UODO: kara 40 tys. zł za niezgłoszenie naruszenia ochrony danych pacjentki

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Gyncentrum karę w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Dodatkowo spółka otrzymała upomnienie za brak zawiadomienia osoby, której dane dotyczyły, bez zbędnej zwłoki.

Sprawa dotyczyła centrum medycznego zajmującego się między innymi leczeniem niepłodności. Pracownik placówki przesłał potwierdzenie realizacji zwrotnego przelewu, w tytule którego znalazła się nazwa badania genetycznego innej osoby – również pacjentki placówki, mającej to samo imię. W konsekwencji dokument trafił do niewłaściwego adresata.

Potwierdzenie przelewu zawierało dane osobowe:

• imię, nazwisko,

• numer rachunku bankowego,

• adres,

• kwotę przelewu oraz

• nazwę wykonanego badania.

Nazwa badania ujawniała, że jest ono częścią rozbudowanej diagnostyki prenatalnej, co oznacza, że plik zawierał informacje dotyczące zdrowia.

W toku postępowania przed Prezesem UODO ustalono, że incydent był skutkiem pomyłki pracownika. Administrator danych uznał jednak, że zdarzenie nie wiązało się z możliwością naruszenia praw lub wolności osób fizycznych, dlatego nie zgłosił naruszenia do Prezesa UODO. Sama pacjentka dowiedziała się o sytuacji od innej pacjentki Centrum, która przypadkowo otrzymała potwierdzenie przelewu.

Prezes UODO uznał ocenę administratora za błędną. Incydent stanowił naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Zawarte w potwierdzeniu informacje pozwalały na wyciągnięcie wniosków o stanie zdrowia osoby, której dane dotyczyły, przez co mogły prowadzić do naruszenia jej dóbr osobistych lub dyskryminacji.

W sprawie tej kluczowe było ustalenie, czy istnieje ryzyko naruszenia praw lub wolności osób fizycznych. RODO nakazuje stosować trzystopniową skalę oceny ryzyka.

Naruszenia nie trzeba zgłaszać do Prezesa UODO, a jedynie je udokumentować, jeśli zostało wykluczone prawdopodobieństwo wystąpienia ryzyka. Taka sytuacja ma miejsce tylko wtedy, gdy skutki incydentu nie mogą realnie wystąpić. W wersji anglojęzycznej RODO używa określenia „unlikely”, które ma silniejsze znaczenie niż polskie „mało prawdopodobne” – oznacza niemal niemożliwe.

Jeśli jednak ryzyka nie można uznać za pomijalne, administrator ma obowiązek zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO oraz odnotowania go w wewnętrznej ewidencji naruszeń.

Z kolei stwierdzenie wysokiego ryzyka powoduje konieczność nie tylko zgłoszenia incydentu do organu nadzorczego i dokonania wpisu w ewidencji, ale również powiadomienia osób, których dane zostały naruszone.

Zdaniem Prezesa UODO w przypadku błędnie wysłanego potwierdzenia przelewu administrator niewłaściwie ocenił ryzyko. Ujawnione informacje dotyczyły zdrowia, co automatycznie podnosi znaczenie poufności i potencjalne skutki naruszenia dla podmiotu danych. Skoro wystąpiło wysokie ryzyko, konieczne było powiadomienie zarówno Prezesa UODO, jak i osoby, której dane dotyczą.

Prezes UODO w decyzji podkreślił, że zgłaszanie naruszeń ochrony danych osobowych stanowi istotny element systemu bezpieczeństwa przetwarzania danych. Dzięki takim zgłoszeniom organ nadzorczy może weryfikować ocenę ryzyka przedstawioną przez administratora oraz kontrolować prawidłowość podjętych działań.

Administrator, przekazując zgłoszenie, informuje organ, czy w jego ocenie doszło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz czy osoby te powiadomiono o incydencie. W niektórych przypadkach może też wskazać, że zawiadomienie nie jest wymagane – jeśli wystąpiły szczególne okoliczności przewidziane w art. 34 ust. 3 RODO.

UODO podkreślił, że proces notyfikacji i związana z nim kontrola służy zarówno interesom administratora, jak i osób, których dane zostały naruszone. Zapewnia prawidłowe wykonanie obowiązków wynikających z RODO i skuteczną ochronę praw osób fizycznych.