Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył administracyjną karą pieniężną w wysokości ponad 85 tys. zł (decyzja z dnia 5 stycznia 2021r., DKE.561.11.2020) na placówkę medyczną:

• za niewykonanie nakazu zawiadomienia pacjentów o naruszeniu ich danych osobowych
• za brak przekazania im zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu .

Naruszenie polegało na nieuprawnionym skopiowaniu przez byłego pracownika danych osobowych 100 pacjentów z systemu informatycznego przychodni celem wykorzystania ich do marketingu własnych usług. Naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu.

W toku postępowania PUODO wezwał placówkę do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

Następnie PUODO wezwał placówkę m.in. do przedstawienia wykazu osób, którym przekazano ww. informacje o naruszeniu i zaleceń oraz informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii 10 przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Placówka w odpowiedzi wskazała, że nie jest w stanie takiej listy stworzyć, gdyż nie posiada wiedzy, których pacjentów dane zebrał ww. pracownik, zaś w placówce leczy się znacznie więcej osób, na skutek czego powiadomienie wszystkich o możliwości naruszenia ich danych osobowych było niewykonalne. Na skutek tego pacjenci nic nie wiedzieli o naruszeniu danych.

Zdaniem PUODO właściwe wywiązanie się z tego obowiązku pozwoliłoby pacjentom:

• zrozumieć, na czym polegało naruszenie ochrony ich danych osobowych,
• poznać możliwe konsekwencje zdarzenia; 
• dałoby szansę dowiedzieć się, jakie działania mogą podjąć w celu zminimalizowania ewentualnych negatywnych skutków.

Przypomnieć trzeba, że zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem – powinno zawierać co najmniej następujące informacje:
– imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
– opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
– opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

W jeszcze innej sprawie PUODO (decyzja z dnia 20 listopada 2018 r., ZWAD.405.29.2018) wskazał, że zawiadomienia przesłane do osób, których dane dotyczą, nie są prawidłowe, jeżeli nie zawierają dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie mogą być narażone osoby, których dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia.

Karol Kolankiewicz
adwokat

———-
Karol Kolankiewicz jest adwokatem – członkiem Pomorskiej Izby Adwokackiej w Gdańsku; współzałożyciel Instytutu – Specjaliści Prawa Ochrony Zdrowia; od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; świadczy także usługi doradztwa prawnego dla podmiotów leczniczych; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych; autor licznych publikacji z zakresu prawa medycznego m.in. dla Pomorskiego Magazynu Lekarskiego, Wydawnictwa Wolters Kluwer Polska, czy Wydawnictwa Wiedza i Praktyka.