Naruszenia ochrony danych osobowych należy zgłaszać bez zbędnej zwłoki.

Prezes UODO, Mirosław Wróblewski nałożył na Szpital Powiatowy we Wrześni karę 29 648 zł za to, że nie zgłosił faktu naruszenia administrowanych przez siebie danych bez zbędnej zwłoki do PUODO, ani nie zawiadomił na czas osoby, której dane dotyczą.

O sprawie Prezes UODO dowiedział się od Rzecznika Praw Pacjenta. Jedna z pacjentek szpitala dostała dokumentację medyczną innej osoby. Dokumentacja zawierała imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia.

Szpital tłumaczył się, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Na wniosek PUODO przedstawił analizę ryzyka dla danych i treść zawiadomienia, które następnie – zbyt późno – skierował do osoby, której ujawnione dane dotyczą.

Szpital – administrator danych – wyjaśnił Prezesowi UODO, że ryzyko wystąpienia niedogodności związanych z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej jest jego zdaniem niskie, a jego istnienie nie wymaga dalszego postępowania. O sprawie powiadomił osobę, której dane dotyczą. Ale ponieważ nie zgłosił naruszenia do PUODO, ten nie mógł zareagować i wesprzeć administratora w minimalizowaniu skutków naruszenia, do którego już doszło.

Prezes UODO podkreśla, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

PUODO uznał, że należy zastosować karę administracyjną. Jej nałożenie powinno doprowadzić do tego, że szpital w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia.

DKN.5131.6.2024