DKN.5131.34.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.), art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 it. a) i h), art. 58 ust. 2 it. e) i i), art. 83 ust. 1 - 3 i art. 83 ust. 4 it. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE 119 z 04.05.2016, str. 1, ze zm.), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie przy ul. Banacha 1a, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie przy ul. Banacha 1a przepisów:
- art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
- art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą,
- nakłada na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie przy ul. Banacha 1a, administracyjną karę pieniężną w wysokości 10 000 złotych (słownie: dziesięciu tysięcy złotych),
- nakazuje zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
- opisu charakteru naruszenia ochrony danych osobowych;
- imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych ub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
- opisu środków zastosowanych ub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,
w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
Uzasadnienie
Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego, zwane dalej również Administratorem, stosownie do statutu stanowiącego załącznik nr 2 do uchwały […] Senatu Warszawskiego Uniwersytetu Medycznego z dnia […] października 2021 r., jest podmiotem leczniczym niebędącym przedsiębiorcą i jest prowadzone w formie samodzielnego publicznego zakładu opieki zdrowotnej na podstawie zarządzenie Ministra Zdrowia i Opieki Społecznej nr 2/98 z dnia 4 grudnia 1998 r. w sprawie przekształcenia publicznego zakładu opieki zdrowotnej w samodzielny publiczny zakład opieki zdrowotnej, uchwały nr […] Senatu Warszawskiego Uniwersytetu Medycznego z dnia […] maja 2018 r. […] oraz zarządzenia nr […] Rektora Warszawskiego Uniwersytetu Medycznego z dnia […] maja 2018 r. […]. Podstawowym celem Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego jest m.in. udzielanie świadczeń zdrowotnych i promocja zdrowia. Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego zostało wpisane do Krajowego Rejestru Sądowego pod nr KRS 0000073036 oraz do Rejestru Podmiotów Wykonujących Działalność leczniczą, prowadzonego przez Wojewodę Mazowieckiego, pod nr 000000018598.
W dniu […] marca 2021 r. do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,Prezesem UODO”, wpłynęła informacja od Rzecznika Praw Pacjenta o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie. Z załączonych materiałów wynikało, że pacjent Administratora otrzymał od jednego z lekarzy skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).
W związku z powyższym, pismem z dnia […] kwietnia 2021 r. Prezes UODO zwrócił się do Administratora o udzielenie informacji, czy w związku z ww. incydentem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osoby, której dane dotyczą.
W odpowiedzi, w piśmie z dnia […] kwietnia 2021 r. Administrator poinformował między innymi organ nadzorczy, że: „(…) Dział […] Administratora, po dokonaniu wstępnej, uproszczonej analizy poziomu ryzyka zdarzenia, ze względu na jego zakres przedmiotowo-podmiotowy (potencjalnie pokrzywdzona została jedna osoba fizyczna, której to dane ujawnione zostały jednej, możliwej do zidentyfikowania osobie w wąskim i błędnym zakresie), zakwalifikował je jako incydent bezpieczeństwa. Tym samym, pracownicy ww. działu Administratora, podjęli decyzję o nie dokonywaniu zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych” oraz „(…) ze względu na okoliczność, iż incydent nie wywiera znaczących skutków dla praw i obowiązków osoby której dane dotyczą, Administrator podtrzymał swoją decyzję o braku konieczności dokonania zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych, jak również osób, których dane dotyczą”.
Do ww. pisma Administrator dołączył „Formularz oceny skutków naruszenia ochrony danych osobowych” oraz wyjaśnienia lekarza odpowiedzialnego za wystąpienie naruszenia ochrony danych osobowych. Z ww. wyjaśnień wynikało, że „Pacjent P.Ż. był […].03.2021 w Poradni […] tut. Szpitala. Po badaniu i ocenie badań został skierowany do tut. Poradni […]. (…) Po pewnym czasie pacjent Ż. wrócił do gabinetu z pretensją, że Poradnia […] jest nieczynna do odwołania. (…) Aby pacjent nie tracił czasu wystawiłem skierowanie do innej Poradni […] z prośbą o leczenie. (…) Z powodu zdenerwowania wziąłem nie tą kartę choroby i omyłkowo wypisałem nie te dane pacjenta. Dane zostały wypisane na pacjenta A. W. Ale to nie są dane tego pacjenta. Dane należą do pacjentki A. W. Pacjent A. W. z takimi danymi nie istnieje”.
