Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/44

Kraj:

Polska

Data wydania decyzji:

06.07.2022 r.

Podmiot kontrolowany:

Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego

Wysokość kary (EUR):

2.120

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego (UCK WUM) miało miejsce z powodu błędu lekarza, który omyłkowo wystawił skierowanie do poradni specjalistycznej z danymi innego pacjenta. W wyniku tego incydentu, dane osobowe pacjentki A.W. zostały ujawnione innemu pacjentowi.

 

Opis wydarzeń

  1. Incydent: Pacjent P.Ż. otrzymał skierowanie do poradni specjalistycznej, które zawierało dane osobowe pacjentki A.W., w tym imię, nazwisko, adres zamieszkania, numer PESEL oraz informacje o stanie zdrowia.
  2. Reakcja UCK WUM: Po wstępnej analizie ryzyka, UCK WUM uznało, że incydent nie wywiera znaczących skutków dla praw i wolności osoby, której dane dotyczą, i zdecydowało o niezgłaszaniu naruszenia Prezesowi Urzędu Ochrony Danych Osobowych (UODO) oraz nieinformowaniu osoby, której dane dotyczą.
  3. Działania Prezesa UODO: Po otrzymaniu informacji od Rzecznika Praw Pacjenta, Prezes UODO wszczął postępowanie administracyjne, uznając, że naruszenie ochrony danych osobowych miało miejsce i wymagało zgłoszenia oraz zawiadomienia osoby, której dane dotyczą.
  4. Decyzja Prezesa UODO: Nałożono na UCK WUM administracyjną karę pieniężną w wysokości 10 000 zł oraz nakazano zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: W przypadku naruszenia ochrony danych osobowych, należy bez zbędnej zwłoki zgłaszać incydent organowi nadzorczemu, nie później niż w terminie 72 godzin od jego stwierdzenia.
  2. Informowanie osób, których dane dotyczą: Osoby, których dane dotyczą, powinny być niezwłocznie informowane o naruszeniu, jeśli może ono powodować wysokie ryzyko naruszenia ich praw lub wolności.
  3. Analiza ryzyka: Przeprowadzanie dokładnej analizy ryzyka naruszenia praw lub wolności osób fizycznych w celu oceny konieczności zgłoszenia naruszenia oraz zawiadomienia osób, których dane dotyczą.
  4. Szkolenia personelu: Regularne szkolenia personelu w zakresie ochrony danych osobowych oraz procedur postępowania w przypadku naruszeń.
  5. Procedury wewnętrzne: Wdrożenie i aktualizacja procedur wewnętrznych dotyczących ochrony danych osobowych oraz postępowania w przypadku naruszeń, aby minimalizować ryzyko ich wystąpienia i skutecznie reagować na incydenty.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO