Organ nadzorczy nałożył administracyjną karę pieniężną w wysokości 10 tys. złotych na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego – przekazał w poniedziałek w komunikacie Urząd Ochrony Danych Osobowych.
Powodem nałożenia kary finansowej, jak zaznacza w komunikacie UODO, jest niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych i niezawiadomienie o naruszeniu osoby, której dane dotyczą. Informacja o zdarzeniu wpłynęła do urzędu od Rzecznika Praw Pacjenta.
"Jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady)" – wyjaśnił UODO.
W toku postępowania administrator potwierdził, że doszło do omyłkowego wpisania na skierowaniu do poradni specjalistycznej danych osobowych innego pacjenta, jednak po dokonaniu analizy uznał on, że na skierowaniu pojawiły się dane osobowe nieistniejącej w rzeczywistości osoby, wyjaśnił dalej w komunikacie urząd. Jak podkreślił, mimo że administrator zakwalifikował zaistniałe zdarzenie jako incydent bezpieczeństwa, to jednak uznał, że nie wywiera ono znaczących skutków dla praw i obowiązków osoby, której dane dotyczą, a także zaniechał zgłoszenia organowi nadzorczemu tego zdarzenia oraz nie zawiadomił o nim osoby, której te dane dotyczą.
W ocenie UODO doszło jednak do naruszenia ochrony danych osobowych. Naruszenie to polega na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej. Co więcej, jak zaznaczył urząd, wydany przez lekarza dokument zawierał jedynie omyłkę w imieniu pacjenta, a pozostałe dane dotyczyły już tego konkretnego pacjenta. Tym samym nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby.
Kontrolerzy podkreślili, że niezaprzeczalne jest udostępnienie osobie nieuprawnionej nie tylko danych zwykłych, ale także szczególnych kategorii danych osobowych – tych dotyczących stanów zdrowia na temat rozpoznania i celu porady lekarskiej.
"Ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo wskazać należy, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej" – wskazał UODO.
Co więcej, jak oceniono, administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, mimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez UODO, wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dotyczyło naruszenie.(PAP)
Autorka: Aleksandra Kiełczykowska
ak/ joz/