Prezes UODO nie przychylił się do ww. stanowiska i w związku z tym, na podstawie art. 61 § 1 i 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.), zwanej dalej również „Kpa”, w związku z art. 58 ust. 2 it. e) rozporządzenia 2016/679, pismem z dnia […] lipca 2021 r. wszczął z urzędu wobec Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie.
W odpowiedzi na pismo informujące o wszczęciu postępowania administracyjnego, Administrator pismem z dnia […] sierpnia 2021 r. poinformował Prezesa UODO, że powziął informację o zaistnieniu incydentu w dniu […] marca 2021 r., w wyniku otrzymania wystąpienia o przekazanie wyjaśnień wystosowanego przez Biuro Rzecznika Praw Pacjenta (sygn. akt […]). Ponadto, w ww. piśmie wyjaśniono, że „W dniu otrzymania informacji, Dział […] Administratora, po dokonaniu wstępnej, uproszczonej analizy poziomu ryzyka zdarzenia, ze względu na jego zakres przedmiotowo-podmiotowy (potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna [na skierowaniu, które miało zostać wystawione Pani A. W., został wskazany nieistniejący A. W.], której to dane ujawnione zostały jednej, możliwej do zidentyfikowania osobie), zakwalifikował je jako incydent bezpieczeństwa”. W konsekwencji zaś stwierdzenia, że przedmiotowy incydent dotyczył osoby nieistniejącej, Administrator uznał w wyniku przeprowadzonej oceny ryzyka, iż nie wywiera on „znaczących skutków dla praw i obowiązków osoby, której dane dotyczą, tj. Pani A. W.”. W związku z przyjęciem, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator podjął decyzję o braku konieczności jego zgłoszenia organowi nadzorczemu, jak również zawiadomienia o nim osoby, której dane dotyczą.
Do ww. pisma Administrator ponownie załączył „Formularz oceny skutków naruszenia ochrony danych osobowych” oraz wyjaśnienia lekarza odpowiedzialnego za wystąpienie naruszenia ochrony danych osobowych.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną iczbę wpisów danych osobowych, których dotyczy naruszenie;
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych ub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw ub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:
- jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
- zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 it. b), c) i d) rozporządzenia 2016/679, tj.:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 it. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.
W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej (innemu pacjentowi Administratora) w zakresie: nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia. Wydany przez lekarza dokument zawierał omyłkę w imieniu pacjenta, tj. zamiast imienia „A” (imię męskie) błędnie wpisane zostało imię „A”(imię żeńskie). Natomiast z przedstawionych materiałów wynika, że pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły Pani A. W. W związku z tym podkreślić należy, że nastąpił jedynie błąd pisarski (tzw. „literówka”) w zakresie imienia osoby, której dane zostały wpisane do skierowania do poradni specjalistycznej, które zostało wydane innemu pacjentowi. Nie zachodzi zatem wskazywana przez Administratora okoliczność, że „potencjalnie pokrzywdzona została jedna, nieistniejąca w rzeczywistości osoba fizyczna”. Pomimo bowiem błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować. Dla takiej identyfikacji wystarczające jest dysponowanie danymi w postaci nazwiska, adresu zamieszkania oraz nr PESEL. Co więcej, na skierowaniu do poradni specjalistycznej, wydanym przez lekarza Administratora nieuprawnionej osobie (innemu pacjentowi), znajdowały się także dane o stanie zdrowia obejmujące informacje dotyczące rozpoznania i celu porady. Nawet gdyby przyjąć, że wpisane w treści skierowania do poradni specjalistycznej ww. informacje o staniu zdrowia dotyczą w rzeczywistości nieuprawnionego odbiorcy (pacjenta, któremu wydano skierowanie), to sam fakt bycia przez Panią A. W. pacjentem Poradni […] jest również informacją o jej stanie zdrowia. Informacja w tym zakresie zwiększa ponadto możliwość identyfikacji tej osoby. Podnieść również należy, że w „Formularzu oceny skutków naruszenia ochrony danych osobowych” Administrator określając zakres danych objętych przedmiotowym naruszeniem wskazał, że dotyczy on także danych o stanie zdrowia, cyt. „Ujawnione osobie nieupoważnionej skierowanie zawierało informację o rozpoznanej jednostce chorobowej oraz o skierowaniu na dalsze badania”.
Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”, wskazała, że „Istotnym czynnikiem, który należy wziąć pod uwagę, jest łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne ub dopasować dane do innych informacji służących identyfikacji osób fizycznych. W zależności od okoliczności identyfikacja może być możliwa bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez potrzeby gromadzenia dodatkowych informacji pozwalających określić tożsamość danej osoby ub dopasowanie danych osobowych do konkretnej osoby może być bardzo trudne, lecz wciąż wykonalne pod pewnymi warunkami. Identyfikacja może być pośrednio lub bezpośrednio możliwa w oparciu o ujawnione dane, ale może również zależeć od konkretnego kontekstu naruszenia i publicznej dostępności powiązanych danych osobowych. Może to mieć większe znaczenie w przypadku naruszeń dotyczących poufności i dostępności danych”. Powyższe potwierdza zatem łatwość identyfikacji konkretnej osoby fizycznej w oparciu o takie dane, jak nazwisko, adres zamieszkania ub pobytu, nr PESEL oraz dane o stanie zdrowia. Przesądza o tym w szczególności istota numeru identyfikacyjnego Powszechnego Elektronicznego Systemu Ewidencji ludności. Stosownie bowiem do art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2022 r. poz. 1191), numer ten jednoznacznie identyfikuje osobę fizyczną.
W złożonych wyjaśnieniach Administrator wskazał, że po dokonaniu analizy stanu faktycznego sprawy, została przeprowadzona pełna analiza poziomu ryzyk zagrożenia praw i wolności podmiotów danych (powagi naruszenia) w oparciu o przyjęty u Administratora formularz oceny skutków ryzyka. W jej wyniku zdarzeniu przypisano ocenę 5 w skali od 0 do 21, która to klasyfikowała ww. zdarzenie jako „średnio dotkliwe”. Zgodnie z metodyką oceny, Administrator przyjął, iż w wyniku zdarzenia „Osoby fizyczne zostaną dotknięte naruszeniem w stopniu średnim, tj.: mogą napotkać pewne niedogodności, które są łatwe do przezwyciężenia (czas spędzony na ponownym wejściu w informacje, rozdrażnienie, irytacja itp.). Niemniej naruszenie ochrony danych nie wywiera znaczących skutków dla praw i obowiązków osoby której dane dotyczą. Należy ewidencjonować w rejestrze incydentów jako incydent bezpieczeństwa, ale nie podlega zgłoszeniu do UODO”.
W przedmiotowej sprawie Administrator uznał, że naruszenie nie wiąże się z ryzykiem naruszenia praw ub wolności osoby nim dotkniętej. Warto zauważyć, że ze zgromadzonego materiału dowodowego wynika, iż administrator przewidział jednak, że naruszenie może wiązać się z takim ryzykiem, gdyż m.in. „przeprowadził audyt wizyjny, połączony z zebraniem wyjaśnień od osób wykonujących czynności w obszarze wystąpienia incydentu, tj. gabinecie lekarza, który wystawił skierowanie do poradni specjalistycznej oraz […] Szpitala Klinicznego Dzieciątka Jezus”.Uzależnianie reakcji na zaistniałe naruszenie od ziszczenia się jego potencjalnych konsekwencji jest sprzeczne z zasadą, zgodnie z którą administrator ma przeciwdziałać konsekwencjom naruszenia ub minimalizować jego negatywne skutki (w sytuacji, gdy niezasadne jest już stosowanie środków im zapobiegających). Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw ub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Zatem podnoszona przez Administratora okoliczność cyt.: „wpływ osowego czynnika udzkiego nie mającego na celu wywołania naruszenia bezpieczeństwa przetwarzania danych” nie ma znaczenia dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. W wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że: „(…) podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw ub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw ub wolności osób fizycznych.” Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 stycznia 2022 r. (sygn. akt: II SA/Wa 1353/21) wskazując, że „(…) możliwe konsekwencje zdarzenia naruszenia danych osobowych nie muszą się zmaterializować - gdyż w art. 33 ust. 1 RODO mowa o tym, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw ub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego ub szkód u osób fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem”.
