Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/18

Kraj:

Polska

Data wydania decyzji:

04.08.2025 r.

Podmiot kontrolowany:

Niepubliczny Zakład Opieki Zdrowotnej (…) H. Sp. z o.o.

Wysokość kary (EUR):

7.800

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Do naruszenia ochrony danych osobowych doszło w wyniku kradzieży prywatnego samochodu pracownika Niepublicznego Zakładu Opieki Zdrowotnej (…) H. Sp. z o.o., w którym znajdowała się papierowa dokumentacja medyczna pacjentów, w tym dane dzieci (noworodków). Dokumentacja została pozostawiona w aucie bez odpowiedniego zabezpieczenia.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 6 sierpnia 2021 r. Niepubliczny Zakład Opieki Zdrowotnej (NZOZ) zgłosił Prezesowi Urzędu Ochrony Danych Osobowych naruszenie ochrony danych osobowych polegające na kradzieży samochodu, w którym znajdowała się papierowa dokumentacja medyczna pacjentów, w tym dzieci (noworodków). Dokumentacja ta zawierała dane: imiona, nazwiska, daty urodzenia, adresy, numery PESEL, nazwiska rodowe matki oraz dane medyczne.
  2. Okoliczności zdarzenia: Do naruszenia doszło, gdy pracownik NZOZ, realizujący wizyty domowe, pozostawił dokumentację medyczną bez należytego nadzoru w prywatnym samochodzie. W nocy z 4 na 5 sierpnia 2021 r. samochód został skradziony. Sytuacja ta spowodowała naruszenie poufności i dostępności danych osobowych.
  3. Reakcje po incydencie: NZOZ zgłosił kradzież dokumentacji medycznej na policję oraz zadeklarował wyciągnięcie konsekwencji dyscyplinarnych wobec pracownika odpowiedzialnego za naruszenie procedur.
  4. Postępowanie organów ścigania: Dochodzenie prowadzone przez Komendę Miejską Policji zostało zakończone 13 września 2021 r. postanowieniem o umorzeniu w związku z niewykryciem sprawcy przestępstwa. Skradziona dokumentacja nie została odzyskana.
  5. Skutki zdarzenia: Do momentu zakończenia postępowania NZOZ nie uzyskał informacji o szkodach majątkowych czy niemajątkowych poniesionych przez osoby, których dane wyciekły, ani nie otrzymał od nich roszczeń w związku z naruszeniem.
  6. Ustalone nieprawidłowości: Stwierdzono, że dokumentacja „Zasady ochrony danych osobowych” obowiązująca w placówce nie zawierała szczegółowych procedur dotyczących przewożenia danych w prywatnych pojazdach pracowników i ich zabezpieczania w trakcie transportu. Nie wykonano także szczegółowej analizy ryzyka związanej z przetwarzaniem danych podczas wizyt domowych, pomimo wysokiego poziomu ryzyka ocenionego przez NZOZ.
  7. Wysokość kary: Prezes UODO nałożył na NZOZ karę pieniężną w wysokości 33.832 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przeprowadzenie szczegółowej analizy ryzyka: Zaleca się opracowanie i aktualizowanie analizy ryzyka dla wszelkich operacji przetwarzania danych osobowych, zwłaszcza związanych z udzielaniem świadczeń zdrowotnych w formie wizyt domowych. Analiza powinna uwzględniać realne zagrożenia (np. kradzież dokumentacji papierowej) i różne scenariusze ich wystąpienia.
  2. Wdrożenie szczegółowych procedur transportu dokumentacji: Należy stworzyć i wdrożyć szczegółowe procedury regulujące przewożenie dokumentacji medycznej zawierającej dane osobowe, w tym określić zasady zabezpieczania dokumentów oraz zakaz pozostawiania ich bez nadzoru, zwłaszcza w prywatnych pojazdach.
  3. Podniesienie świadomości pracowników: Rekomenduje się organizowanie regularnych szkoleń z zasad ochrony danych osobowych, ze szczególnym uwzględnieniem sytuacji niestandardowych, takich jak wizyty domowe, transport i przechowywanie dokumentacji poza placówką medyczną.
  4. Zaostrzenie kontroli nad przestrzeganiem polityk bezpieczeństwa: Zasady dotyczące bezpieczeństwa danych osobowych powinny być regularnie monitorowane i egzekwowane. Pracownicy powinni być informowani o konsekwencjach nieprzestrzegania procedur.
  5. Wprowadzenie dodatkowych środków technicznych i organizacyjnych: Zaleca się zastosowanie rozwiązań technicznych minimalizujących ryzyko naruszenia (np. szyfrowane nośniki, specjalistyczne torby na dokumenty), a także rozważenie ograniczenia wykorzystywania dokumentacji papierowej na rzecz dokumentacji elektronicznej, gdy to możliwe.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO