pr a ktycznie
bezpiecze ń stw o d a nych
85 tysięcy zł za naruszenie danych osobowych Prezes UODO nałożył pierwszą karę na podmiot z sektora ochrony zdrowia. Powodem był brak poinformowania pacjentów o wycieku danych osobowych.
Karolina Szuścik, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Decyzja o nałożeniu przez Prezesa UODO pierwszej w Polsce administracyjnej kary pieniężnej na podmiot me-
dyczny nie odbiła się szerokim echem. Prawdopodobną przyczyną było to, że w ostateczności kara została nałożona za brak współpracy z UODO, a nie za sam wyciek. Sprawa wygląda następująco. Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych. Z jego treści wynikało, iż doszło do nieuprawnionego skopiowania danych osobowych stu pacjentów z systemu podmiotu medycznego przez byłego pracownika w celu ich wykorzystania do marketingu własnych usług. Jednocześnie wskazane zostało, że naruszenie dotyczyło następujących kategorii danych osobowych pacjen-
tów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu, numeru telefonu. Podmiot medyczny nie powiadomił jednak osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, i to pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych jako wysokie. W związku z powyższym, Prezes UODO wezwał podmiot do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.
OSOZ Polska 10/2021
29
