuje się, że jeden z lekarzy, wypisując skierowanie do poradni specjalistycznej, pomylił dane identyfikacyjne pacjenta, co skutkowało ujawnieniem danych osobowych innego pacjenta oraz danych dotyczących stanu zdrowia tego pacjenta. Co istotne, administrator danych (podmiot leczniczy) odnotował ten fakt w swoim rejestrze naruszeń, jednak w wyniku przeprowadzonej wewnętrznej analizy uznał, że sytuacja ta, dotycząca jednostkowego pacjenta, nie narusza praw i wolności osób fizycznych i nie wymaga informowania o tym fakcie osoby, której dane zostały ujawnione, ani zgłoszenia tego incydentu do Urzędu Ochrony Danych Osobowych. Jak się okazało, poczynione kroki przez administratora danych okazały się niewystarczające. Urząd Ochrony Danych Osobowych i jego prezes byli innego zdania. Informacja o naruszeniu dotarła do urzędu (za pośrednictwem Biura Rzecznika Praw Pacjenta) i przeprowadzono postępowanie wyjaśniające, w toku którego prezes Urzędu Ochrony Danych Osobowych uznał, że zaistniało wysokie ryzyko naruszenia praw i wolności osoby fizycznej poprzez ujawnienie danych osobowych, za pomocą których można bez problemu zidentyfikować osobę, której dane zostały ujawnione, a dodatkowo ujawnione zostały informacja o stanie zdrowia i tajemnica zawodowa. W ocenie prezesa Urzędu Ochrony Danych Osobowych należało sytuację tę zgłosić jako naruszenie do ww. urzędu, a ponadto poinformować osobę, której dane zostały ujawnione, o zaistniałej sytuacji. W toku ustaleń okazało się, że w ocenie urzędu podmiot leczniczy nie współpracował właściwie z urzędem w zakresie wyjaśnienia sprawy.
Co zatem oznacza ta sytuacja w praktyce?
Po pierwsze należy jeszcze raz podkreślić, że przetwarzanie danych osobowych przez podmioty lecznicze charakteryzuje się wysokim stopniem prawdopodobieństwa naruszenia praw i wolności osób fizycznych, bowiem nawet tak jednostkowy przypadek został uznany przez prezesa Urzędu Ochrony Danych Osobowych za naruszenie systemu ochrony danych osobowych. W związku z powyższym podmioty lecznicze powinny zadbać o pełne wdrożenie wewnętrznych przepisów w zakresie ochrony danych osobowych oraz uświadomić personel o zagrożeniach i skutkach czynności, które mogą się wydarzyć w podmiocie leczniczym. Po drugie należy wskazać, że w obecnych okolicznościach świadomość pacjentów o ich prawach znacząco wzrosła, co powinno również dotrzeć do podmiotów leczniczych, że nie można bagatelizować wniosków tych pacjentów czy też doprowadzić do marginalizowania pewnych sytuacji, które miały miejsce. Po trzecie należy znacząco zmienić podejście do kwestii ochrony danych osobowych i instytucji naruszenia systemu ochrony danych osobowych. Widać wyraźnie, że samo wystąpienie naruszenia i powiadomienie o tym naruszeniu wcale nie musi być równoznaczne z nałożeniem kary administracyjnej. Dopiero nałożenie wielu czynników może taki skutek przynieść.
Decyzja DKN.5131.34.2021 prezesa Urzędu Ochrony Danych Osobowych dostępna na stronie internetowej: www.uodo.gov.pl/decyzje/DKN.5131.34.2021.
Tekst opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 9/2022.
