UODO ukarał Gyncentrum za niezgłoszenie wycieku danych pacjentki – 40 tys. zł kary

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Gyncentrum karę administracyjną w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Dodatkowo organ udzielił centrum medycznemu upomnienia za brak obowiązkowego powiadomienia pacjentki, której dane zostały omyłkowo ujawnione.

Do incydentu doszło, gdy pracownik placówki przesłał potwierdzenie przelewu do niewłaściwej osoby – innej pacjentki Centrum o tym samym imieniu. Dokument zawierał pełne dane osobowe: imię i nazwisko, adres, numer rachunku bankowego, kwotę zwrotu oraz nazwę badania genetycznego, która wprost ujawniała, że pacjentka znajduje się w trakcie diagnostyki prenatalnej.

Błąd pracownika to nie powód do braku zgłoszenia

Administrator danych uznał, że incydent nie stwarza ryzyka naruszenia praw lub wolności osób i nie zgłosił go do UODO. Co więcej – kobieta, której dane ujawniono, została poinformowana nie przez placówkę, lecz przez inną pacjentkę.

UODO ocenił sytuację inaczej. Podkreślił, że ujawnienie informacji stanowiących dane szczególnej kategorii – dotyczących zdrowia – domyślnie oznacza wysokie ryzyko naruszenia prywatności. To oznacza, że administrator powinien był nie tylko dokonać zgłoszenia do Prezesa UODO, ale również niezwłocznie powiadomić osobę, której dane zostały ujawnione.

RODO: jasna trzystopniowa skala ryzyka

Rozporządzenie przewiduje trzy poziomy oceny skutków incydentu:

  • brak naruszenia ryzyka – dokumentacja wewnętrzna wystarczy, brak obowiązku zgłoszenia,
  • ryzyko istotne – obowiązek zgłoszenia do UODO,
  • ryzyko wysokie – zgłoszenie + obowiązkowe powiadomienie osoby, której dane dotyczą.

W omawianym przypadku – jak wskazał UODO – doszło do naruszenia poufności danych medycznych, czyli najwrażliższej kategorii danych. To automatycznie oznacza wysoki poziom ryzyka.

Dlaczego to orzeczenie jest ważne dla całej branży medycznej?

UODO po raz kolejny podkreślił, że to nie subiektywna ocena administratora, ale obiektywna możliwość wystąpienia negatywnych konsekwencji jest decydująca przy ocenie incydentu. Dane medyczne, nawet ujawnione „omłkowo” i „tylko jednej osobie”, zawsze generują realną możliwość dyskryminacji, naruszenia dóbr osobistych lub stygmatyzacji.

Urząd zaznaczył też, że zgłaszanie naruszeń wpływa pozytywnie na poziom bezpieczeństwa i pozwala administratorom na świadome zarządzanie ryzykiem, a sama notyfikacja incydentu nie jest traktowana jako automatyczna porażka, lecz jako dowód odpowiedzialności.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Ustawa o zawodzie dietetyka. Kwalifikacje, rejestr i jednolite standardy

Podczas konferencji prasowej w Sejmie przedstawiciele Polski 2050: poseł...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Synektik otwiera europejski etap komercjalizacji technologii histotrypsji. System Edison z certyfikatem CE

System Edison, opracowany przez amerykańską spółkę HistoSonics i wykorzystujący...
Coś dla Ciebie

Wybrane kategorie