Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/25

Kraj:

Polska

Data wydania decyzji:

15.10.2025 r.

Podmiot kontrolowany:

Gyncentrum Sp. z o.o.

Wysokość kary (EUR):

9.625

Podstawa prawna naruszenia

Art. 33 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Placówka prowadząca usługi medyczne wysłała wiadomość MMS do niewłaściwego odbiorcy. Pracownik omyłkowo wysłał potwierdzenie zwrotu kosztów za badanie (MMS ze zdjęciem potwierdzenia przelewu) pacjentce o identycznym imieniu jak adresatka.

 

Opis wydarzeń

  1. Początek incydentu: W grudniu 2023 r. do Prezesa UODO trafiło pismo od pełnomocniczki pacjentki wskazującej, że dokument z potwierdzeniem przelewu został przesłany do niewłaściwej osoby. Dokument zawierał dane osobowe pacjentki i jej męża oraz tytuł badania, co wywołało obawy o naruszenie prawa do prywatności.
  2. Wezwanie do wyjaśnień: Po otrzymaniu informacji organ nadzorczy zwrócił się do administratora o wyjaśnienia, pytając m.in. czy miał świadomość incydentu, jakie środki podjął i czy przeprowadzono analizę ryzyka. Wyjaśnienia potwierdziły, że zdarzenie zauważono 31 sierpnia 2023 r., a powodem było omyłkowe wysłanie MMS do niewłaściwej pacjentki. Administrator poinformował, że dane w wiadomości nie obejmowały danych szczególnej kategorii, dlatego odstąpiono od szyfrowania wiadomości i notyfikacji.
  3. Spór o ocenę ryzyka: Organ nadzorczy zakwestionował tę ocenę. W ocenie UODO zawarte w potwierdzeniu przelewu dane, tj. imię, nazwisko, numer rachunku i tytuł badania, pozwalały na wnioskowanie o korzystaniu z usług medycznych oraz potencjalnym stanie zdrowia. UODO uznał, że jest to naruszenie poufności danych i generuje wysokie ryzyko naruszenia praw i wolności osób. Zgodnie z RODO w takiej sytuacji trzeba zawiadomić organ nadzorczy i poinformować osoby, których dane dotyczą.
  4. Dalsze działania: UODO kilkakrotnie wzywał administratora do prawidłowego zawiadomienia podmiotów danych o incydencie. Dopiero po tych interwencjach placówka zawiadomiła zainteresowane osoby. Po przeprowadzeniu postępowania Prezes UODO nałożył administracyjną karę 40 514 zł za niezgłoszenie incydentu w terminie i udzielił upomnienia za brak zawiadomienia osób. Organ nadzorczy wskazał, że jednorazowy charakter incydentu oraz późniejsze działania naprawcze przemawiają za zastosowaniem upomnienia zamiast kolejnej kary.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Budowanie kultury bezpieczeństwa: Pracownicy powinni regularnie uczestniczyć w szkoleniach z ochrony danych, cyberbezpieczeństwa i procedur reagowania na incydenty. Przeszkolony personel i procedury alarmowe pomagają szybko wykryć i ograniczyć skutki naruszenia. Szkolenia powinny zawierać praktyczne scenariusze oraz przypominać o konsekwencjach błędów.
  2. Stosowanie podwójnej weryfikacjo odbiorców: w procesach, które wiążą się z przesyłaniem dokumentów zawierających dane osobowe, wprowadź zasadę dwuetapowej kontroli: systemowo (przez automatyczne weryfikowanie numerów telefonów i adresów) i manualnie (druga osoba weryfikuje listę odbiorców). Dzięki temu ryzyko omyłkowego wysłania dokumentu spada.
  3. Bezpieczne kanały komunikacji: Dane osobowe (nawet jeśli nie są danymi szczególnej kategorii) powinny być przesyłane w formie zaszyfrowanej lub poprzez kanały gwarantujące poufność. Używaj szyfrowanych wiadomości, wirtualnych portali lub zabezpieczonych platform do udostępniania plików. Unikaj SMS/MMS, jeśli nie ma możliwości szyfrowania.
  4. Dokumentowanie i analizowanie incydentów: Prowadź rejestr naruszeń, zawierający opis incydentu, podjęte działania i wyniki analizy ryzyka. Zgodnie z wytycznymi wszystkie naruszenia muszą być dokumentowane niezależnie od tego, czy podlegają zgłoszeniu. Dzięki temu w razie kontroli można wykazać należyte starania i łatwiej zidentyfikować słabe ogniwa w procesach.
  5. Rzetelna ocena ryzyka i zgłaszanie naruszenia: Po każdym incydencie przeprowadź analizę ryzyka, uwzględniając rodzaj danych, okoliczności i potencjalne skutki dla osób. Jeśli oceniasz, że prawdopodobieństwo naruszenia praw lub wolności jest więcej niż pomijalne, zawiadom organ nadzorczy w ciągu 72 godzin i poinformuj osoby, których dane dotyczą. Wytyczne przypominają, że gdy nie ma pewności co do skutków incydentu, lepiej dokonać wstępnej notyfikacji, którą można później uzupełnić.
  6. Minimalizacja zakresu danych w dokumentach: Ogranicz ilość informacji ujawnianych w potwierdzeniach przelewów, fakturach i innych dokumentach. W przypadku zwrotów za badania zastosuj neutralne nazewnictwo (np. „zwrot za usługę medyczną”) zamiast pełnej nazwy procedury. Minimalizacja ułatwia spełnienie zasady „privacy by design” i zmniejsza ryzyko, że ewentualne ujawnienie pozwoli na wnioskowanie o stanie zdrowia.
  7. Kontrole techniczne: Poza szkoleniami wzmocnij środowisko techniczne: regularnie aktualizuj oprogramowanie, korzystaj z programów antywirusowych i narzędzi monitorujących nietypowy ruch sieciowy, włącz funkcje autoblokady urządzeń po okresie bezczynności oraz wymagaj wieloskładnikowego uwierzytelniania przy dostępie do systemów medycznych. Przemyśl także stosowanie rozwiązań umożliwiających śledzenie kto i kiedy wysyła dokumenty do pacjentów.
  8. Prowadzanie wewnętrznych audytów i testów: Regularnie sprawdzaj, czy procedury dotyczące wysyłki dokumentów i zgłaszania incydentów są przestrzegane. Przeprowadzaj symulacje naruszeń oraz analizuj wnioski, aby usprawniać procesy.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO