Prezes UODO nałożył administracyjną karę pieniężną na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego w wysokości 10 tys. zł. Przyczyną decyzji było niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą.
Naruszenie ochrony danych osobowych powstało w wyniku sytuacji, w której lekarz wypisujący skierowanie do poradni specjalistycznej dokonał dużej pomyłki. Polegała ona na tym, że dokument przeznaczony dla określonego pacjenta, zawierał dane osobowe innej osoby (imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia). Szpital dokonał analizy po tym zdarzeniu, w której uznał, że są to dane nieistniejącej osoby, ponieważ w dokumencie zostało wpisane imię innego pacjenta. Instytucja oceniła, że był to incydent bezpieczeństwa, który nie wywiera znaczących skutków dla praw i obowiązków osoby, której dane dotyczą.
W wyniku postępowania skargowego Prezes UODO stwierdził, że doszło do naruszenia ochrony danych osobowych, polegającego na ujawnieniu danych osobowych osobie nieuprawnionej. Zdaniem Prezesa UODO nastąpił jedynie błąd pisarski (tzw. „literówka”) w imieniu pacjenta, jednak pozostałe dane pozwalały na łatwą jego identyfikację.
Wedle Prezesa UODO w danej sprawie doszło nie tylko do wycieku szerokiego zakresu danych osobowych zwykłych, ale również szczególnej kategorii. Ich ujawnienie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo doszło jednocześnie do naruszenia tajemnicy lekarskiej. Oznacza to, że administrator miał obowiązek zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą. Dodatkowo Prezes UODO stwierdził szereg błędów w ocenie skutków naruszenia.
Podsumowując, jeżeli wskutek incydentu doszło do ujawnienia szerokiego zakresu danych osobowych (w tym danych szczególnej kategorii), należy zawsze stwierdzić wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. W związku z tym administrator powinien realizować odpowiednie obowiązki. Ponadto dokonując oceny skutków naruszenia nie należy arbitralnie obniżać ryzyka, jeżeli incydent dotyczy jednej osoby.