Kolejna kara za naruszenie RODO dla podmiotu leczniczego

Zgłaszanie zaistniałych naruszeń danych osobowych przez administratorów pozwala ograniczyć negatywne skutki owego naruszenia, a jednocześnie chroni administratorów danych przed karami administracyjnymi.

Jeden z podmiotów leczniczych, prowadzony w formie samodzielnego publicznego zakładu opieki zdrowotnej, w lipcu br. został obciążony administracyjną karą pieniężną w wysokości 10 tys. zł, nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie stosownej decyzji¹.

W SP ZOZ-ie doszło do ujawnienia danych osobowych osobie nieuprawnionej (innemu pacjentowi administratora) w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej. Jak doszło do tej sytuacji?

Lekarz odpowiedzialny za wystąpienie naruszenia ochrony danych osobowych wskazał m.in., że pacjent (P.Ż.) po badaniu i ocenie badań został przez niego skierowany do jednej z poradni tutejszego szpitala, ale po pewnym czasie chory wrócił do jego gabinetu z pretensją, że ta poradnia jest nieczynna do odwołania.

Aby pacjent nie tracił czasu, lekarz wystawił mu skierowanie do innej poradni z prośbą o leczenie, ale z powodu zdenerwowania spojrzał nie w tę kartę choroby i omyłkowo wypisał nie te dane pacjenta. Wziął pod uwagę dane innego pacjenta (A.W.), a w zasadzie pacjentki, ale dodatkowo pomylił w tych danych imię.

Nie ten pacjent

Postępowanie w tej sprawie zostało wszczęte przez organ nadzorczy w związku z informacją przekazaną przez Rzecznika Praw Pacjenta o możliwości zaistnienia naruszenia ochrony danych osobowych w ww. podmiocie. Wszak jeden z lekarzy zatrudnionych w tej placówce wystawił skierowanie do poradni specjalistycznej, zawierające dane osobowe innej osoby, tj. imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informację o rozpoznaniu i celu porady (dane wrażliwe).

Na pytanie, czy w związku z tym incydentem dokonana została przez administratora analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osoby, której dane dotyczą, UODO otrzymał dość zaskakującą odpowiedź.

Naruszenie czy incydent?

Okazało się bowiem, że administrator „po dokonaniu wstępnej, uproszczonej analizy poziomu ryzyka zdarzenia, ze względu na jego zakres przedmiotowo-podmiotowy (potencjalnie pokrzywdzona została jedna osoba fizyczna, której to dane ujawnione zostały jednej, możliwej do zidentyfikowania osobie w wąskim i błędnym zakresie), zakwalifikował je jako incydent bezpieczeństwa”.

Tym samym pracownicy ww. działu administratora podjęli decyzję o niedokonywaniu zgłoszenia incydentu Prezesowi UODO oraz „(…) ze względu na okoliczność, iż incydent nie wywiera znaczących skutków dla praw i obowiązków osoby, której dane dotyczą”, administrator podtrzymał swoją decyzję o braku konieczności dokonania zawiadomienia Prezesa UODO oraz osób, których dane dotyczą.

UODO nie zgodził się ze stanowiskiem administratora danych. W opinii organu nadzorczego doszło w tej sprawie do naruszenia danych osobowych, które polegało na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej (innemu pacjentowi administratora) w zakresie: nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia.

Kluczowa kwestia możliwej identyfikacji

Organ stwierdził, że wydany przez lekarza dokument co prawda zawierał omyłkę w imieniu pacjenta, ale pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły tej osoby i podkreślił, że nastąpił jedynie błąd pisarski (tzw. literówka) w zakresie imienia osoby, której dane zostały wpisane do skierowania do poradni specjalistycznej, które zostało wydane innemu pacjentowi.

W ocenie Urzędu nie zachodziła w tej sprawie wskazywana przez administratora okoliczność, że „potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna”, gdyż pomimo błędu w imieniu tej osoby można ją w sposób łatwy zidentyfikować. Organ wskazał, że dla takiej identyfikacji wystarczające jest dysponowanie danymi w postaci nazwiska, adresu zamieszkania oraz nr PESEL.

UODO zwrócił też uwagę, że na skierowaniu do poradni specjalistycznej, wydanym przez lekarza administratora nieuprawnionej osobie (innemu pacjentowi), znajdowały się także dane o stanie zdrowia obejmujące informacje dotyczące rozpoznania i celu porady.

UODO podkreślił, że gdyby przyjąć, że wpisane w treści skierowania do poradni specjalistycznej ww. informacje o stanie zdrowia dotyczą w rzeczywistości nieuprawnionego odbiorcy (pacjenta, któremu wydano skierowanie), to sam fakt bycia przez panią A. W. pacjentem Poradni […] jest również informacją o jej stanie zdrowia, a ponadto informacja w tym zakresie zwiększa możliwość identyfikacji tej osoby.

Jak wynika z treści wydanej decyzji o nałożeniu kary, UODO zakwalifikował działanie administratora jako świadomy brak zawiadomienia o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą. Ze szczegółowym opisem stanu faktycznego można zapoznać się na stronie UODO.

Beata Wierzchowska, radca prawny NIL

Przypis:

1. https://www.uodo.gov.pl/decyzje/DKN.5131.34.2021