Kara UODO dla podmiotu medycznego
Kara UODO dla podmiotu medycznego. Jak wynika z treści Uzasadnienia do Decyzji Prezesa UODO, Rzecznik Praw Pacjenta poinformował UODO o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie. Pacjent otrzymał od jednego z lekarzy skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).
Naruszenie ochrony danych osobowych ...
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:
cyt.: „(…)W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej (innemu pacjentowi Administratora) w zakresie: nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia. Wydany przez lekarza dokument zawierał omyłkę w imieniu pacjenta, tj. zamiast imienia „A” (imię męskie) błędnie wpisane zostało imię „A”(imię żeńskie). Natomiast z przedstawionych materiałów wynika, że pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły Pani A. W. W związku z tym podkreślić należy, że nastąpił jedynie błąd pisarski (tzw. „literówka”) w zakresie imienia osoby, której dane zostały wpisane do skierowania do poradni specjalistycznej, które zostało wydane innemu pacjentowi. Nie zachodzi zatem wskazywana przez Administratora okoliczność, że „potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna”.(…)”.
cyt.: „(…)Pomimo bowiem błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować. Dla takiej identyfikacji wystarczające jest dysponowanie danymi w postaci nazwiska, adresu zamieszkania oraz nr PESEL. Co więcej, na skierowaniu do poradni specjalistycznej, wydanym przez lekarza Administratora nieuprawnionej osobie (innemu pacjentowi), znajdowały się także dane o stanie zdrowia obejmujące informacje dotyczące rozpoznania i celu porady. Nawet gdyby przyjąć, że wpisane w treści skierowania do poradni specjalistycznej ww. informacje o staniu zdrowia dotyczą w rzeczywistości nieuprawnionego odbiorcy (pacjenta, któremu wydano skierowanie), to sam fakt bycia przez Panią A. W. pacjentem Poradni […] jest również informacją o jej stanie zdrowia. Informacja w tym zakresie zwiększa ponadto możliwość identyfikacji tej osoby. Podnieść również należy, że w „Formularzu oceny skutków naruszenia ochrony danych osobowych” Administrator określając zakres danych objętych przedmiotowym naruszeniem wskazał, że dotyczy on także danych o stanie zdrowia, cyt. „Ujawnione osobie nieupoważnionej skierowanie zawierało informację o rozpoznanej jednostce chorobowej oraz o skierowaniu na dalsze badania”.(…)”.
Równoległe naruszenie tajemnicy lekarskiej ...
cyt.: „(…)Wskazać należy również, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza Administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej, o której mowa w art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2021 r. poz. 790). Zgodnie z tym przepisem, lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu. Powyższa okoliczność dodatkowo przesądza o zasadności przyjęcia, że w związku z przedmiotowym naruszeniem ochrony danych osobowych wystąpiło wysokie ryzyko naruszenia praw ub wolności osoby fizycznej dotkniętej tym naruszeniem.(…)”.
Czynniki zewnętrzne ...
cyt.: „(…) za nieistotną należy uznać podnoszoną przez Administratora okoliczność, że „Za główną przyczynę zdarzenia zostało uznane agresywne zachowanie pacjenta w stosunku do p. W. i wywołany nim stres, tj. wpływ losowego czynnika ludzkiego nie mającego na celu wywołania naruszenia bezpieczeństwa przetwarzania danych”. Wskazywany przez Administratora powód wystąpienia naruszenia ochrony danych osobowych nie może powodować zwolnienia go z obowiązków określonych w tym zakresie przepisami art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679, skoro jego konsekwencją było ujawnienie osobie nieuprawnionej (innemu pacjentowi) danych osobowych w zakresie powodującym wysokie ryzyko naruszenia praw ub wolności.(…)”.
Prawo do ochrony danych osobowych ...
cyt.: „(…) W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.(…)”.
Źródło informacji
Jak zabezpieczać się przed karami ...
Autor: mgr Dominik Spałek
Ten IOD może pracować dla Ciebie …Inspektor ochrony danych, założyciel portalu www.prostetorodo.pl Absolwent Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Członek Zespołu merytorycznego Proste to RODO. Ekspert z wieloletnim doświadczeniem w obsłudze podmiotów medycznych w zakresie prawa pracy, zbiorowego prawa pracy oraz ochrony danych osobowych. Dominik Spałek, jako praktyk, realizuje zadania jako Inspektor Ochrony Danych w podmiotach wykonujących działalność leczniczą w Częstochowie i nie tylko. Wspiera administratorów danych osobowych w realizacji ich obowiązków w zakresie przede wszystkich ochrony danych medycznych, w tym danych osobowych. Dominik Spałek, jako praktyk od lat przygotowuje dokumentację z zakresu prawa pracy, zbiorowego prawa pracy. Wieloletnie doświadczenie w pracy w centrali związkowej, zaowocowało licznymi publikacjami tematycznymi z zakresu prawa pracy na łamach tygodników prasowych, jak również w formie audycji radiowych. Fakt uczestnictwa w zespołach roboczych, jak i negocjacyjnych, przełożył się na jego udział w tworzeniu zapisów zakładowych / ponadzakładowych układów zbiorowych pracy m.in. dla sektora medycznego oraz pomocy społecznej.