Zastrzeżenia budzą także wartości przyjęte przez Administratora w „Formularzu oceny skutków naruszenia ochrony danych osobowych”, w części dotyczącej „specyficznych czynników naruszenia – zwiększających lub zmniejszających poziom ryzyka dla podmiotów danych” oraz „innych kryteriów”. Przede wszystkim zakwestionować należy wartość wskazaną w pkt „Czy istnieje wysokie ryzyko naruszenia praw lub wolności osoby/osób których dane dotyczą?”, gdzie Administrator wpisał „0”. Przyjęcie takiej wartości w tym punkcie jest niezrozumiałe w kontekście odpowiedzi „TAK” udzielonej na pytanie „Czy dane których dotyczy naruszenie, ze względu na swoje cechy i właściwości, mają podatność, wskazującą że są wykorzystywane do celów nielegalnych - np.. dane finansowe, dane umożliwiające wyłudzenie kredytu/pożyczki?”. Nie ulega bowiem wątpliwości, że możliwość wykorzystania danych do wyłudzenia kredytu ub pożyczki, jako powodujące powstanie straty finansowej, stanowi o wysokim ryzyku naruszenia praw ub wolności osób fizycznych, na co wskazują zresztą wytyczne Grupy Roboczej Art. 29. Nie można zgodzić się również z przyjętą przez Administratora wartością „0” w odpowiedzi na pytanie „Czy dane których naruszenie dotyczy, były prawidłowe i aktualne?”. Jak można założyć, Administrator wpisał taką wartość z uwagi na błąd w imieniu osoby, której dane zostały ujawnione osobie nieuprawnionej. Tymczasem, z uwagi na wysoką możliwość identyfikacji tej osoby w oparciu o pozostałe ujawnione dane, co wyżej zostało wykazane, Administrator powinien przy odpowiadaniu na to pytanie wziąć przede wszystkim pod uwagę, czy prawidłowe i aktualne są właśnie te dane, które na taką identyfikację pozwalają, tj. nazwisko, adres zamieszkania ub pobytu, nr PESEL oraz dane o stanie zdrowia. W ocenie Prezesa UODO Administrator w sposób nieprawidłowy przyjął także wartość „0” w odpowiedzi na pytanie „Czy istnieje ograniczona możliwość identyfikacji osoby, której dane dotyczą - np. ze względu na powszechność danych? Czy też istnieje maksymalna pewność co do identyfikacji osoby?”, wskazując na ograniczoną możliwość identyfikacji osoby, której dane dotyczą. Jak już bowiem niejednokrotnie wykazywano, zakres ujawnionych danych przesądza o wysokiej możliwości identyfikacji osoby, której dane zostały objęte naruszeniem. Ponadto, przy dokonywaniu analizy ryzyka naruszenia praw ub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych nie należy w sposób arbitralny obniżać poziomu tego ryzyka w sytuacji, gdy naruszenie dotyczy tylko jednej osoby, tak jak uczynił to Administrator wpisując wartość „-1” w odpowiedzi na pytanie „Czy naruszenie dotyczy małej iczby osób tj. poniżej 10?”. O poziomie tego ryzyka przesądza bowiem przede wszystkim zakres danych objętych naruszeniem a nie właśnie iczba osób, których ono dotyczy. Wynika to jednoznacznie z wytycznych, w których wskazano, że „(…) w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby”. Wreszcie, nie można zgodzić się z Administratorem, który przyjął wartość „-1” w odpowiedzi na pytanie „Czy podmiot, który w wyniku naruszenia uzyskał dostęp do danych posiada cechy/właściwości wskazujące na to że jest to podmiot zaufany i można spodziewać się że nie dokona dalszego wykorzystania danych i ich przetwarzania?”. Zgodnie bowiem z wytycznymi, „z uwagi na fakt, że administrator pozostaje z podmiotami zaufanymi w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych ub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia – fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca”. Administrator nie wykazał jednak, że zachodzą przesłanki pozwalające na uznanie nieuprawnionego odbiorcy za odbiorcę zaufanego, wskazane w ww. wytycznych. Podniesiona przez Administratora w „Formularzu oceny skutków naruszenia ochrony danych osobowych” okoliczność, że podmiot, któremu w sposób nieuprawiony ujawniono dane innej osoby „jest pozytywnie zainteresowany poziomem ochrony danych osobowych, jak również prawami pacjenta” nie determinuje w sposób niebudzący wątpliwości istnienia tego typu cechy po jego stronie.
Przyjęcie przez Administratora zaniżonych wartości w ww. obszarach, zgodnie z przyjętą przez niego metodyką analizy poziomu ryzyk zagrożenia praw ub wolności podmiotów danych (powagi naruszenia), miało kluczowy wpływ na finalną ocenę poziomu ryzyka naruszenia praw lub wolności osoby fizycznej zaistniałego wskutek naruszenia ochrony jej danych osobowych, a w konsekwencji na brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz brak zawiadomienia o tym naruszeniu osoby, której dane dotyczą, stosownie do obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679.
Z uwagi na powyższe, należy uznać, że w wyniku przedmiotowego zdarzenia doszło do naruszenia poufności danych osoby wskazanej w treści skierowania do poradni specjalistycznej, które zostało wydane osobie nieuprawnionej (innemu pacjentowi). Ponadto, z uwagi na szeroki zakres ujawnionych danych (w tym nazwiska oraz numeru ewidencyjnego PESEL, a także informacji o stanie zdrowia) należy stwierdzić, że wskutek zaistniałego incydentu wystąpiło wysokie ryzyko naruszenia praw ub wolności osoby fizycznej. Jak wskazuje Grupa Robocza Art. 29 w Wytycznych: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego ub szkód majątkowych ub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież ub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nadto Grupa Robocza Art. 29 w Wytycznych wskazała, że administrator oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych Wytycznych kryteria. W ww. Wytycznych wyjaśniono również, że podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
Wskazać należy również, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza Administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej, o której mowa w art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2021 r. poz. 790). Zgodnie z tym przepisem, lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu. Powyższa okoliczność dodatkowo przesądza o zasadności przyjęcia, że w związku z przedmiotowym naruszeniem ochrony danych osobowych wystąpiło wysokie ryzyko naruszenia praw ub wolności osoby fizycznej dotkniętej tym naruszeniem.
Należy podkreślić, że zdaniem Prezesa UODO, konsekwentnie od wielu at podnoszonym, nr PESEL jest unikalnym identyfikatorem osoby, zawierającym w sobie wiele informacji na temat danej osoby, a jego ujawnienie osobie niepowołanej może rodzić szereg konsekwencji dla takiej osoby.
Warto w tym miejscu wskazać na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne EROD 01/2021”), a konkretnie przykład nr 14, odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. We wspomnianym przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce nr PESEL. W omawianym przypadku Europejska Rada Ochrony Danych (dalej „EROD”) nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw ub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku nr PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
Z ostatniego raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów)[1] wynika, że w I kwartale 2022 r. odnotowano 1 915 prób wyłudzeń kredytów i pożyczek. Oznacza to średnio 21 prób wyłudzeń dziennie. Każdego dnia próbowano na cudze dane ukraść łącznie 575 tys. zł.
Z kolei w IV kwartale 2021 r. próbowano wyłudzić 2 075 kredytów, na łączną kwotę 91,3 mln zł. To 24 mln zł więcej niż w 2020 r., a cały rok 2021 r. pod względem iczby oraz kwot był znacząco bardziej niebezpieczny od poprzedniego: 17% wzrost iczby prób wyłudzeń oraz 32% wzrost łącznych kwot.
Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna - dla potwierdzenia można podać choćby nawet wyrok Sądu Rejonowego w Łęczycy z dnia 27 ipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „W przedmiotowej sprawie powód (...) z siedzibą we W. nabył wierzytelność od (...) Spółka z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. Stroną umowy pożyczki z dnia 5 maja 2014 r. była osoba, która w nieuprawniony sposób użyła danych J. R. (...) Spółka z ograniczoną odpowiedzialnością S.K.A. z siedzibą w W. przelała na wskazany rachunek bankowy kwotę 500 zł.
Kwestią kluczową w niniejszej sprawie było ustalenie, iż pozwana nie zawarła umowy pożyczki, co było zarzutem podnoszonym przez pozwaną w toku całego postępowania.
Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana.
