Legal newsletter, February 2021

First administrative fine imposed by PUODO for failure to comply with an order imposed by PUODO decision

The President of the Personal Data Protection Office has imposed an administrative fine on a healthcare entity for failing to comply with an administrative decision order to notify patients of a breach of the protection of their personal data involving unauthorized copying of their personal data by a former employee in order to use it for the marketing of services provided by that employee as part of his own medical practice.



W dniu 5 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) decyzją o numerze DKE.561.11.2020, nałożył na podmiot leczniczy administracyjną karę pieniężną w wysokości 85 588 PLN.

W 2019 roku do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie podmiotu leczniczego dotyczące naruszenia ochrony danych osobowych informujące o naruszeniu danych osobowych 100 pacjentów polegające na nieuprawnionym skopiowaniu danych osobowych tych pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Podmiot leczniczy zrezygnował z zawiadomienia pacjentów o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie.

PUODO wezwał podmiot leczniczy do niezwłocznego zawiadomienia pacjentów o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Podmiot leczniczy pozostawił bez reakcji ww. wezwanie, w związku z czym PUODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą o naruszeniu ochrony ich danych osobowych, w wyniku którego wydał decyzję administracyjną nakazującą, aby podmiot leczniczy wykonał czynności wskazane w wezwaniu, o którym mowa powyżej.

Celem sprawdzenia, czy nałożone powyższą decyzją obowiązki zostały wykonane przez podmiot leczniczy, PUODO wszczął postępowanie sprawdzające, w trakcie którego prowadził korespondencję z podmiotem leczniczym uzyskując informacje, iż podmiot leczniczy poinformował 10 pacjentów.  PUODO pouczył podmiot leczniczy o konieczności zawiadomienia wszystkich pacjentów, których ochrona danych mogła zostać naruszona oraz udzielił  podmiotowi leczniczemu szereg wskazówek dotyczących wykonania nałożonego przez PUODO nakazu, w szczególności dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania osobom zainteresowanym, a także sposobu udokumentowania tych czynności przed PUODO. Poinformowano również, że w przypadku niewypełnienia nałożonego obowiązku, PUODO może nałożyć na podmiot leczniczy administracyjną karę pieniężną. Podmiot leczniczy wskazał, iż brak jest możliwości ustalenia jakich osób dotyczy naruszenie, a dotychczas poczynione działania w jego ocenie były wystarczające. W trakcie postępowania sprawdzającego podmiot leczniczy podejmował próby zrealizowania nakazu PUODO.

W opinii PUODO złożone przez podmiot leczniczy wyjaśnienia oraz przedstawione dowody dały podstawę do stwierdzenia, że decyzja administracyjna nakazująca poinformowanie pacjentów o incydencie nie została wykonana, podjęte działania były niewystarczające, a incydent mógł spowodować wysokie ryzyko dla praw i wolności pacjentów, zatem należało  poinformować pacjentów o naruszeniu oraz o działaniach jakie mogą podjąć w celu zabezpieczenia się przed negatywnymi skutkami tego naruszenia.

PUODO wskazał również, iż takie okoliczności jak stopień odpowiedzialności administratora za naruszenie, wdrożone środki techniczne i organizacyjne, czy kategorie danych osobowych, których dotyczyło naruszenie nie miały wpływu na dokonaną przez organ ocenę tego naruszenia.

Komentarz DBS:

Podsumowując powyżej opisaną decyzję PUODO wskazać należy, iż z perspektywy  administratorów danych osobowych, u których wykryto naruszenie ochrony danych osobowych, nadrzędnym działaniem powinna być ścisła współpraca z organem nadzorczym, która – jeżeli administrator będzie wykonywał precyzyjnie zalecenia PUODO – może doprowadzić do zakończenia sprawy bez nakładania administracyjnej kary pieniężnej mimo, iż doszło do naruszenia danych osobowych. W niniejszej sprawie podmiot leczniczy nie wykonał decyzji administracyjnej nakładającej obowiązek poinformowania pacjentów o incydencie, podjął konsultacje z PUDO dopiero na skutek wszczęcia przez organ postępowania sprawdzającego,  nie stosował się do zaleceń dotyczących zasad postępowania  wskazanych przez Urząd Ochrony Danych Osobowych, co doprowadziło do nałożenia wysokiej kary administracyjnej na ten podmiot.

Na marginesie warto zwrócić uwagę, iż PUODO w decyzji nakładającej karę pieniężną na podmiot leczniczy wskazał, że w jego ocenie dowody, które zostały złożone w sprawie jako potwierdzające poinformowanie pacjentów o naruszeniu ochrony ich danych osobowych tj. przykładowa treść dokumentu oraz faktura za znaczki oraz oświadczenie, iż dokument o danej treści został wysłany do pacjentów, nie jest wystarczającym dowodem na poinformowanie osób, których dane dotyczą. Zatem warto pamiętać, że jeżeli administrator zadecyduje o informowaniu osób, których dane dotyczą w formie papierowej, ekspediowanej tradycyjną pocztą, należy korzystać z przesyłek rejestrowych, które pozwolą na identyfikację ich odbiorców. Uwaga ta dotyczy również realizacji obowiązków informacyjnych wobec osób fizycznych przez administratorów danych po uzyskaniu przez nich danych osobowych tych osób.

Karolina Bobrowska, aplikantka radcowska