9 lutego br. Prezes Urzędu Ochrony Danych Osobowych nałożył karę na przedsiębiorcę prowadzącego działalność w zakresie ochrony zdrowia za nieprzestrzeganie decyzji administracyjnej. Jak czytamy w decyzji - UODO nakazał przedsiębiorcy zawiadomienie pacjentów o naruszeniu ich danych osobowych oraz poinformowanie o dalszych postępowaniach, by zminimalizować negatywne skutki wycieku danych. Niestety, jak wykazała późniejsza kontrola, Administrator nie poczynił nic, by wcielić w życie zalecenia nałożone w decyzji UODO.
Do naruszenia ochrony danych osobowych doszło w lipcu 2019 roku (źródło decyzji: https://www.uodo.gov.pl/pl/138/1889). Dane z systemu informatycznego przychodni zostały skopiowane przez byłego pracownika, a następnie wykorzystane w celach marketingowych. Mamy tutaj klasyczny przypadek nieodpowiedniego zabezpieczenia danych osobowych przechowywanych w formie elektronicznej.
Należy pamiętać, że nie zbieramy zgód pacjentów w celu świadczenia usług medycznych. Podstawę prawną przetwarzania tych danych stanowi art. 9 ust. 2 lit. h RODO, w którym czytamy, że dozwolone jest przetwarzanie, które jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (gdy danymi operuje osoba objęta tajemnicą zawodową, pozostałe osoby muszą posiadać upoważnienie do przetwarzania lub umowę powierzenia). Warto pamiętać, że aby móc wykorzystywać dane osobowe w celach marketingowych należy pozyskać zgodę danej osoby.
Jak czytamy dalej w decyzji Prezesa UODO – pomimo wskazania kroków, które powinna podjąć przychodnia, osoby, których dotyczyło naruszenie nie zostały o niczym poinformowane. Właściwe wywiązanie się z obowiązku zawiadomienia osób poszkodowanych pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz podjąć działania w celu zminimalizowania ewentualnych negatywnych skutków.
Niewątpliwie nałożonej kary można było uniknąć. Wystarczyło wywiązać się z zaleceń Prezesa UODO. Co więcej, jest to kolejny przykład na to, że nie można lekceważyć naruszeń ochrony danych osobowych, do których dochodzi niemalże każdego dnia. Warto jest współpracować z organem kontrolującym, przestrzegać otrzymanych wskazówek i zaleceń, a przede wszystkim podnosić wiedzę z zakresu ochrony danych osobowych, a tym samym ich bezpieczeństwo. Tylko świadomy pracownik jest w stanie podejmować odpowiednie decyzje. RODO, pomimo prawie 3-letniego okresu obowiązywania, wciąż jest nowością dla wielu praktyków medycznych.
Wysokość nałożonej kary sugeruje, że brak bezpieczeństwa danych osobowych pod względem ryzyka finansowego można traktować na równi z błędami medycznymi.
Przygotowała:
Sylwia Miezio, Koordynator Sieci Inspektorów Ochrony Danych RODONET, tel. 698 101 878,
