Omyłkowe udostępnienie dokumentacji medycznej nieuprawnionej osobie może rodzić ryzyko naruszenia praw lub wolności pacjenta. Niezgłoszenie takiego naruszenia ochrony danych z dużym prawdopodobieństwem skończy się karą pieniężną, o czym zresztą przekonał się jeden ze szpitali.
Opracowanie: Michał Kowalski
Naruszenie ochrony danych we wspomnianym we wstępie szpitalu polegało na omyłkowym udostępnieniu dokumentacji medycznej osobie, której ta dokumentacja nie dotyczyła. W konsekwencji nieuprawniona osoba uzyskała dostęp do danych osobowych pacjenta takich jak:imię i nazwisko, data urodzenia, numer PESEL oraz dane dotyczące zdrowia.
Administrator danych osobowych nie dokonał zgłoszenia tego naruszenia do Prezesa Urzędu Ochrony Danych Osobowych ani też nie zawiadomił o nim osoby, której dane dotyczą (ostatecznie to drugie zawiadomienie zostało dokonane, aczkolwiek ze znacznym opóźnieniem). Prezes UODO powziął informację o zdarzeniu od Rzecznika Praw Pacjenta.
Szpital początkowo tłumaczył swoje zaniechanie brakiem wiedzy o incydencie. Następnie argumentował, że ryzyko naruszenia praw i wolności osoby fizycznej w wyniku omyłkowego udostępnienia dokumentacji medycznej było niskie. Ze stanowiskiem tym nie zgodził się jednak organ nadzorczy. Jak wskazał Prezes UODO, pacjent mógł odczuwać obawę co najmniej przed „utratą kontroli nad swoimi danymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.”Organ powołał się w tym aspekcie m.in. na stanowisko przedstawione w wyroku Trybunału Sprawiedliwości UE z dnia 14 grudnia 2023 r. w sprawie Natsionalna agentsia za prihodite (C-340/21). W ocenie TSUE: „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Jak wskazał Prezes UODO, omyłkowe udostępnienie danych osobowych nieuprawnionej osobie może generować więcej niż małe ryzyko naruszenia praw lub wolności podmiotu danych, co uzasadnia dokonanie zgłoszenia naruszenia ochrony danych.
Sprawa zakończyła się ukaraniem szpitala na kwotę 29 648 zł. Na wymiar kary wpływ miał m.in. charakter naruszenia, jak również kategorie danych osobowych, których dotyczyło naruszenie (m.in. numer PESEL).
Decyzja Prezesa UODO z dnia 26 listopada 2024 r. DKN.5131.6.2024
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
