Prezes Urzędu Ochrony Danych Osobowych 26 listopada 2024 r. decyzję dotyczącą naruszenia przepisów RODO przez placówkę medyczną (sygn. DKN.5131.6.2024). Sprawa dotyczy nieprawidłowego postępowania szpitala powiatowego we Wrześni w zakresie zgłaszania i obsługi naruszenia ochrony danych osobowych pacjenta. Jest to jedno z pierwszych tak kompleksowych rozstrzygnięć pokazujących, jak organ nadzorczy ocenia proces zgłaszania naruszeń w sektorze medycznym.
Tło sprawy
Historia tego naruszenia rozpoczęła się w 2021 roku. Doszło wówczas do pomyłkowego wydania dokumentacji medycznej (przedoperacyjnej ankiety anestezjologicznej) jednej z pacjentek. Została ona dołączona do dokumentacji innej pacjentki oddziału położniczo-ginekologicznego. Dokument zawierał dane osobowe, w tym imię, nazwisko, datę urodzenia, numer PESEL oraz szczegółowe informacje o stanie zdrowia.
O naruszeniu PUODO dowiedział się dopiero w listopadzie 2022 roku, gdy otrzymał informację od osoby trzeciej. W odpowiedzi na pierwsze pisma organu nadzorczego szpital zajął niejednoznaczne stanowisko – z jednej strony twierdził, że nie ma możliwości zidentyfikowania incydentu ze względu na brak zgłoszenia pomyłki w momencie jej wystąpienia, z drugiej zaś przyznał, że poinformował osobę, której dane dotyczą, o naruszeniu.
Sprawdź również: RODO w placówce medycznej – o czym musisz pamiętać?
Długotrwałe zaniedbania
Szczególnie niepokojący jest fakt, że szpital przez długi czas bagatelizował sprawę. Mimo otrzymania od PUODO w grudniu 2022 r. kopii dokumentu, który został nieprawidłowo wydany, administrator nadal nie zdecydował się na formalne zgłoszenie naruszenia. Dopiero po wszczęciu postępowania administracyjnego, w marcu 2024 roku, szpital dokonał wymaganego prawem zgłoszenia – czyli ponad 16 miesięcy po uzyskaniu informacji o naruszeniu.
W międzyczasie szpital przeprowadził własną analizę ryzyka, w której stwierdził, że poziom zagrożenia jest niski, argumentując to głównie tym, że do momentu analizy nie doszło do zmaterializowania się negatywnych skutków naruszenia. Takie podejście zostało zdecydowanie zakwestionowane przez PUODO.
Stanowisko organu nadzorczego
PUODO w swojej decyzji podkreślił kilka kluczowych kwestii. Przede wszystkim wskazał, że administrator nie może uzależniać wykonania obowiązków wynikających z RODO od tego, czy negatywne skutki naruszenia już się zmaterializowały. Samo ryzyko ich wystąpienia jest wystarczającą przesłanką do podjęcia działań.
“Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.”
Organ zwrócił szczególną uwagę na charakter naruszonych danych. Połączenie danych medycznych z numerem PESEL stanowi szczególnie wrażliwy zestaw informacji, który może być wykorzystany do różnych form nadużyć, w tym kradzieży tożsamości. W takiej sytuacji administrator powinien założyć występowanie wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą.
“Administrator nie wziął pod uwagę chociażby tego, że wśród kategorii naruszonych danych osobowych znalazły się dane dotyczące zdrowia, które zaliczane są do szczególnych kategorii danych osobowych i jako takie winny podlegać szczególnej ochronie ze strony administratorów. Co za tym idzie, ujawnienie danych osobowych zaliczających się do tej kategorii niesie za sobą wysokie ryzyko naruszenia praw lub wolności osób, których dotyczą.
Podkreślić również należy, że informacja o stanie zdrowia wraz z pozostałymi danymi osobowymi ujawnionymi osobie nieuprawnionej, tj. imieniem, nazwiskiem, datą urodzenia oraz numerem ewidencyjnym PESEL, niewątpliwie pozwala na identyfikację osoby, której dane dotyczą, zwłaszcza biorąc pod uwagę fakt, że, jak podkreślił Administrator, obydwie Panie ulokowane zostały w jednym pokoju.”
Sprawdź również: Outsourcing funkcji IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?
Nałożone sankcje
Za stwierdzone naruszenia PUODO nałożył na szpital karę pieniężną w wysokości 29 684,04 zł. Wysokość kary została ustalona z uwzględnieniem wytycznych Europejskiej Rady Ochrony Danych oraz sytuacji finansowej placówki. Dodatkowo, organ nakazał szpitalowi prawidłowe zawiadomienie osoby, której dane dotyczą, o naruszeniu i jego możliwych konsekwencjach.
Komentarz radcy prawnego
Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Nowa decyzja PUODO w sprawie szpitala we Wrześni ma znaczenie dla całego sektora ochrony zdrowia. Organ nadzorczy tak szczegółowo odniósł się do kwestii oceny ryzyka w przypadku naruszenia ochrony danych medycznych. Szczególnie istotne jest stanowcze odrzucenie argumentacji, że brak zmaterializowania się negatywnych skutków naruszenia oznacza niskie ryzyko dla praw i wolności osoby, której dane dotyczą.
Aby lepiej zrozumieć kontekst tej decyzji, warto przyjrzeć się dwóm hipotetycznym, ale typowym przypadkom naruszeń w obszarze dokumentacji medycznej:
Przykład 1:
Przychodnia lekarska wysyła wyniki badań pacjenta na niewłaściwy adres email. Dokumentacja zawiera szczegółowe informacje o chorobie nowotworowej wraz z pełnymi danymi identyfikacyjnymi pacjenta. Administrator dowiaduje się o pomyłce od adresata wiadomości, który potwierdza jej usunięcie. Mimo to, zgodnie z logiką decyzji PUODO, takie naruszenie powinno zostać zgłoszone ze względu na wysokie ryzyko dla prywatności pacjenta, nawet jeśli odbiorca zadeklarował usunięcie danych.
Przykład 2:
Pracownik szpitala pozostawia na korytarzu niezabezpieczony wózek z dokumentacją medyczną pacjentów oddziału psychiatrycznego. Dokumenty były dostępne dla osób postronnych przez około 30 minut. Mimo że szpital nie ma dowodów na zapoznanie się z dokumentacją przez osoby nieuprawnione, zgodnie z wykładnią PUODO, takie zdarzenie również wymaga zgłoszenia ze względu na sam potencjał naruszenia prywatności pacjentów.
Decyzja PUODO wobec szpitala we Wrześni wymusza na placówkach medycznych przywiązywanie uwago do oceny ryzyka naruszeń. Kluczowe staje się nie tyle pytanie „czy coś złego już się stało?”, ale „co potencjalnie może się stać?”. W przypadku danych medycznych, które z definicji należą do szczególnej kategorii danych osobowych, próg oceny ryzyka powinien być znacząco obniżony.
PUODO wyraźnie podkreślił znaczenie terminu 72 godzin na zgłoszenie naruszenia. Nie jest to termin, który można dowolnie przedłużać, nawet jeśli administrator prowadzi własne postępowanie wyjaśniające. Lepiej zgłosić naruszenie z niepełnymi jeszcze informacjami, które później można uzupełnić, niż ryzykować przekroczenie terminu.
W świetle tej decyzji, placówki medyczne powinny zrewidować swoje procedury dotyczące zgłaszania naruszeń. Uwagę należy zwrócić na szkolenie personelu w zakresie identyfikacji potencjalnych naruszeń oraz na stworzenie jasnych ścieżek raportowania wewnętrznego. Warto również rozważyć wprowadzenie automatycznych mechanizmów oceny ryzyka, które pomogą w szybkiej klasyfikacji naruszeń i podjęciu decyzji o ich zgłoszeniu.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.