Pierwsza kara dla podmiotu leczniczego. RODO w praktyce lekarskiej

Kilka tygodni temu prezes UODO wydał decyzję nakładającą na podmiot leczniczy karę pieniężną w wysokości ponad 85 tys. zł. Wiadomość ta odbiła się szerokim echem, szczególnie w środowisku medycznym. Czy kary można było uniknąć? – pyta mec. Beata Wierzchowska.

Przekaz informacji był zwykle taki, że oto mamy w końcu efekt słynnego RODO, że podmioty lecznicze zamiast przeznaczyć środki na polepszenie standardów leczenia muszą płacić wysokie kary, że jako słabsza strona w zderzeniu z organem nie mają szans na obronę itd. Nie każdy jednak wie, za co dokładnie nałożono karę. A może zwyczajnie można jej było uniknąć?

Kosztowny brak reakcji

Decyzja prezesa Urzędu Ochrony Danych Osobowych w tej sprawie może dać do myślenia innym administratorom. Sprawa zapoczątkowana została przez samego przedsiębiorcę (administratora danych), który złożył zgłoszenie naruszenia ochrony danych osobowych do UODO. Podmiot leczniczy wskazał, iż naruszenie polegało na nieuprawnionym skopiowaniu danych osobowych stu pacjentów z systemu informatycznego przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług.

Jednocześnie podmiot leczniczy wskazał, że naruszenie dotyczyło takich kategorii danych osobowych pacjentów, jak: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu. PWDL dokonał oceny ryzyka naruszenia praw i wolności osób fizycznych i uznał je za wysokie, ale nie skłoniło go to do skierowania – zgodnie z obowiązującymi przepisami RODO – zawiadomienia do osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

Prezes UODO, stosując rutynową procedurę, wezwał zatem podmiot leczniczy do niezwłocznego dokonania zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Postępowanie mogło zakończyć się bezboleśnie, wystarczyło bowiem, aby PWDL wykonał działania wskazane przez organ w wezwaniu. Ten jednak milczał.

Brak jakichkolwiek działań ze strony podmiotu leczniczego (administratora danych) spowodował wszczęcie formalnego postępowania administracyjnego w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Zakończyło się ono wydaniem stosownej decyzji nakazującej owo zawiadomienie – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna. Co na to PWDL?

I tu schemat działania się powtarza. Miał on prawo zaskarżyć decyzję do sądu administracyjnego, ale tego nie uczynił. Decyzja się uprawomocniła, zatem należało ją wykonać. Tymczasem podmiot leczniczy… znowu zamilkł. Do akcji wkroczył ponownie organ nadzorczy, aby sprawdzić, czy nałożone na przedsiębiorcę na mocy decyzji administracyjnej obowiązki zostały wykonane. Postępowanie sprawdzające doprowadziło jednak do ustalenia, że podmiot leczniczy zaniechał zawiadomienia osób, których prawa zostały naruszone w sposób wymagany przez prezesa UODO. PWDL nie był w stanie przekazać organowi nadzorczemu kopii dziesięciu przykładowych zawiadomień wraz z potwierdzeniem ich nadania.

Pełnomocnik podmiotu leczniczego, dokonując nieudanej próby obrony zaistniałego stanu faktycznego, napisał do UODO: „Niestety, mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy, których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu złożonym przez K. Obecnie w naszych placówkach leczy się ponad […] osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest awykonalne”. W efekcie doszło do nałożenia na podmiot leczniczy dość dotkliwej kary finansowej. Czy jednak po pobieżnym zaznajomieniu się ze stanem faktycznym sprawy uważamy nadal, że podmiot leczniczy jest tu pokrzywdzony przez organ?

Potrzebna poprawa świadomości

Opisana powyżej sprawa pokazuje, że konieczna jest zasadnicza zmiana tzw. kultury przetwarzania danych osobowych. Warto zwrócić uwagę, że administratorzy powinni w każdym przypadku odpowiednio reagować na wezwania organu nadzorczego, nawet jeżeli nie do końca wiedzą, jak się zachować i co odpisać. Jak pokazuje bowiem praktyka, prezes UODO w postępowaniach skargowych – w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych – w pierwszej kolejności korzysta zwykle z innych swoich uprawnień, np. upomnienia.

Decyzje o nałożeniu kary pieniężnej stosowane są zwykle w wyjątkowo ciężkich i kompleksowych naruszeniach przez administratora przepisów o ochronie danych osobowych. Warto też w tym miejscu przypomnieć, że tam, gdzie przetwarzane są dane osobowe, ich naruszenie pozostaje w adekwatnym związku przyczynowo-skutkowym. Jest to zatem normalne zjawisko, które administratorzy są – zgodnie z RODO – obowiązani odpowiednio eliminować i zapobiegać mu. Najlepsze polityki i narzędzia są jednak bezużyteczne, jeśli zabraknie odpowiedniej wiedzy i świadomości w obszarze, w którym powinny być one stosowane.

Kodeksy branżowe coraz bliżej

Niebagatelną rolę w kwestii zmiany tzw. kultury przetwarzania danych osobowych upatruje się w jak najszybszym zatwierdzeniu kodeksów postępowania w sektorze ochrony zdrowia, a następnie ich wdrożeniu i przestrzeganiu przez podmioty medyczne. W ostatnim czasie prezes UODO wydał pozytywne opinie w sprawie dwóch projektów takich kodeksów.

„Istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo że ochrona danych osobowych jest regulowana w Polsce od ponad 20 lat, to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą – stały się one bardziej świadome przysługujących im praw.

Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów” – pisze prezes UODO w opinii z 15 lutego 2021 r. wydanej w toku postępowania o zatwierdzenie kodeksu branżowego, złożonego do prezesa UODO jesienią 2018 r. przez Polską Federację Szpitali, w którym samorząd lekarski pełnił rolę podmiotu wspierającego. Przypomnieć bowiem należy, że Prezydium Naczelnej Rady Lekarskiej 22 czerwca 2018 r. podjęło uchwałę w sprawie przystąpienia Naczelnej Izby Lekarskiej w charakterze podmiotu wspierającego do prac nad powstaniem i aktualizowaniem Kodeksu branżowego dla sektora ochrony zdrowia.

Treść tego kodeksu była konsultowana przez samorząd lekarski, a uwagi do kolejnych wersji projektu przekazane zostały w stanowiskach (m.in. w Stanowisku Nr 9/18/VIII PNRL z dnia 22 czerwca 2018 r. oraz Stanowisku Nr 31/18/VIII PNRL z dnia 14 września 2018 r.). Projekt kodeksu znalazł się w grupie dwóch pierwszych kodeksów pozytywnie zaopiniowanych przez PUODO¹.

Opinia w sprawie kodeksu branżowego zawiera co prawda zastrzeżenia dotyczące monitorowania podmiotów publicznych, razem nie ma to wpływu na jej walor prawny. Pozytywna opinia prezesa UODO nie oznacza jednakże końca prac, bowiem do ostatecznego zatwierdzenia projektu kodeksu potrzebne jest jeszcze uzyskanie akredytacji przez podmiot monitorujący. Jak przypomina UODO, „podmioty medyczne, chcące zapewnić pacjentom wysoki poziom ochrony ich danych, osiągnięty m.in. w projekcie kodeksu przygotowanym przez Polską Federację Szpitali, mogą rozpocząć dostosowywanie do ich postanowień.

Po ewentualnej akredytacji do konkretnego kodeksu podmiot monitorujący będzie mógł rozpocząć procedurę oceny wstępnej kandydatów na członków tego kodeksu. Do tego czasu powoływanie się na postanowienia opiniowanych kodeksów w relacjach z osobami, których dane dotyczą, uczestnikami procesów przetwarzania i organem ds. ochrony danych jest bezskuteczne. Dopiero zatwierdzenie kodeksu i umieszczenie go w publicznym rejestrze prowadzonym przez Prezesa Urzędu na stronie UODO da taką możliwość”.

Beata Wierzchowska, radca prawny NIL

Przypis:

1. Drugi z zatwierdzonych projektów to „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” we współpracy z jedną z eksperckich firm.