100 tys. zł kary za ujawnienie danych na temat zdrowia
Prezes Urzędu Ochrony Danych Osobowych nałożył 100 tys. zł kary na Ministra Zdrowia za ujawnienie danych o stanie zdrowia jednej z osób.
Minister Zdrowia, będąc administratorem danych przetwarzanych w elektronicznym systemie pozyskał z niego dane, które opublikował w jednym z serwisów społecznościowych. Wpis zawierał informację na temat lekarza, który wystawił sobie receptę na lek z grupy psychotropowych. Tym samym Minister Zdrowia bezprawnie ujawnił dane o stanie zdrowia tej osoby. Prezes UODO po przeprowadzeniu postępowania administracyjnego wydał decyzję, w której nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł.
- To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa – powiedział Jakub Groszkowski Zastępca Prezesa UODO.
W toku postępowania UODO ustalił, że administratorem ujawnionych danych jest Minister Zdrowia jako organ, bowiem to on został wyposażony w określone uprawnienia pozwalające mu na dostęp do danych przetwarzanych we wspomnianym systemie w ściśle zdefiniowanych przypadkach i w określonych celach. Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli Minister Zdrowia.
W ocenie UODO bez znaczenia jest miejsce publikacji danych osobowy, gdyż Minister Zdrowia nie miał prawa publikować ich w żaden sposób. Ponadto cele, w jakich jest uprawniony je przetwarzać, są ścisłe określone w ustawie o systemie informacji w ochronie zdrowia.
Jednocześnie organ nadzorczy w swojej decyzji zwrócił uwagę, że osoba, której dotyczyło naruszenie może dochodzić swoich praw zarówno przed sądem cywilnym, jak i złożyć skargę do Prezesa UODO na niezgodne z prawem przetwarzanie jej danych osobowych przez Adama Niedzielskiego, działającego „prywatnie” jako osoba fizyczna.
Postępowanie UODO dotyczyło naruszenia ochrony danych osobowych nie tylko w związku z ujawnieniem danych z jednego z rejestrów, ale także naruszenia zasad bezpieczeństwa związanych z pozyskaniem tych danych z systemu oraz sposobu ich przekazania Ministrowi Zdrowia.
UODO w swojej decyzji zwrócił m.in. uwagę na fakt, że przekazanie danych pozyskanych z rejestru nastąpiło przy pomocy komunikatora WhatsApp, co stworzyło też możliwość utraty kontroli nad tymi danymi, w tym ich bezpieczeństwem. Nie dość, że ten kanał komunikacji nie został wskazany w przeprowadzonej przez administratora analizie ryzyka, to nie jest on wskazany do komunikacji w administracji publicznej z uwagi na to, iż właściciel tego komunikatora był już karany przez irlandzki organ nadzorczy m.in. za brak przejrzystości w przetwarzaniu danych osobowych.
Minister Zdrowia nie tylko nie zapewnił odpowiedniego poziomu zabezpieczenia danych, ale również niewłaściwie powiadomił osobę, której dane dotyczą o naruszeniu. W informacji tej zabrakło choćby opisu możliwych konsekwencji dla tej osoby w związku z naruszeniem ochrony jej danych czy opisu środków w celu zminimalizowania negatywnych skutków naruszenia.
Wymierzając karę UODO wziął pod uwagę zarówno umyślny charakter naruszenia, jak i brak odpowiednich działań po stronie administratora po wystąpieniu tego incydentu. Poza usunięciem wpisu w mediach społecznościowych, nie podjęto działań takich, jak np. przeproszenie lekarza, wyrażenie ubolewania, czy publicznego przyznania się do błędu.
Urząd nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Ministra Zdrowia. Zastosowanie innych środków naprawczych niż kara, nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych zaniedbań.
Decyzja dostępna jest tutaj