Prezes Urzędu Ochrony Danych Osobowych nałożył na podmiot leczniczy karę administracyjną za nieprzestrzeganie wydanego przez niego nakazu decyzji administracyjnej zawiadomienia pacjentów o naruszeniu ochrony ich danych osobowych polegającego na nieuprawnionym skopiowaniu ich danych przez byłego pracownika celem wykorzystania ich do marketingu usług świadczonych przez tego pracownika w ramach własnej praktyki lekarskiej.

W dniu 05 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO decyzją o numerze DKE.561.11.2020, nałożył na podmiot leczniczy administracyjną karę pieniężną w wysokości 85 588 PLN.

W 2019 roku do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie podmiotu leczniczego dotyczące naruszenia ochrony danych osobowych informujące o naruszeniu danych osobowych 100 pacjentów polegające na nieuprawnionym skopiowaniu danych osobowych tych pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Podmiot leczniczy zrezygnował z zawiadomienia pacjentów o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie.

PUODO wezwał podmiot leczniczy do niezwłocznego zawiadomienia pacjentów o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Podmiot leczniczy pozostawił bez reakcji ww. wezwanie, w związku z czym PUODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą o naruszeniu ochrony ich danych osobowych, w wyniku którego wydał decyzję administracyjną nakazującą, aby podmiot leczniczy wykonał czynności wskazane w wezwaniu, o którym mowa powyżej.

Celem sprawdzenia, czy nałożone powyższą decyzją obowiązki zostały wykonane przez podmiot leczniczy, PUODO wszczął postępowanie sprawdzające, w trakcie którego prowadził korespondencję z podmiotem leczniczym uzyskując informacje, iż podmiot leczniczy poinformował 10 pacjentów. PUODO pouczył podmiot leczniczy o konieczności zawiadomienia wszystkich pacjentów, których ochrona danych mogła zostać naruszona oraz udzielił podmiotowi leczniczemu szereg wskazówek dotyczących wykonania nałożonego przez PUODO nakazu, w szczególności dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania osobom zainteresowanym, a także sposobu udokumentowania tych czynności przed PUODO. Poinformowano również, że w przypadku niewypełnienia nałożonego obowiązku, PUODO może nałożyć na podmiot leczniczy administracyjną karę pieniężną. Podmiot leczniczy wskazał, iż brak jest możliwości ustalenia jakich osób dotyczy naruszenie, a dotychczas poczynione działania w jego ocenie były wystarczające. W trakcie postępowania sprawdzającego podmiot leczniczy podejmował próby zrealizowania nakazu PUODO.

W opinii PUODO złożone przez podmiot leczniczy wyjaśnienia oraz przedstawione dowody dały podstawę do stwierdzenia, że decyzja administracyjna nakazująca poinformowanie pacjentów o incydencie nie została wykonana, podjęte działania były niewystarczające, a incydent mógł spowodować wysokie ryzyko dla praw i wolności pacjentów, zatem należało poinformować pacjentów o naruszeniu oraz o działaniach jakie mogą podjąć w celu zabezpieczenia się przed negatywnymi skutkami tego naruszenia.

PUODO wskazał również, iż takie okoliczności jak stopień odpowiedzialności administratora za naruszenie, wdrożone środki techniczne i organizacyjne, czy kategorie danych osobowych, których dotyczyło naruszenie nie miały wpływu na dokonaną przez organ ocenę tego naruszenia.

Komentarz DBS:
Podsumowując powyżej opisaną decyzję PUODO wskazać należy, iż z perspektywy administratorów danych osobowych, u których wykryto naruszenie ochrony danych osobowych, nadrzędnym działaniem powinna być ścisła współpraca z organem nadzorczym, która – jeżeli administrator będzie wykonywał precyzyjnie zalecenia PUODO – może doprowadzić do zakończenia sprawy bez nakładania administracyjnej kary pieniężnej mimo, iż doszło do naruszenia danych osobowych. W niniejszej sprawie podmiot leczniczy nie wykonał decyzji administracyjnej nakładającej obowiązek poinformowania pacjentów o incydencie, podjął konsultacje z PUDO dopiero na skutek wszczęcia przez organ postępowania sprawdzającego, nie stosował się do zaleceń dotyczących zasad postępowania wskazanych przez Urząd Ochrony Danych Osobowych, co doprowadziło do nałożenia wysokiej kary administracyjnej na ten podmiot.

Na marginesie warto zwrócić uwagę, iż PUODO w decyzji nakładającej karę pieniężną na podmiot leczniczy wskazał, że w jego ocenie dowody, które zostały złożone w sprawie jako potwierdzające poinformowanie pacjentów o naruszeniu ochrony ich danych osobowych tj. przykładowa treść dokumentu oraz faktura za znaczki oraz oświadczenie, iż dokument o danej treści został wysłany do pacjentów, nie jest wystarczającym dowodem na poinformowanie osób, których dane dotyczą. Zatem warto pamiętać, że jeżeli administrator zadecyduje o informowaniu osób, których dane dotyczą w formie papierowej, ekspediowanej tradycyjną pocztą, należy korzystać z przesyłek rejestrowych, które pozwolą na identyfikację ich odbiorców. Uwaga ta dotyczy również realizacji obowiązków informacyjnych wobec osób fizycznych przez administratorów danych po uzyskaniu przez nich danych osobowych tych osób.