21 maja 2024

RODO w ochronie zdrowia. Wysoka kara od UODO

9 lutego Prezes Urzędu Ochrony Danych Osobowych nałożył karę na przedsiębiorcę prowadzącego działalność w zakresie ochrony zdrowia za nieprzestrzeganie decyzji administracyjnej.

Foto: pixabay.com

To pierwsza kara Prezesa UODO dla podmiotu z sektora medycznego związana z brakiem poinformowania pacjentów o wycieku danych osobowych

Jak czytamy w decyzji, Urząd Ochrony Danych Osobowych nakazał przedsiębiorcy zawiadomienie pacjentów o naruszeniu ich danych osobowych oraz poinformowanie o dalszych postępowaniach, by zminimalizować negatywne skutki wycieku. Jak wykazała późniejsza kontrola, administrator nie zrobił nic, by wcielić w życie zalecenia.

Do naruszenia ochrony danych osobowych doszło w lipcu 2019 roku. Dane z systemu informatycznego przychodni zostały skopiowane przez byłego pracownika, a następnie wykorzystane w celach marketingowych. Można to uznać za klasyczny przypadek nieodpowiedniego zabezpieczenia danych osobowych przechowywanych w formie elektronicznej.

„Przedsiębiorca pomimo udzielenia mu przez Urząd szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności, nawet na etapie postępowania w sprawie nałożenia kary nie przedstawił kompletnych dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu decyzji został przez niego wykonany” – czytamy na stronie UODO. Pełna treść decyzji jest dostępna na stronie https://www.uodo.gov.pl/decyzje/DKE.561.11.2020.

– Należy pamiętać, że nie zbieramy zgód pacjentów w celu świadczenia usług medycznych – mówi Sylwia Miezio, koordynator sieci inspektorów ochrony danych RODONET. Podstawę prawną przetwarzania tych danych stanowi art. 9 ust. 2 lit. h RODO, w którym czytamy, że dozwolone jest przetwarzanie, które jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (gdy danymi operuje osoba objęta tajemnicą zawodową, pozostałe osoby muszą posiadać upoważnienie do przetwarzania lub umowę powierzenia). – Warto pamiętać, że aby móc wykorzystywać dane osobowe w celach marketingowych należy pozyskać zgodę danej osoby – dodaje.