Ponad 40 tys. zł kary dla placówki medycznej za niezgłoszenie naruszenia danych osobowych

Decyzja Prezesa UODO stwierdziła naruszenie art. 33 ust. 1 RODO przez placówkę medyczną, związane z niezawiadomieniem organu nadzorczego o naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż 72 godziny po incydencie. Za ten czyn nałożona została administracyjna kara pieniężna w wysokości 40 514 PLN. Sytuacja obrazowała istotne niedociągnięcia w analizie ryzyka i procedurach ochrony danych u administratora danych.

Zgodnie z przepisami RODO, administrator danych ma obowiązek przeprowadzenia analizy ryzyka po wykryciu naruszenia ochrony danych osobowych. Jeżeli naruszenie może skutkować wysokim ryzykiem naruszenia praw lub wolności osób, administrator powinien niezwłocznie zgłosić to organowi nadzorczemu oraz zawiadomić osoby, których dane dotyczą. Decyzja UODO potwierdza, że niedopełnienie tych obowiązków niesie za sobą sankcje prawne i finansowe.

Brak zgłoszenia naruszenia danych lub opóźnienie w jego zgłoszeniu ogranicza możliwość szybkiej reakcji organu nadzorczego oraz osób poszkodowanych. W przypadku opisywanego incydentu, dane pacjentów zostały przez pomyłkę ujawnione niewłaściwej osobie, co mogło naruszyć ich dobra osobiste oraz prywatność. UODO podkreśla, że troska o szybką informację i właściwą reakcję zapobiega dalszym negatywnym skutkom i jest kluczowa dla ochrony danych.

W analizowanej decyzji UODO nałożył na placówkę medyczną karę pieniężną za niezawiadomienie organu nadzorczego w terminie określonym przez RODO. Dodatkowo, za niezawiadomienie osób, których dane dotyczą, udzielono upomnienia. W ocenie Prezesa UODO, zastosowane kary są proporcjonalne do naruszenia i mają pełnić funkcję prewencyjną oraz odstraszającą, aby zapobiec podobnym zdarzeniom w przyszłości.

Decyzja UDOO jest nieprawomocna.