Dodano: 13.02.2021, Kategorie: Stomatologia news
85 tysięcy złotych – Pierwsza kara Prezesa UODO dla podmiotu z sektora medycznego związana z brakiem poinformowania pacjentów o wycieku danych osobowych.
28 stycznia 2021 roku obchodziliśmy Europejski Dzień Ochrony Danych Osobowych. W związku z obchodami tego święta styczeń to miesiąc, w którym organizowane są konferencje i spotkania specjalistów w zakresie bezpieczeństwa danych osobowych. Pojawiają się nowe tematy oraz propozycje rozwiązań nurtujących wszystkich, a wciąż niesprecyzowanych, zagadnień. Jest to także doskonała okazja, by przypomnieć wszystkim jak duże znaczenie ma RODO „w życiu codziennym” każdej praktyki medycznej. Jednak w tym roku nie wszyscy mieli co świętować.
9 lutego br. Prezes Urzędu Ochrony Danych Osobowych nałożył karę na przedsiębiorcę prowadzącego działalność w zakresie ochrony zdrowia za nieprzestrzeganie decyzji administracyjnej. Jak czytamy w decyzji (źródło: https://www.uodo.gov.pl/pl/138/1889) UODO nakazał przedsiębiorcy zawiadomienie pacjentów o naruszeniu ich danych osobowych oraz poinformowanie o dalszych postępowaniach, by zminimalizować negatywne skutki wycieku. Niestety jak wykazała późniejsza kontrola, Administrator nie poczynił nic, by wcielić w życie zalecenia nałożone w decyzji UODO.
Do naruszenia ochrony danych osobowych doszło w lipcu 2019 roku. Dane z systemu informatycznego przychodni zostały skopiowane przez byłego pracownika, a następnie wykorzystane w celach marketingowych. Mamy tutaj klasyczny przypadek nieodpowiedniego zabezpieczenia danych osobowych przechowywanych w formie elektronicznej.
Należy pamiętać, że nie zbieramy zgód pacjentów w celu świadczenia usług medycznych. Podstawę prawną przetwarzania tych danych stanowi art. 9 ust. 2 lit. h RODO, w którym czytamy, że dozwolone jest przetwarzanie, które jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (gdy danymi operuje osoba objęta tajemnicą zawodową, pozostałe osoby muszą posiadać upoważnienie do przetwarzania lub umowę powierzenia). Warto pamiętać, że aby móc wykorzystywać dane osobowe w celach marketingowych należy pozyskać zgodę danej osoby.
Jak czytamy dalej w decyzji Prezesa UODO – pomimo wskazania kroków, które powinna podjąć przychodnia, osoby, których dotyczyło naruszenie nie zostały o niczym poinformowane. Właściwe wywiązanie się z obowiązku zawiadomienia osób poszkodowanych pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz podjąć działania w celu zminimalizowania ewentualnych negatywnych skutków.
Niewątpliwie nałożonej kary można było uniknąć. Wystarczyło wywiązać się z zaleceń Prezesa UODO. Co więcej, jest to kolejny przykład na to, że nie można lekceważyć naruszeń ochrony danych osobowych, do których dochodzi niemalże każdego dnia. Warto jest współpracować z organem kontrolującym, przestrzegać otrzymanych wskazówek i zaleceń, a przede wszystkim podnosić wiedzę z zakresu ochrony danych osobowych, a tym samym ich bezpieczeństwo. Tylko świadomy pracownik jest w stanie podejmować odpowiednie decyzje. RODO, pomimo prawie 3-letniego okresu obowiązywania, wciąż jest nowością dla wielu praktyków medycznych.
Wysokość nałożonej kary sugeruje, że brak bezpieczeństwa danych osobowych pod względem ryzyka finansowego można traktować na równi z błędami medycznymi.
Kontakt: Sylwia Miezio, Koordynator Sieci Inspektorów Ochrony Danych RODONET, tel. 698 101 878, rodonet@prometriq.pl, www.rodonet.pl