Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Szpital Powiatowy we Wrześni karę w wysokości 29 648 zł. Powodem było niezłożenie zgłoszenia o naruszeniu ochrony danych osobowych do UODO oraz brak terminowego poinformowania osoby, której dane zostały ujawnione.

Jak doszło do naruszenia?
Sprawa wyszła na jaw dzięki interwencji Rzecznika Praw Pacjenta. Jedna z pacjentek szpitala otrzymała dokumentację medyczną innej osoby. W dokumentach znalazły się imię, nazwisko, numer PESEL, data urodzenia oraz szczegółowe informacje o stanie zdrowia.

Szpital tłumaczył, że nie wiedział o zaistniałym incydencie, dlatego nie zgłosił go do UODO. Po interwencji urzędu placówka przedstawiła analizę ryzyka oraz zawiadomienie, które ostatecznie – choć z opóźnieniem – trafiło do poszkodowanej pacjentki.

Niedoszacowanie ryzyka
Szpital jako administrator danych uznał, że ryzyko związane z przypadkowym ujawnieniem danych było niskie, co według niego nie wymagało dalszego działania. Jednak brak zgłoszenia do UODO uniemożliwił urzędowi podjęcie odpowiednich kroków w celu minimalizacji skutków naruszenia.

Prezes UODO podkreślił, że nawet jednorazowe przypadkowe ujawnienie danych konkretnej osobie może prowadzić do poważnych konsekwencji i zwiększać ryzyko naruszenia praw i wolności osoby, której dane dotyczą.

Kara ma być przestrogą
Nałożona kara administracyjna ma być sygnałem dla szpitala i innych podmiotów, że należy niezwłocznie reagować na naruszenia danych osobowych. Zgłoszenie takich sytuacji do UODO pozwala na wsparcie administratora w ograniczeniu skutków zdarzenia.

Decyzja Prezesa UODO ma na celu zwiększenie świadomości i przestrzegania obowiązków z zakresu ochrony danych osobowych, szczególnie w sytuacjach, gdzie ryzyko dla pacjentów może być bagatelizowane.

Źródło: UODO