Irlandzki organ właściwy ds. ochrony danych osobowych (The Data Protection Commission – DPC) nałożył karę pieniężną w wysokości 65 000 euro (niecałe 295 000 zł) na szpital Uniwersytetu Cork (Cork University Maternity Hospital). Regulator zarzucił ukaranemu administratorowi naruszenie zasad bezpieczeństwa danych osobowych poprzez przekazanie do publicznego zakładu recyklingu znajdującego się w innym miejscu w hrabstwie dokumentów zawierających dane osobowe 78 pacjentów placówki, celem ich zniszczenia.
Jest to dopiero piąta kara nałożona przez irlandzki organ nadzorczy w związku z naruszeniem przepisów RODO, po przeszło dwóch latach ich obowiązywania w tym kraju. Co ciekawe i dość nietypowe na tle innych państw członkowskich, wszystkie poprzednie kary dotyczyły tego samego podmiotu, tj. irlandzkiej państwowej Agencji ds. Dzieci i Rodziny (Tusla Child and Family Agency).
Postępowanie kontrolne
Organ nadzorczy ustalił w toku prowadzonego postępowania kontrolnego, że szpital nie wywiązał ze swojego podstawowego obowiązku dotyczącego ochrony danych osobowych, jakim jest odpowiednie ich zabezpieczenie. Przekazał on bowiem innemu podmiotowi – celem zniszczenia – dużą ilość dokumentów zawierających dane osobowe 78 pacjentów placówki, w tym tzw. dane wrażliwe (dane szczególnej kategorii) sześciu z nich. Przypomnijmy, że zgodnie z RODO dane szczególnej kategorii – tj. m.in. informacje dotyczące zdrowia, czy też np. orientacji seksualnej – podlegają większej ochronie prawnej. Potencjalne udostępnienie takich danych może rodzić bowiem duże ryzyko naruszenia praw i wolności osoby, której te dane dotyczą.
DPC ustalił w toku postępowania, że udostępnione przez ukaranego administratora dokumenty zawierały dane osobowe określonych pacjentów placówki w zakresie informacji o ich stanie zdrowia, a w tym historii przebytych chorób oraz planowanych działań leczniczych.
Kosztowny finał postępowania przed Europejską Radą Ochrony Danych
Nieprawidłowe zabezpieczenie danych osobowych
Irlandzki organ nadzorczy wskazał w swojej decyzji, że szpital naruszył art. 5 i art. 32 RODO, nie wdrażając odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego dla występującego ryzyka oraz nieodpowiednie zniszczenie dokumentów w formie papierowej zawierających dane osobowe pacjentów.
W toku postępowania kontrolnego regulator nie ustalił czy jakakolwiek osoba fizyczna lub osoby zostały pociągnięte do odpowiedzialności za stwierdzone naruszenia ani w jaki sposób przedmiotowe dokumenty zostały finalnie zutylizowane. DPC wskazał jednak, że szpital – jako administrator – ponosi pełną odpowiedzialność za to zdarzenie, niezależnie od tego, kto osobiście zlecił zniszczenie dokumentów w sposób nie zapewniający ochrony znajdujących się w nich danych osobowych pacjentów.
Prawo dostępu do danych osobowych, a prawo dostępu do dokumentacji medycznej
Brak odwołania
Ukarany administrator nie odwołał się od decyzji organu nadzorczego. Wskazał on, że w pełni akceptuje ustalenia poczynione przez DPC w toku postępowania kontrolnego. O naruszeniu poinformował on wszystkich pacjentów, których dotyczyło stwierdzone naruszenie.
Przedstawiciele szpitala oświadczyli, że placówka poważnie traktuje wszelkie naruszenia ochrony danych osobowych, a każdy wykryty przypadek jest wnikliwie analizowany w celu ustalenia przyczyn i ewentualnego wprowadzenia środków zapobiegawczych, aby zminimalizować ryzyko dalszych naruszeń.
Warto zauważyć, że oprócz kary pieniężnej, regulator nakazał również szpitalowi dostosowanie swoich procesów przetwarzania i procedur usuwania danych osobowych pacjentów, do standardów wynikających z przepisów RODO. Ukarany administrator poinformował, że podjął działania w celu wdrożenia wszystkich zaleceń DPC. Ponadto – jak wskazał – wprowadził on kompleksowy program szkoleniowy dla pracowników oraz wdrożył szereg zasad i procedur w zakresie ochrony danych osobowych.
Źródła:
