Naruszenie ochrony danych polegało na opublikowaniu przez Ministra Zdrowia na platformie społecznościowej danych osobowych  dotyczących stanu zdrowia konkretnej osoby, a pozyskanych z prowadzonego przez niego systemu informatycznego. Treść wpisu zawierała informacje o lekarzu, który wystawił sobie receptę na lek psychotropowy.

Prezes UODO podkreślił, że nałożona kara stanowi najwyższy możliwy wymiar kary dla podmiotu działającego w sektorze publicznym, a gdyby nie ustawowy limit, kara mogłaby być jeszcze wyższa.

UODO podkreśla w decyzji, że „karygodna jest sytuacja, w której Minister Zdrowia wykorzystuje dane osobowe znajdujące się w specjalistycznych rejestrach do celów innych niż określone w przepisach prawa. Minister Zdrowia wykorzystując swoje uprawnienia wynikające z pełnionej funkcji, wydając swoim pracownikom polecenie pozyskania z systemu i przekazania mu danych osobowych lekarza nadużył stanowiska, a publikując te dane na portalu społecznościowym nadużył zaufania obywateli, którzy na skutek zaistniałego naruszenia nie mogą mieć pewności, czy również ich dane są należycie chronione.”

Zdaniem Prezesa UODO miejsce, w którym nastąpiło ujawnienie danych, nie miało znaczenia, a Minister nie miał uprawnień do ich publikacji w żaden sposób.

Dodatkowo w trakcie postępowania UODO, zidentyfikowano naruszenia zasad bezpieczeństwa związane z procesem pozyskania i przekazania danych Ministrowi Zdrowia. Jak ustalił UODO i zanegował także jako nielegalne przekazanie danych pozyskanych z rejestru przy pomocy komunikatora WhatsApp, co stworzyło w jego ocenie możliwość utraty kontroli nad tymi danymi, w tym ich bezpieczeństwem. UODO stwierdził, że ten kanał komunikacji nie został wskazany w przeprowadzonej przez administratora analizie ryzyka, a ponadto to z uwagi na to, iż właściciel tego komunikatora był już karany przez irlandzki organ nadzorczy m.in. za brak przejrzystości w przetwarzaniu danych osobowych.

Minister Zdrowia nie zadbał o należyte zabezpieczenie danych oraz właściwe powiadomienie osoby dotkniętej naruszeniem, co stanowi dodatkowe naruszenie przepisów.

Przy ustalaniu kary, Prezes UODO  wziął pod uwagę celowe naruszenie przepisów oraz brak działań naprawczych podjętych po incydencie RODO. Oprócz usunięcia wpisu, nie podjęto żadnych innych działań, takich jak przeprosiny czy publiczne przyznanie się do błędu.

Link do treści decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.32.2023

Więcej: https://uodo.gov.pl/pl/138/2941

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl