O obowiązku zgłaszania naruszeń. RODO a podmioty lecznicze

Z Jackiem Młotkiewiczem, dyrektorem Departamentu Kontroli i Naruszeń w Urzędzie Ochrony Danych Osobowych, rozmawia Lidia Sulikowska.

Zgodnie z unijnym ogólnym rozporządzeniem o ochronie danych osobowych*, czyli tzw. RODO, administratorzy danych muszą zgłaszać do UODO naruszenia ochrony danych, do jakich doszło w ich placówkach. Obowiązek ten dotyczy również sektora ochrony zdrowia.

Rzeczywiście, każdy administrator danych, w tym również podmiot leczniczy, jest zobowiązany – w przypadku stwierdzenia naruszenia ochrony danych osobowych – zgłosić ten fakt organowi nadzorczemu, czyli Prezesowi Urzędu Ochrony Danych Osobowych. Obowiązek ten został zapisany w art. 33 RODO.

Dokonując takiego zgłoszenia, należy poinformować m.in. o możliwych konsekwencjach tego zdarzenia, a także przedstawić zastosowane lub proponowane środki zaradcze, aby zminimalizować ryzyko wystąpienia takiej sytuacji w przyszłości. Co więcej, jeśli z naruszeniem ochrony danych wiąże się wysokie ryzyko naruszenia praw lub wolności osób, których te dane dotyczą, to administrator musi powiadomić te osoby, że taka sytuacja miała miejsce. Dzięki tej wiedzy będą one mogły zminimalizować potencjalne ryzyka związane z naruszeniem ochrony swoich danych.

Czy zawsze należy zgłaszać naruszenie danych osobowych, nawet wówczas gdy sytuacja dotyczy jednej osoby?

To, czy naruszone zostało bezpieczeństwo danych jednej osoby, czy kilkudziesięciu, nie ma żadnego znaczenia. Zgłaszać nie trzeba tylko takich naruszeń, przy których jest mało prawdopodobne, by skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych.

Taka sytuacja w przypadku placówek medycznych raczej nie występuje z uwagi na zakres przetwarzanych danych, które dotyczą przecież m.in. stanu zdrowia. Zgodnie z RODO są to bowiem informacje wrażliwe, a więc objęte szczególną ochroną. Co więcej, przy wycieku danych medycznych występuje wysokie ryzyko naruszenia praw lub wolności osób, więc należy poinformować nie tylko Prezesa UODO, ale także osoby, których dane dostały się w niepowołane ręce.

RODO obowiązuje w Polsce już ponad trzy lata. Ile w tym czasie naruszeń zgłosiły podmioty lecznicze?

Z roku na rok obserwujemy wzrost liczby zgłaszanych naruszeń ochrony danych osobowych, także w zakresie sektora medycznego. W 2019 r. odnotowaliśmy 133 zgłoszenia dotyczące placówek ochrony zdrowia, w 2020 r. – 264, a w pierwszym kwartale br. – 47. Zarówno z przychodni, szpitali, jak i indywidualnych praktyk lekarskich.

Biorąc jednak pod uwagę liczbę podmiotów leczniczych działających w Polsce, to liczba zgłoszeń nie jest oszałamiająca i może nie odpowiadać rzeczywistości.

Oczywiście zdajemy sobie sprawę, że jest grupa placówek, które – w sposób świadomy lub nie – nie zgłaszają naruszeń ochrony danych osobowych do UODO. Zdarzają się np. sytuacje, w których administratorzy danych nie wiedzą, że doszło u nich do takiego naruszenia. Po prostu nie udało im się takiego incydentu zidentyfikować, np. nie wykryli pomyłki podczas adresowania korespondencji.

Być może część placówek medycznych nie zgłasza naruszeń ze strachu przed ewentualnymi konsekwencjami?

Pewnie są podmioty, które pomimo wykrycia u siebie nieprawidłowości świadomie nie informują o tym organu nadzorczego. Odradzam jednak takie działanie, bo może się spotkać z surową reakcją urzędu. Zdarzyło się już w przeszłości, że Prezes UODO nałożył administracyjne kary pieniężne na administratorów, którzy zataili fakt wystąpienia naruszenia, choć nie dotyczyło to podmiotów leczniczych.

Pamiętać należy, że do urzędu napływają też informacje o naruszeniach ochrony danych od osób, których bezpośrednio to naruszenie dotyczy, czyli np. od pacjentów, a także od osób, do których dane trafiły w sposób nieuprawniony, więc o takich zdarzeniach UODO i tak prędzej czy później się dowie. Lepiej zatem stawić czoła problemowi od razu. Niezgłoszenie naruszenia nie spowoduje uniknięcia odpowiedzialności, a wręcz przeciwnie – zwiększy ją, właśnie ze względu na fakt zatajenia wystąpienia takiego zdarzenia.

Czego najczęściej dotyczą zgłaszane naruszenia?

Przeważnie chodzi o korespondencję wysłaną do niewłaściwego pacjenta, np. w wyniku pomyłki w adresie albo na skutek dołączenia dokumentów nie tej osoby, co potrzeba. Zdarzają się także przypadki wydania dokumentacji medycznej innemu pacjentowi, a także utrata danych osobowych związana z kradzieżą/zagubieniem nośnika, na którym były one zapisane.

Czyli zazwyczaj do wycieku danych dochodzi przez błąd ludzki, a nie brak wdrożonych procedur?

Zdecydowanie tak. Na pewno jakiś wpływ na tę sytuację ma pandemia COVID-19, w czasie której dużo częściej wysyłano dokumentację medyczną niż przekazywano ją bezpośrednio pacjentowi lub osobie upoważnionej.

Na początku roku Prezes UODO nałożył na szpital karę pieniężną w wysokości kilkudziesięciu tysięcy złotych w związku z naruszeniem ochrony danych osobowych pacjentów.

Tak, ale podmiot ten nie został ukarany za sam fakt naruszenia ochrony danych. Organ nadzorczy zobowiązał go do powiadomienia o naruszeniu osób, których to naruszenie dotyczyło, ale placówka medyczna nie zrobiła tego. Dopiero w związku z niewykonaniem tej decyzji nałożono administracyjną karę pieniężną.

Czy w sektorze ochrony zdrowia było więcej kar pieniężnych?

Po otrzymaniu zgłoszenia naruszenia ochrony danych osobowych może zostać wszczęte postępowanie administracyjne, które ma na celu ustalenie, czy administrator danych przestrzegał obowiązków wynikających z RODO dotyczących właściwego zabezpieczenia danych. Jeśli okaże się, że nie – to na administratora może zostać nałożona administracyjna kara pieniężna. Dotychczas na podmioty z sektora ochrony zdrowia nałożona została jedna taka kara – i był to wspomniany już przeze mnie przypadek związany z niewykonaniem decyzji wydanej przez Prezesa UODO. Widmo administracyjnej kary pieniężnej dotyczy przede wszystkim tych podmiotów, które dopuszczają się poważnych naruszeń przepisów RODO.

Oprócz uprawnienia do nakładania administracyjnych kar pieniężnych Prezes UODO ma też możliwość udzielania upomnień, wydawania ostrzeżeń oraz nakazywania dostosowania operacji przetwarzania danych do wymogów wynikających z RODO. Biorąc pod uwagę liczbę do tej pory wydanych decyzji nakładających administracyjną karę pieniężną oraz liczbę zgłoszonych naruszeń ochrony danych osobowych, to nie należy bać się zgłaszania naruszeń. Trzeba to traktować po prostu jako obowiązek, który należy wypełniać i z którego należy wyciągnąć wnioski w celu poprawy bezpieczeństwa danych w zarządzanej placówce.

Jak pan generalnie ocenia przygotowanie podmiotów medycznych do ochrony danych osobowych pacjentów?

Świadomość w tym zakresie znacząco wzrosła. O ile przed erą RODO niektóre placówki dość lekceważąco podchodziły do kwestii ochrony danych swoich pacjentów, to teraz jest inaczej.

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO). Stosowane jest ono w Polsce od 25 maja 2018 r. i dotyczy podmiotów wszystkich branż, w tym także medycznej.

Przekazywanie danych na odległość

Rzecznik Praw Pacjenta oraz Prezes Urzędu Ochrony Danych Osobowych opracowali „Wytyczne dotyczące realizacji prawa do informacji przez osoby uprawnione na odległość”, które mają ułatwić placówkom medycznym realizację prawa pacjenta (lub osoby upoważnionej) do informacji zgodnie z przepisami o ochronie danych osobowych przy przekazywaniu danych na odległość, np. poprzez rozmowę telefoniczną. W dokumencie znajdziemy m.in. wskazówki, jak prawidłowo potwierdzić, czy osoba, która kontaktuje się z placówką w celu uzyskania informacji o stanie zdrowia, jest tą, która ma prawo do otrzymania tych danych.