Kara za omyłkowe dane osobowe w skierowaniu do poradni

Sprawa została zgłoszona do Prezesa UODO przez Rzecznika Praw Pacjenta. Otóż jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej, w którym omyłkowo wpisano dane osobowe innego pacjenta:

• imię i nazwisko,
• adres zamieszkania,
• numer ewidencyjny PESEL,
• informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).

Administrator uznał, że w wyniku błędu lekarza w skierowaniu znalazły się dane nieistniejącej w rzeczywistości osoby. Z tego względu ADO przyjął, że zdarzenie nie wywiera istotnych skutków dla praw i wolności podmiotów danych. Dlatego nie dokonał zgłoszenia ochrony danych, jak również nie zawiadomił o zdarzeniu podmiotów danych.

Prezes UODO uznał jednak, że doszło do naruszenia ochrony danych wymagającego zgłoszenia. Wydany dokument zawierał bowiem błędne imię pacjenta. Pozostałe dane w skierowaniu dotyczyły już konkretnej osoby, innej niż ta, dla której wydano skierowanie.  To zaś pozwalało na identyfikację osoby wskazanej w skierowaniu. Dostęp do jej danych w wyniku omyłki uzyskała zaś osoba nieuprawniona.

Organ nadzorczy przyjął, że ryzyko w związku z naruszeniem było wysokie. Ujawnieniu podlegały bowiem również dane szczególnej kategorii tj. o stanie zdrowia. Co więcej, doszło do naruszenia tajemnicy lekarskiej. Dlatego zawiadomienie organu nadzorczego i podmiotów danych było w tym przypadku obowiązkowe.