W realiach rozpoznawanej sprawy, Sąd uznał, iż strona pozwana wykazała, że nie była stroną umowy pożyczki będącej przedmiotem niniejszego postępowania. Umowy zawierane za pomocą środków porozumiewania się na odległość winny wymagać szczegółowej, wnikliwej weryfikacji i taka weryfikacja dokonana w przedmiotowej sprawie prowadzi do wniosku, że stroną umowy pożyczki nie była pozwana”.
Opisana powyżej sytuacja, w dużym stopniu odzwierciedla wskazany w Wytycznych EROD 01/2021, przykład nr 17 obrazujący przypadek kradzieży tożsamości. W przypadku tym sytuacja wygląda następująco: „Centrum kontaktowe firmy telekomunikacyjnej odbiera telefon od kogoś, kto pozuje się jako klient. Domniemany klient żąda od firmy zmiany adresu e-mail, na który należy przesłać informacje rozliczeniowe. Pracownik centrum kontaktowego potwierdza tożsamość klienta, zwracając się o podanie określonych danych osobowych, zgodnie z procedurami stosowanymi przez przedsiębiorstwo. Dzwoniący prawidłowo wskazuje numer fiskalny i adres pocztowy żądanego klienta (ponieważ miał dostęp do tych elementów). Po zatwierdzeniu, operator dokonuje żądanej zmiany, a od tego momentu informacje o rozliczeniach są wysyłane na nowy adres e-mail. Procedura nie przewiduje żadnego powiadomienia poprzedniego kontaktu e-mailowego. W następnym miesiącu egalny klient kontaktuje się z firmą, pytając, dlaczego nie otrzymuje faktur na swój adres e-mail, i zaprzecza wszelkim telefonom od niego domagającym się zmiany kontaktu emailowego. Później firma zdaje sobie sprawę, że informacje zostały wysłane do nielegalnego użytkownika i cofa zmianę”.
W opinii EROD ww. naruszenie wiąże się z wysokim poziomem ryzyka, ponieważ dane rozliczeniowe mogą stanowić informacje o życiu prywatnym osoby, której dane dotyczą (np. nawyki, kontakty) i mogą prowadzić do szkód materialnych (np. prześladowania, zagrożenia integralności fizycznej), w związku z tym konieczne jest zarówno powiadomienie organu nadzorczego, jak również powiadomienie osoby, której dane dotyczą.
W świetle powyższego, za nieistotną należy uznać podnoszoną przez Administratora okoliczność, że „Za główną przyczynę zdarzenia zostało uznane agresywne zachowanie pacjenta w stosunku do p. W. i wywołany nim stres, tj. wpływ losowego czynnika udzkiego nie mającego na celu wywołania naruszenia bezpieczeństwa przetwarzania danych”. Wskazywany przez Administratora powód wystąpienia naruszenia ochrony danych osobowych nie może powodować zwolnienia go z obowiązków określonych w tym zakresie przepisami art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679, skoro jego konsekwencją było ujawnienie osobie nieuprawnionej (innemu pacjentowi) danych osobowych w zakresie powodującym wysokie ryzyko naruszenia praw ub wolności.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw ub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych ub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi ub ograniczenie praw, dyskryminacja, kradzież ub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową ub wszelkie inne znaczne szkody gospodarcze ub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw ub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw ub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ ub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym ub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw ub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw ub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 it. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego
w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się. Administrator podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.
Powyższe rozumowanie potwierdza wyrok WSA w Warszawie z dnia 22 września 2021 r. (sygn. akt II SA/Wa 791/21), w którym Sąd rozstrzygając w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem przepisów o ochronie danych osobowych odniósł się do wymienionych wyżej kwestii, dodatkowo wskazując, że „W toku dokonywania oceny, czy występują ryzyka naruszenia praw ub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt [w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; Y. Reif [w:] DS.- GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody ub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)”.
W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.
Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać ub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 it. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Ponadto, zgodnie z art. 58 ust. 2 it. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz ub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 it. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na: jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, instytut badawczy lub Narodowy Bank Polski. Z ust. 3 tego artykułu wynika ponadto, że administracyjne kary pieniężne, o których mowa między innymi w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz ub zamiast środków, o których mowa w art. 58 ust. 2 it. a) - h) oraz it. j) rozporządzenia 2016/679. Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 it. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:
- Charakter i waga naruszenia (art. 83 ust. 2 it. a rozporządzenia 2016/679);
Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw ub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 it. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Ponadto należy podkreślić, że brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych może doprowadzić do szkód majątkowych ub niemajątkowych, a prawdopodobieństwo ich wystąpienia jest wysokie. W ocenie Prezesa UODO na wagę i charakter naruszenia wpływa także łatwość identyfikacji konkretnej osoby fizycznej w oparciu o takie dane jak nazwisko, adres zamieszkania ub pobytu, nr PESEL oraz dane o stanie zdrowia oraz fakt, że wraz z ujawnieniem danych osobowych niewłaściwemu odbiorcy nastąpiło naruszenie tajemnicy ekarskiej. Stosownie bowiem do art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2021 r. poz. 790), lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu. - Czas trwania naruszenia (art. 83 ust. 2 it. a rozporządzenia 2016/679);
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw ub wolności osoby dotkniętej naruszeniem mogło się zrealizować, a czemu osoba te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia jej o naruszeniu. - Umyślny charakter naruszenia (art. 83 ust. 2 it. b rozporządzenia 2016/679);
Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dotyczyło naruszenie. Ww. obowiązki Administratora, wynikające z art. 33 ust. 1 i 3 oraz art. 34 ust. 1 i 2 nie zostały zrealizowane. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobie fizycznej uniemożliwiono możliwie najszybsze podjęcie działań, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia, co z kolei nie pozostaje bez wpływu na ich skuteczność w przypadku wykonania tego obowiązku przez Administratora. - Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 it. f rozporządzenia 2016/679);
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw ub wolności osoby, której dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. - Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 it. g rozporządzenia 2016/679);
Dane osobowe udostępnione osobie nieuprawnionej, oprócz danych w zakresie nazwiska, adresu zamieszkania ub pobytu oraz nr PESEL, obejmują także dane należące do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, tj. dane o stanie zdrowia obejmujące informacje dotyczące rozpoznania i celu porady. Ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo wskazać należy, że dane te mieszczą się w sferze informacji związanych z pacjentem, uzyskanych przez lekarza w związku z wykonywaniem zawodu i jako takie podlegają obowiązkowi zachowania ich w tajemnicy. - Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 it. h rozporządzenia 2016/679);
O naruszeniu ochrony danych osobowych stanowiącym przedmiot niniejszej sprawy, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Administratora, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679 - informacja ta wpłynęła od Rzecznika Praw Pacjenta. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczności łagodzące, mające wpływ na obniżenie wysokości wymierzonej kary:
- liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 it. a rozporządzenia 2016/679) – naruszenie dotyczyło jednej możliwej do zidentyfikowania osoby fizycznej;
- stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Administratora (art. 83 ust. 2 it. e rozporządzenia 2016/679) - nie stwierdzono wcześniejszych, popełnionych przez administratora, naruszeń.
Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
- działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 it. c rozporządzenia 2016/679) – w niniejszej sprawie nie stwierdzono powstania jakiejkolwiek szkody po stronie osoby dotkniętej naruszeniem, w związku z czym Administrator nie był zobowiązany do podjęcia jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 it. d rozporządzenia 2016/679) - naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 it. i rozporządzenia 2016/679) - w sprawie Prezes UODO nie stosował wcześniej środków, o których mowa we wskazanym przepisie;
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 ub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 it. j rozporządzenia 2016/679) - Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji;
- osiągnięte bezpośrednio ub pośrednio w związku z naruszeniem korzyści finansowe ub uniknięte straty (art. 83 ust. 2 it. k rozporządzenia 2016/679) - nie stwierdzono aby administrator osiągnął w związku z naruszeniem jakiekolwiek korzyści ub uniknął strat finansowych.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Administrator zignorował fakt, iż z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno przedmiotowemu Administratorowi jak i innym administratorom danych na naganność ekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków ub przynajmniej ograniczenie.
W związku z powyższym wskazać należy, że administracyjna kara pieniężna w wysokości 10 000 złotych (słownie: dziesięciu tysięcy złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na administratora będącego jednostką sektora finansów publicznych (samodzielnym publicznym zakładem opieki zdrowotnej - wskazanym w art. 9 pkt 10ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych) mieści się w określonym w art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) imicie 100 000 złotych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1]https://www.zbp.pl/raporty-i-publikacje/raporty-cykliczne/raport-infodok