Pisaliśmy już wielokrotnie o naruszeniach ochrony danych, a dokładniej o tym jak postąpić gdy do nich dochodzi [TUTAJ], a także o konkretnych przypadkach takich zdarzeń [np. TUTAJ czy TUTAJ]. Nie ulega wątpliwości, że najczęstszymi naruszeniami ochrony danych wpisującymi się w definicję RODO, są wycieki danych osobowych, czyli sytuacje w których dochodzi do ujawnienia danych nieuprawnionym osobom. I mimo, że co prawda pisaliśmy już o takich sytuacjach, to ten konkretny przypadek, który chciałabym przybliżyć w ramach tego artykułu, zasługuje na uwagę z racji powodu, dla którego administrator nie dokonał zgłoszenia naruszenia do PUODO, a także nie poinformował o nim osoby której dane zostały ujawnione.

Krótka lekcja z RODO – definicja naruszenia ochrony danych

Zanim opiszę sprawę, warto przypomnieć czym jest naruszenie ochrony danych. Zgodnie z RODO: „naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.

Jeżeli administrator stwierdzi, że doszło do naruszenia ochrony danych, staje on przed koniecznością podjęcia decyzji, czy jest to naruszenie wymagające zawiadomienia PUODO oraz osoby, której dotyczy zdarzenie. RODO w swojej treści nie ułatwia zadania. Zgodnie z treścią rozporządzenia, obowiązek taki co do zasady ciąży na administratorze danych, chyba że jest mało prawdopodobne by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Z kolei zawiadomienie osoby, której dane są objęte zdarzeniem, jest wymagane jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie zapisy to bolączka dla administratorów, którzy często stoją przed niełatwą decyzją, czy powinni oni dokonać zawiadomień. Tak było też w poniżej opisanej sprawie.

Sedno sprawy

Rzecznik Praw Obywatelskich poinformował Urząd Ochrony Danych Osobowych o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego. Lekarz Centrum Klinicznego miał bowiem wystawić jednemu z pacjentów skierowanie do poradni specjalistycznej zawierające dane dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady). W ramach postępowania przed PUODO, Centrum Kliniczne potwierdziło, że do takiego zdarzenia faktycznie doszło, równocześnie wskazując iż w jego ocenie zgłoszenie naruszenia do PUODO, jak i poinformowanie pacjenta którego dane zostały ujawnione, nie było konieczne ponieważ na skierowaniu zostały zawarte dane osoby nieistniejącej. Uniwersyteckie Centrum Kliniczne wysnuło taki wniosek na podstawie tego, iż w skierowaniu zostało wpisane błędne imię pacjenta. Pozostałe dane były jednakże prawidłowe. Innymi słowy administrator przyznał, że do naruszenia ochrony danych doszło, ale że nie potrzeby  jego notyfikowania zarówno PUODO, jak i pacjentowi.

Jakie było rozstrzygnięcie PUODO?

Prezes Urzędu Ochrony Danych Osobowych nie zgodził się z argumentacją Uniwersyteckiego Centrum Klinicznego i za brak wywiązania się z obowiązków notyfikacyjnych nałożył na nie karę administracyjną w wysokości 10.000 zł. W ocenie organu, błąd w imieniu nie stanowi uzasadnienia do stwierdzenia, iż incydent dotyczy osoby nieistniejącej. Pozostałe dane, pozwalają bowiem na bezproblemową identyfikację pacjenta, a ich zakres stanowi realne ryzyko dla jego prawa do prywatności. Innymi słowy, w ocenie PUODO, ziściły się przesłanki obligujące administratora do wykonania ciążących na nim obowiązków notyfikujących o zaistniałym naruszeniu. Organ zaakcentował równocześnie, iż doszło nie tylko do naruszenia przepisów RODO, ale także do naruszenia tajemnicy lekarskiej [1].

Jakie jest nasze zdanie?

W naszej ocenie, w tym konkretnym przypadku nie sposób nie zgodzić się z decyzją PUODO. Pomimo błędnego imienia, pozostały zakres ujawnionych danych (adres zamieszkania, PESEL, dane o stanie zdrowia), faktycznie pozwala w łatwy sposób ustalić tożsamość pacjenta (w tym jego lokalizację i stan zdrowia!), co tym samym przedkłada się na realne zagrożenie dla jego prywatności. W takim przypadku zarówno PUODO, jak i pacjent powinni byli zostać poinformowani o zaistniałym zdarzeniu.

[1] pełna treść decyzji jest dostępna na stronie PUODO: https://uodo.gov.pl/pl/138/2428