Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Gyncentrum karę administracyjną w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Dodatkowo organ udzielił centrum medycznemu upomnienia za brak obowiązkowego powiadomienia pacjentki, której dane zostały omyłkowo ujawnione.
Do incydentu doszło, gdy pracownik placówki przesłał potwierdzenie przelewu do niewłaściwej osoby – innej pacjentki Centrum o tym samym imieniu. Dokument zawierał pełne dane osobowe: imię i nazwisko, adres, numer rachunku bankowego, kwotę zwrotu oraz nazwę badania genetycznego, która wprost ujawniała, że pacjentka znajduje się w trakcie diagnostyki prenatalnej.
Błąd pracownika to nie powód do braku zgłoszenia
Administrator danych uznał, że incydent nie stwarza ryzyka naruszenia praw lub wolności osób i nie zgłosił go do UODO. Co więcej – kobieta, której dane ujawniono, została poinformowana nie przez placówkę, lecz przez inną pacjentkę.
UODO ocenił sytuację inaczej. Podkreślił, że ujawnienie informacji stanowiących dane szczególnej kategorii – dotyczących zdrowia – domyślnie oznacza wysokie ryzyko naruszenia prywatności. To oznacza, że administrator powinien był nie tylko dokonać zgłoszenia do Prezesa UODO, ale również niezwłocznie powiadomić osobę, której dane zostały ujawnione.
RODO: jasna trzystopniowa skala ryzyka
Rozporządzenie przewiduje trzy poziomy oceny skutków incydentu:
- brak naruszenia ryzyka – dokumentacja wewnętrzna wystarczy, brak obowiązku zgłoszenia,
- ryzyko istotne – obowiązek zgłoszenia do UODO,
- ryzyko wysokie – zgłoszenie + obowiązkowe powiadomienie osoby, której dane dotyczą.
W omawianym przypadku – jak wskazał UODO – doszło do naruszenia poufności danych medycznych, czyli najwrażliższej kategorii danych. To automatycznie oznacza wysoki poziom ryzyka.
Dlaczego to orzeczenie jest ważne dla całej branży medycznej?
UODO po raz kolejny podkreślił, że to nie subiektywna ocena administratora, ale obiektywna możliwość wystąpienia negatywnych konsekwencji jest decydująca przy ocenie incydentu. Dane medyczne, nawet ujawnione „omłkowo” i „tylko jednej osobie”, zawsze generują realną możliwość dyskryminacji, naruszenia dóbr osobistych lub stygmatyzacji.
Urząd zaznaczył też, że zgłaszanie naruszeń wpływa pozytywnie na poziom bezpieczeństwa i pozwala administratorom na świadome zarządzanie ryzykiem, a sama notyfikacja incydentu nie jest traktowana jako automatyczna porażka, lecz jako dowód odpowiedzialności.





