GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kara za opublikowanie danych szczególnej kategorii

Kara za opublikowanie danych szczególnej kategorii

Szwedzki organ właściwy ds. ochrony danych osobowych (Datainspektionen) nałożył karę pieniężną w wysokości 120 000 koron szwedzkich (ok. 50 000 zł) na Radę ds. Zdrowia i Usług Medycznych w regionie Örebro. Głównym zarzutem postawionym ukaranemu podmiotowi była publikacja na swojej stronie internetowej danych szczególnej kategorii jednego z pacjentów, w tym informacji o przyjęciu go do sądowej kliniki psychiatrycznej. To piąta kara nałożona przez szwedzkiego regulatora na podstawie przepisów RODO.

Skarga na publikację

Organ nadzorczy otrzymał skargę, z której wynikało, że 25 września 2019 r. na stronie internetowej ukaranego podmiotu opublikowane zostało pismo skierowane do szwedzkiego Rzecznika Praw Obywatelskich, a dotyczące skierowania danej osoby do sądowej kliniki psychiatrycznej w Örebro. Opublikowany materiał zawierał dane identyfikacyjne pacjenta, dane kontaktowe, informacje, że osoba ta została przyjęta do placówki medycznej oraz, że pobierano od niej próbki moczu. W związku z otrzymaną skargą, regulator wszczął pod koniec stycznia br. postępowanie kontrolne wobec Rady ds. Zdrowia i Usług Medycznych w regionie Örebro.

Ustalenia organu nadzorczego

W wyniku przeprowadzonego postępowania organ nadzorczy ustalił, że ukarany podmiot nie posiada żadnych pisemnych procedur dotyczących publikowania na stronie internetowej określonych dokumentów, w tym w szczególności zawierających dane osobowe. W praktyce, za publikację materiałów w sieci odpowiedzialnych było kilka osób, jednak – co zadziwiające – procedury publikacji były przekazywane jedynie ustnie. Rada broniła się, że w tym konkretnym przypadku dokument zawierający dane osobowe pacjenta został opublikowany omyłkowo, w wyniku błędu ludzkiego. Regulator ustalił jednak, że Rada nie podjęła wystarczających środków organizacyjnych, aby odpowiednio zabezpieczyć dane osobowe przed niezgodną z prawem publikacją na stronie internetowej.

Poważne naruszenie

Organ nadzorczy podkreślił w decyzji, że dane osobowe opublikowane na stronie internetowej ukaranego podmiotu zawierały dane osobowe szczególnej kategorii (dane dotyczące stanu zdrowia – art. 9 RODO). Opublikowany dokument zawierał informacje, że pacjent (wprost zidentyfikowany) został przyjęty do sądowej kliniki psychiatrycznej oraz że był poddany badaniu moczu. Regulator zwrócił uwagę, że pierwsza informacja ujawnia, że dana osoba może cierpieć na poważne zaburzenia psychiczne. Druga informacja sugeruje natomiast, że ma lub miała ona problem związany z przyjmowaniem środków odurzających.

Zdaniem organu nadzorczego w tej sprawie nie było konkretnego, wyraźnego i uzasadnionego celu publikacji danych osobowych pacjenta w Internecie. Ponadto, nie istniała żadna podstawa prawna uzasadniająca takie działania. Mając na względzie, że opublikowane dane osobowe dotyczyły stanu zdrowia przyjętego pacjenta, regulator nie zakwalifikował tego zdarzenia jako drobnego naruszenia ochrony danych. Podkreślił on także, że osoba, której dane zostały opublikowane nie mogła spodziewać się, że jej korespondencja z organami państwowymi zostanie powszechnie udostępniona. Na niekorzyść ukaranego podmiotu przemawiała także okoliczność, że dane osobowe pacjenta były publikowane przez długi czas i przez ten okres administrator nie był świadomy, że publikacja jest niezgodna z prawem.

Niezależnie od nałożonej kary pieniężnej, organ nadzorczy zobowiązał ukarany podmiot do sporządzenia pisemnych instrukcji i wprowadzenia stosownych procedur dotyczących publikacji danych osobowych w sieci. Z treści decyzji wynika, że Rada podjęła prace w tym zakresie już na etapie trwania postępowania wyjaśniającego.

Źródła:

Treść decyzji: https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-region-orebro-2020-05-11.pdf

https://www.datainspektionen.se/nyheter/fel-publicera-kansliga-personuppgifter-pa-region-orebro-lans-webb/?fbclid=IwAR3_yMDs-1gBAAehAeQ9U2cjS3cW9b6rpSMAL_8G9gWptBgIBw2lCatKEZY

Polecamy także:

Gmina ukarana za publikację danych osobowych

Zmiany w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta

Kara za opublikowanie danych szczególnej kategorii