3 minute read
BEZPIECZEŃSTWo DANYCH
from OSOZ Polska
by OSOZ Polska
Kara RODO: pacjent otrzymał skierowanie dla innej osoby
Prezes uoDo nałożył administracyjną karę pieniężną na uniwersyteckie Centrum Kliniczne Warszawskiego uniwersytetu Medycznego. Powodem było niezgłoszenie Prezesowi uoDo naruszenia ochrony danych osobowych, a także niezawiadomienie osoby poszkodowanej o zaistniałym naruszeniu.
Advertisement
KAROLINA SZUŚCIK, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Prezes UODO otrzymał od Rzecznika Praw Pacjenta informacje o możliwości zaistnienia naruszenia ochrony danych osobowych u Administratora. Wynikało z nich, iż jeden z pacjentów Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego (w skrócie: Centrum Klinicznego WUM) otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe innej osoby. Zakres skierowania obejmował: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o rozpoznaniu, czyli informacje o stanie zdrowia. Przyczyną naruszenia był błąd lekarza, który w sytuacji stresowej omyłkowo pobrał nieprawidłową kartę pacjenta i w związku z tym skierowanie zostało wystawione na nieprawidłowe dane – dane innego pacjenta. W przypadku zaistnienia takiego zdarzenia, każdy administrator danych osobowych powinien przeprowadzić analizę pod kątem ryzyka naruszenia praw lub wol-
ności osób fizycznych, która jest niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dane dotyczą. Uniwersyteckie Centrum Kliniczne WUM wyjaśniło, iż została dokonana wstępna i uproszczona analiza poziomu ryzyka zaistniałego zdarzenia, z której wyniknęło, że potencjalnie pokrzywdzona została jedna osoba fizyczna, której to dane w wąskim i do tego częściowo błędnym zakresie zostały ujawnione innej osobie. Na podstawie przeprowadzonej analizy Administrator zakwalifikował to zdarzenie jako incydent bezpieczeństwa. Mimo to podjął on decyzję o nie dokonywaniu zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych oraz nie zawiadomił osób, których dane dotyczą. Jak uważa Administrator, potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna (skierowanie zawierało błędne imię pacjenta) stąd wniosek, iż incydent bezpieczeństwa nie wiązał się z wysokim ryzykiem dla praw lub wolności osoby.
Zaistniałe w Centrum Kliniczne WUM zdarzenie niezaprzeczalnie doprowadziło do udostępnienia danych osobowych osobie nieuprawnionej, gdyż wszystkie dane oprócz imienia były prawidłowe i dane te umożliwiały jednoznaczną identyfikację osoby fizycznej. Co więcej, oprócz udostępnienia danych osobowych, w tym danych zwykłych, nastąpiło także udostępnienie danych szczególnych kategorii – danych o stanie zdrowia (na temat rozpoznania). Ten szeroki zakres nieuprawnionego udostępnienia, zdaniem Prezesa UODO, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Nie należy pominąć także faktu, iż ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, polegające na przekazaniu mu przez lekarza
»10 tys. zł kary uzasadniono zlekceważeniem obowiązków administratora danych.«
skierowania z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej. Prezes UODO wyraził opinię, iż Administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby. W związku z tym Prezes UODO nałożył na Centrum Kliniczne WUM administracyjną karę pieniężną w wysokości 10 tys. zł W ocenie Prezesa UODO, nałożona administracyjna kara pieniężna spełnia funkcję represyjną, gdyż stanowi odpowiedź na naruszenie przez Administratora przepisów rozporządzenia RODO. Będzie również spełniać funkcję prewencyjną, gdyż wskaże Administratorowi, na którego została nałożona kara jak i wszystkim innym administratorom danych, na niedopuszczalność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych. Obowiązki te mają przecież na celu zapobieganie, ograniczenie lub usunięcie negatywnych i często dotkliwych skutków naruszeń dla osób, których naruszenie dotyczy.
Wydawca: KAMSoFT S.A. 40–235 Katowice, ul 1 Maja 133 tel. +48 32 209-07-05 fax +48 32 209-07-15 e-mail: czasopismo@osoz.pl Zespół redakcyjny: Zygmunt Kamiński, Agnieszka golec, Aleksandra Kurowska, Katarzyna Płoskonka, Bożena Wojnarowicz-głuszek.
Współpracownicy: Kamila ćwik, jarosław Frąckowiak, Monika grabska, jan Krakowiak, Katarzyn Kolasa, Andrzej Ryś, Robert Socha, łukasz Stopa, Karolina Szuścik, Cezary Tomiczek. PREnUMERata cZaSoPiSMa Co miesiąc na łamach w oSoZ PolSKA prezentujemy starannie wyselekcjonowaną wiedzę m.in. z dziedziny nowoczesnych technologii w ochronie zdrowia i e-zdrowia. Czytaj relacje z międzynarodowych wydarzeń, wywiady z ekspertami, autorskie raporty specjalne. Cena rocznej prenumeraty: 180 zł (12 numerów).
Dołącz do społeczności e-zdrowia.
Zamówienia: redakcja@osoz.pl
Redaktor naczelny: Artur olesch
jesteśmy partnerem European Connected Health Alliance Skład i łamanie: Piotr Chamera
Druk: INFoMAX, Katowice
Nakład: 1500 egzemplarzy
Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w czasopiśmie oSoZ bez zgody wydawcy KAMSoFT S.A. jest zabronione.
Redakcja nie odpowiada za treść reklam, ogłoszeń i artykułów sponsorowanych.
Redakcja zastrzega sobie prawo do skracania zamieszczanych materiałów. Niezamówionych materiałów nie zwracamy. Pobierz aplikację oSoZNews i czytaj bezpłatnie mobilne wydania czasopisma.