Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 100 tysięcy złotych na Ministra Zdrowia za naruszenie prywatności poprzez ujawnienie informacji dotyczących stanu konkretnej osoby.
Kontekst decyzji
Ówczesny Minister Zdrowia Adam Niedzielski, pełniąc rolę administratora danych przechowywanych w elektronicznym systemie ministerstwa, pozyskał informacje o stanie zdrowia lekarza, które następnie opublikował na jednym z serwisów społecznościowych. Treść wpisu zawierała informację o lekarzu, który wystawił sobie receptę na lek z kategorii psychotropowych. W rezultacie Minister Zdrowia bez podstawy prawnej upublicznił jego dane dotyczące stanu zdrowia. W wyniku tego naruszenia sam minister podał się do dymisji.
Naruszenie
Po przeprowadzeniu procedury administracyjnej Prezes Urzędu Ochrony Danych Osobowych wydał decyzję, w ramach której nałożył na Ministra Zdrowia administracyjną karę finansową w wysokości 100 tysięcy złotych. Prezes UODO stwierdził naruszenie art. 6 ust. 1 oraz art. 9 ust. 1 RODO poprzez bezprawne przetwarzanie danych osobowych, w tym danych szczególnej kategorii oraz ich bezpodstawne upublicznienie na platformie X (dawniej Twitter). Ponadto PUODO stwierdził naruszenie art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które zapewniają poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych przy użyciu elektronicznego systemu wystawiania recept. Dodatkowo PUODO stwierdził, że Minister Zdrowia naruszył art. 34 ust. 2 w związku z art. 33 ust. 3 RODO, gdyż nie przedstawił osobie, której dane dotyczą informacji o możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu.
Sam PUODO przy ustalaniu kary wziął pod uwagę celowość naruszenia oraz brak skutecznych działań ze strony administratora po zaistnieniu incydentu. Pomimo usunięcia wpisu z mediów społecznościowych, nie podjęto żadnych kroków, takich jak przeprosiny wobec lekarza, wyrażenie ubolewania czy publicznego przyznania się do błędu. W związku z tym Prezes UODO nałożył na ministra karę w wysokości 100 tys. zł, co jak podkreślił zastępca PUODO, jest najwyższą możliwą karą dla podmiotu publicznego w tej sytuacji.
Kto odpowiada organ, czy obywatel?
Oddzielną kwestią, która zajął się UODO było ustalenie, jak skategoryzować zachowanie Adama Niedzielskiego. Część ekspertów uważała, że działał on jako obywatel, a nie jako organ władzy publicznej, czyli Minister Zdrowia. Sam UODO ustalił, że Minister Zdrowia jest administratorem ujawnionych danych, jako instytucja posiadająca uprawnienia umożliwiające dostęp do informacji przetwarzanych w danym systemie w ściśle określonych sytuacjach i dla wyznaczonych celów. Ujawnienie danych lekarza było niezgodne z przepisami RODO i krajowymi regulacjami szczególnymi, za przestrzeganie których Minister Zdrowia ponosi odpowiedzialność jako administrator danych.
W związku z tym to niestety Ministerstwo Zdrowia będzie musiało zapłacić karę, a były już minister nie zapłaci ani złotówki.
Dane pacjentów wolne od polityki
Chęć wykorzystania swoich uprawnień do ujawniania danych o zdrowiu konkretnej osoby, w celu walki politycznej, została słusznie karana. Brak stanowczej decyzji UODO mógłby doprowadzić do rozluźnienia standardów ochrony danych osobowych w administracji publicznej. Jednakże sama decyzja UODO nie stwierdza jedynie dokonanie naruszenia przez jego sprawcę, a odpowiedzialność całego resortu.
Źródło: https://www.uodo.gov.pl/decyzje/DKN.5131.32.2023
