Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/58

Kraj:

Polska

Data wydania decyzji:

26.11.2024 r.

Podmiot kontrolowany:

Szpital Powiatowy we Wrześni

Wysokość kary (EUR):

6.800

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1, 2 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Szpitalu Powiatowym we Wrześni miało miejsce z powodu niezgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w wymaganym terminie 72 godzin oraz braku zawiadomienia osoby, której dane dotyczą, o naruszeniu. Naruszenie nastąpiło wskutek przekazania pacjentce oddziału położniczo – ginekologicznego, wraz z jej dokumentacją medyczną, Przedoperacyjnej Ankiety Anestezjologicznej innej pacjentki. Dokumentacja ta zawierała dane osobowe, tj. imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia.

 

Opis wydarzeń

  1. Zgłoszenie do UODO: 7 listopada 2022 r. Prezes UODO otrzymał informację o możliwym naruszeniu ochrony danych osobowych w Szpitalu. Informacja ta pochodziła od osoby trzeciej, która zauważyła, że dokumentacja medyczna zawierająca dane osobowe pacjentki została wydana osobie nieuprawnionej.
  2. Pytania UODO: Prezes UODO skierował pisma do Szpitala, w których zwrócił się o wyjaśnienia dotyczące incydentu. W pismach tych Prezes UODO zapytał, czy Szpital przeprowadził analizę ryzyka związaną z naruszeniem oraz czy zawiadomił osoby, których dane dotyczą, o zaistniałym incydencie.
  3. Odpowiedź Szpitala: Szpital odpowiedział na wezwanie Prezesa UODO, informując, że nie był w stanie jednoznacznie zidentyfikować incydentu z powodu braku zgłoszenia pomyłki w momencie jej wystąpienia. Szpital poinformował również, że zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych oraz wdrożył środki zaradcze, takie jak rozmowy z personelem medycznym i szkolenia dotyczące postępowania w przypadku naruszeń ochrony danych.
  4. Pytania uzupełniające: Prezes UODO ponownie zwrócił się do Szpitala, tym razem wzywając go do przedstawienia wyników analizy ryzyka, na podstawie której stwierdzono brak wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Prezes UODO zażądał również treści informacji przekazanej osobie, której dane dotyczą.
  5. Okazanie wyników: Szpital przekazał Prezesowi UODO wyniki przeprowadzonej analizy ryzyka oraz treść zawiadomienia skierowanego do osoby, której dane dotyczą. W analizie ryzyka Szpital stwierdził, że ryzyko związane z naruszeniem jest niskie.  Natomiast zawiadomienie osoby, której dane dotyczą, nie zawierało wszystkich wymaganych informacji.
  6. Zgłoszenie naruszenia: Szpital zgłosił naruszenie ochrony danych osobowych Prezesowi UODO, jednak zrobił to dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego. Zgłoszenie to zawierało niekompletne informacje wymagane przez przepisy, co oznaczało, że Szpital nie dopełnił swoich obowiązków w zakresie zgłaszania naruszeń ochrony danych osobowych w terminie 72 godzin od ich stwierdzenia.
  7. Kara: W wyniku zaistniałej sytuacji nałożono na Szpital administracyjną karę pieniężną w wysokości 29 684,04 PLN. Ponadto Prezes UODO nakazał ponowne zawiadomienie osoby, której dane zostały ujawnione, o naruszeniu jej danych osobowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: Należy bez zbędnej zwłoki zgłaszać naruszenia ochrony danych osobowych do Prezesa UODO, nie później niż w terminie 72 godzin od ich stwierdzenia.
  2. Zawiadamianie osób: Osoby, których dane dotyczą, powinny być niezwłocznie informowane o naruszeniu, z pełnym opisem środków zaradczych i możliwych konsekwencji.
  3. Analiza ryzyka: Przeprowadzanie dokładnej analizy ryzyka w przypadku naruszeń, uwzględniając charakter, wrażliwość i ilość danych osobowych.
  4. Szkolenia: Regularne szkolenia dla personelu dotyczące postępowania w przypadku naruszeń ochrony danych osobowych.
  5. Środki zaradcze: Wdrożenie skutecznych środków technicznych i organizacyjnych w celu zapobiegania podobnym incydentom w przyszłości.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO