Ujawnienie danych medycznych przez ministra zdrowia będzie go kosztować 100 tys. zł

Naruszenie prywatności i konsekwencje prawne

Prezes UODO po przeprowadzeniu postępowania administracyjnego wydał decyzję, w której nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł.

- To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa – powiedział Jakub Groszkowski, zastępca prezesa UODO.

12(21) 2023 SECURITY MAGAZINEMonika Świetlińska

W toku postępowania UODO ustalił, że administratorem ujawnionych danych jest Minister Zdrowia jako organ, bowiem to on został wyposażony w określone uprawnienia pozwalające mu na dostęp do danych przetwarzanych we wspomnianym systemie w ściśle zdefiniowanych przypadkach i w określonych celach. Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli Minister Zdrowia.

Zakres odpowiedzialności i skutki ujawnienia danych

Według Urzędu Ochrony Danych Osobowych, nieistotne jest miejsce, w którym doszło do publikacji danych osobowych – Minister Zdrowia nie miał uprawnienia do ich publikacji w żadnej formie. Zgodnie z ustawą o systemie informacji w ochronie zdrowia, cele przetwarzania danych przez Ministra Zdrowia są ściśle określone i regulowane prawnie.

UODO w swojej decyzji podkreślił również, że osoba poszkodowana przez naruszenie ma prawo do dochodzenia swoich roszczeń przed sądem cywilnym, jak również do złożenia skargi do Prezesa UODO na nielegalne przetwarzanie jej danych osobowych przez Adama Niedzielskiego, który działał w tej sytuacji jako osoba prywatna.

Postępowanie prowadzone przez UODO obejmowało nie tylko fakt ujawnienia danych z rejestru, ale również naruszenie zasad bezpieczeństwa danych, które dotyczyło sposobu ich pozyskania z systemu oraz przekazania Ministrowi Zdrowia.

Bezpieczeństwo danych i postępowanie UODO

Urząd Ochrony Danych Osobowych w swojej decyzji podkreślił, że przekazanie danych osobowych za pomocą komunikatora WhatsApp przez Ministra Zdrowia było nieodpowiednie. Użycie tego komunikatora do przesyłania danych z rejestru stworzyło ryzyko utraty kontroli nad bezpieczeństwem tych danych. WhatsApp, jako narzędzie komunikacyjne, nie został uwzględniony w analizie ryzyka przeprowadzonej przez administratora danych, a jego użycie w administracji publicznej jest niewskazane, szczególnie po wcześniejszych karach nałożonych na właściciela komunikatora przez irlandzki organ nadzorczy za brak przejrzystości w przetwarzaniu danych osobowych.

Kto może, a kto musi wyznaczyć IOD na podstawie RODO?Damian Jemioło

Minister Zdrowia nie tylko nie zapewnił odpowiedniego poziomu zabezpieczenia przekazywanych danych, ale również nie poinformował w należyty sposób osoby, której dane dotyczyły, o naruszeniu ich prywatności. W przekazanej informacji zabrakło szczegółów dotyczących potencjalnych konsekwencji naruszenia dla tej osoby oraz opisu środków mających na celu zminimalizowanie negatywnych skutków tego naruszenia.

W procesie wymierzania kary, UODO wziął pod uwagę umyślny charakter naruszenia oraz brak odpowiednich działań naprawczych ze strony administratora danych po zaistnieniu incydentu. Poza usunięciem wpisu w mediach społecznościowych, Minister Zdrowia nie podjął żadnych innych działań, takich jak przeproszenie lekarza, wyrażenie ubolewania czy publiczne przyznanie się do błędu. UODO nie znalazł żadnych okoliczności łagodzących, które mogłyby wpłynąć na obniżenie wymiaru nałożonej kary. Zdaniem Urzędu, zastosowanie innych środków naprawczych niż kara pieniężna nie zapewniałoby, że w przyszłości nie dojdzie do kolejnych zaniedbań ze strony administratora danych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.