Blisko trzydzieści tysięcy złotych kary dla szpitala powiatowego z Wrześni w Wielkopolsce nałożonej przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Lecznica nie zgłosiła naruszenia administrowanych przez siebie danych bez zbędnej zwłoki oraz nie zawiadomiła na czas osoby, której dotyczyła sprawa. Chodzi o sprawę sprzed ponad trzech lat - kobieta otrzymała ankietę z danymi innej pacjentki. - "(...) z zebranego materiału dowodowego wynika, że dane osobowe pacjentki do chwili obecnej mogą pozostawać w posiadaniu osoby nieuprawnionej" - czytamy w uzasadnieniu.
Jedna z pacjentek wrzesińskiego szpitala dostała dokumenty innej osoby - była to przedoperacyjna ankieta anestezjologiczna. Można było tam znaleźć imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia. Urząd ochrony danych dowiedział się o sprawie od Rzecznika Praw Pacjenta. Prezes UODO zwrócił się do placówki z prośbą o wyjaśnienie sprawy pierwszy raz 15 listopada 2022 roku. Szpital miał 72 godziny na to, aby zgłosić zdarzenie do UODO. Zrobił to jednak dopiero po 16 miesiącach.
W efekcie prezes UODO Mirosław Wróblewski nałożył na Szpital Powiatowy we Wrześni karę w wysokości 29 648 złotych.
"Szpital tłumaczył się, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Na wniosek PUODO przedstawił analizę ryzyka dla danych i treść zawiadomienia, które następnie – zbyt późno – skierował do osoby, której ujawnione dane dotyczą" - głosi komunikat urzędu.
W wyjaśnieniach szpitala przekazanych prezesowi UODO oceniono, że ryzyko wystąpienia niedogodności związanych z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej jest "niskie, a jego istnienie nie wymaga dalszego postępowania".
12 stycznia 2023 r. - jak czytamy w uzasadnieniu urzędu - szpital wskazał w piśmie do UODO, że "w sytuacji, gdybyśmy wiedzieli o zdarzeniu w 2021 roku, tj. w trakcie pobytu obu Pań w jednym pokoju, możliwość udowodnienia personelowi medycznemu pomyłki w zakresie ankiet anestezjologicznych byłaby dużo większa, a tym samym ocena ryzyka byłaby średnia”.
Szpital popełnił błąd
Od zdarzenia minęły ponad trzy lata, a - jak informuje UODO - "z zebranego materiału dowodowego wynika, że dane osobowe pacjentki do chwili obecnej mogą pozostawać w posiadaniu osoby nieuprawnionej".
W komunikacie podkreślono, że szpital powiadomił o sprawie osobę, której dane błędnie przekazano, jednak - ponieważ lecznica nie zgłosiła faktu naruszenia danych osobowych prezesowi UODO - ten nie mógł zareagować i - jak zaznaczono - "wesprzeć administratora w minimalizowaniu skutków naruszenia, do którego już doszło".
Zapytaliśmy, co zrobiłby urząd, jakby dowiedział się o sprawie szybciej.
- Celem zgłaszania naruszeń Prezesowi UODO jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości. Dlatego też istotny jest czas zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego, na co administratorzy mają co do zasady 72 godziny od momentu, w którym dowiedzą się o istnieniu naruszenia - przekazał nam Karol Witowski, p.o. rzecznika prasowego UODO.
Dodał, że UODO poinformowałby też szpital o konieczności powiadomienia osoby, której dane zostały ujawnione.
- Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami. Takimi działaniami może być np. zastrzeżenie nr. PESEL oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości - wytłumaczył.
Samo naruszenie ochrony danych nie przesądza o nałożeniu kary
W informacji UODO zaznaczono, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
W opinii UODO, nałożona na lecznicę kara powinna "doprowadzić do tego, że szpital w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia".
Kara została nałożona za niezgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego i zbyt późne powiadomienie o danym incydencie osoby, której dane dotyczą.
- Postępowanie nie dotyczyło samego faktu wystąpienia naruszenia ochrony danych, a w zasadzie braku odpowiedniej reakcji na to zdarzenie po stronie administratora, czym naruszył on przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO) - przekazał Karol Witkowski.
Dodał, że sam fakt wystąpienia naruszenia ochrony danych osobowych nie przesądza – jak wynika z przepisów RODO – o nałożeniu kary przez organ nadzorczy.
- Przy ocenie takich przypadków brane jest przede wszystkim pod uwagę to, co administrator zrobił, aby zminimalizować ryzyko wystąpienia ochrony danych osobowych. Badane jest zatem to, czy właściwie ocenił ryzyko i prawidłowo dobrał środki techniczne i organizacyjne mające zapewnić prawidłową ochronę danych osobowych. A więc czy np. wiedząc o jakimś ryzyku dla danych osobowych i prawdopodobieństwie jego wystąpienia nie zlekceważył go i się przed nim nie zabezpieczył - wytłumaczył.
Źródło: PAP/TVN24
Źródło zdjęcia głównego: FotoDax/Shutterstock