Kara za naruszenie ochrony danych osobowych dla byłego Ministra Zdrowia!

Kulisy afery z ujawnieniem danych osobowych w mediach społecznościowych

O sprawie pisaliśmy już na łamach portalu w artykule: Minister Zdrowia odwołany po ujawnieniu treści recepty na Twitterze. Przypomnijmy, że Minister Zdrowia Adam Niedzielski ujawnił receptę wystawioną przez jednego z lekarzy w mediach społecznościowych a konkretnie na portalu Twitter (obecnie X). Ujawnienie danych miało być reakcją na zarzuty lekarza dotyczące nieprawidłowości w działaniu elektronicznego systemu recept. Minister chciał zaprzeczyć tym nieprawidłowością i wykorzystał do tego ujawnioną receptę.

Sprawa trafiła również do Prezesa Urzędu Ochrony Danych Osobowych. Organ nadzorczy po przeprowadzonym postępowaniu uznał, że Minister Zdrowia bez podstawy prawnej ujawnił dane o stanie zdrowia lekarza, który wystawił sobie receptę. Takiej podstawy prawnej nie ma ani w RODO, ani też w ustawie o systemie informacji w ochronie zdrowia. Doszło więc do naruszenia reguły legalizmu i ograniczenia celu przetwarzania.

Jak się okazało, nie było to jedyne stwierdzone naruszenie. W ocenie organu nadzorczego Minister Zdrowia nie spełnił wymogów bezpieczeństwa przekazywanych danych. Ich przekazanie z rejestru nastąpiło bowiem przy pomocy popularnego komunikatora WhatsApp, co wygenerowało ryzyko utraty kontroli nad tymi danymi. Rozwiązanie takie nie zostało w ogóle poddane uprzedniej analizie ryzyka.

Poza tym Minister Zdrowia nienależycie zawiadomił podmiot danych czyli wspomnianego wyżej lekarza o naruszeniu. W informacji brakowało opisu możliwych konsekwencji dla tej osoby w związku z naruszeniem ochrony jej danych a także opisu środków w celu zminimalizowania negatywnych skutków naruszenia.

Dlaczego wymierzona kara wyniosła 100 tys. zł? Jak tłumaczy zastępca Prezesa UODO, jest to maksymalna administracyjna kara pieniężna, jaką zgodnie z przepisami można było nałożyć na podmiot z sektora publicznego. Uznano bowiem, że tweet Ministra Zdrowia stanowił działanie podmiotu publicznego a nie osoby fizycznej poza zakresem jej działalności publicznej. Wynika to bowiem z faktu, że to właśnie Minister Zdrowia jest uprawniony do dostępu do danych w systemie recept. Stąd ograniczenie wysokości kary pieniężnej.

W wymiarze administracyjnej kary pieniężnej wzięto pod uwagę:

• umyślny charakter naruszenia,

• brak działań następczych poza usunięciem tweeta (np. przeproszenia lekarza, wyrażenia ubolewania czy publicznego przyznania się do błędu),

• Decyzja Prezesa UODO z dnia 20 grudnia 2023 r. DKN.5131.32.2023

• Uodo.gov.pl