Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła informacja od Rzecznika Praw Pacjenta o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie (dalej: Administrator). Z załączonych materiałów wynikało, iż pacjent Administratora otrzymał od jednego z lekarzy skierowanie do poradni specjalistycznej, zawierające dane osobowe dotyczące innej osoby.
Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie.
Z uzasadnienia decyzji Prezesa UODO
W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych, polegającego na ich ujawnieniu osobie nieuprawnionej, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej (innemu pacjentowi Administratora). Wydany przez lekarza dokument zawierał omyłkę w imieniu pacjenta. Z przedstawionych materiałów wynikało, iż pozostałe dane zawarte na skierowaniu dotyczyły innego pacjenta Administratora.
Zdaniem Prezesa UODO, pomimo błędu w imieniu można taką osobę w sposób łatwy zidentyfikować. Dla takiej identyfikacji wystarczające jest dysponowanie danymi w postaci nazwiska, adresu zamieszkania oraz nru PESEL. Co więcej, na skierowaniu do poradni specjalistycznej, wydanym przez lekarza nieuprawnionej osobie (innemu pacjentowi), znajdowały się także dane o stanie zdrowia, rozpoznanie choroby i celu porady. W decyzji podkreślono, iż sam fakt bycia pacjentem konkretnej placówki jest informacją o stanie zdrowia. Informacja w tym zakresie zwiększa ponadto możliwość identyfikacji tej osoby.
Odnosząc się do zakresu danych, Prezes UODO stwierdził, iż możliwość wykorzystania danych do wyłudzenia kredytu lub pożyczki stanowi o wysokim ryzyku naruszenia praw lub wolności osób fizycznych. Oceniając formularz oceny skutków naruszenia ochrony danych, nie zgodzono się z przyjętą przez Administratora wartością „0” w odpowiedzi na pytanie: „Czy dane których naruszenie dotyczy, były prawidłowe i aktualne?”. Z uwagi na wysoką możliwość identyfikacji tej osoby w oparciu o pozostałe ujawnione dane, Administrator powinien przy odpowiadaniu na to pytanie wziąć pod uwagę, czy prawidłowe i aktualne są właśnie te dane, które na taką identyfikację pozwalają. W ocenie Prezesa UODO Administrator w sposób nieprawidłowy przyjął także wartość „0” w odpowiedzi na pytanie: „Czy istnieje ograniczona możliwość identyfikacji osoby, której dane dotyczą – np. ze względu na powszechność danych? Czy też istnieje maksymalna pewność co do identyfikacji osoby?”, wskazując na ograniczoną możliwość identyfikacji osoby, której dane dotyczą. Zakres ujawnionych danych przesądzał o wysokiej możliwości identyfikacji osoby, której dane zostały objęte naruszeniem. Ponadto przy dokonywaniu analizy ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych nie należy w sposób arbitralny obniżać poziomu tego ryzyka, w sytuacji gdy naruszenie dotyczy tylko jednej osoby, tak jak uczynił to Administrator, wpisując wartość „-1” w odpowiedzi na pytanie: „Czy naruszenie dotyczy małej liczby osób, tj. poniżej 10?”. O poziomie tego ryzyka przesądza przede wszystkim zakres danych objętych naruszeniem, a nie liczba osób, których ono dotyczy. Negatywnie oceniono także przyjęcie wartości „-1” w odpowiedzi na pytanie: „Czy podmiot, który w wyniku naruszenia uzyskał dostęp do danych, posiada cechy/właściwości wskazujące na to iż jest to podmiot zaufany i można spodziewać się, iż nie dokona dalszego wykorzystania danych i ich przetwarzania?”. Administrator nie wykazał jednak, iż zachodzą przesłanki pozwalające na uznanie nieuprawnionego odbiorcy za odbiorcę zaufanego.
Z uwagi na powyższe należy uznać, iż w wyniku przedmiotowego zdarzenia doszło do naruszenia poufności danych osoby wskazanej w treści skierowania do poradni specjalistycznej, które zostało wydane osobie nieuprawnionej (innemu pacjentowi). Ponadto z uwagi na szeroki zakres ujawnionych danych (w tym nazwiska oraz numeru ewidencyjnego PESEL, a także informacji o stanie zdrowia) należy stwierdzić, iż wskutek zaistniałego incydentu wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Ponadto ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza Administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej.
Prezes UODO stwierdził więc, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej, stosownie do treści art. 83 ust. 2 lit. a)-k) RODO Prezes UODO wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania tego rodzaju sankcji.
Naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń ochrony danych osobowych przez administratorów danych stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, może doprowadzić do szkód majątkowych lub niemajątkowych, a prawdopodobieństwo ich wystąpienia jest wysokie. W ocenie Prezesa UODO na wagę i charakter naruszenia wpływa także łatwość identyfikacji konkretnej osoby fizycznej.
Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem mogło się zrealizować, a czemu osoba ta nie mogłaby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia jej o naruszeniu. Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta, oraz kierowanych do niego pism przez Prezesa UODO, wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dotyczyło naruszenie.
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO, wskazujące na możliwość zaistnienia wysokiego ryzyka naruszenia praw lub wolności osoby, której dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Administratora choćby po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
Dane osobowe udostępnione osobie nieuprawnionej obejmują także te należące do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, tj. dane o stanie zdrowia, obejmujące informacje dotyczące rozpoznania i celu porady. O naruszeniu ochrony danych osobowych stanowiącym przedmiot sprawy, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Administratora, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 RODO. Okoliczność braku informacji o naruszeniu ochrony danych, pochodzącej od Administratora zobowiązanego do przekazania takiej informacji Prezesowi UODO, należy uznać za obciążającą tego Administratora.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczności łagodzące liczbę poszkodowanych osób, oraz iż nie stwierdzono wcześniejszych naruszeń popełnionych przez Administratora. Na fakt nałożenia sankcji nie wypłynęły pozostałe okoliczności, o których mowa w art. 83 ust. 2 RODO.
W związku z powyższym należy wskazać, iż administracyjna kara pieniężna w wysokości 10 tys. złotych spełnia przesłanki, o których mowa w art. 83 ust. 1 RODO.
W omawianej sprawie Prezes UODO wyraził się dość szczegółowo na temat metodyki analizy ryzyk. Ocenił, iż przyjęte przez Administratora zaniżonych wartości miało najważniejszy wpływ na finalną ocenę poziomu ryzyka naruszenia praw lub wolności osoby fizycznej, zaistniałego wskutek naruszenia ochrony jej danych osobowych, co wpłynęło na brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz brak zawiadomienia o tym naruszeniu osoby, której dane dotyczą, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. Natomiast po stwierdzeniu naruszenia ochrony danych osobowych, w ramach którego występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator powinien wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić takie naruszenie i odpowiednio gwałtownie poinformować organ nadzorczy, jak również osoby, których dane dotyczą.
Poza nałożoną karą Prezes UODO nakazał zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, w celu przekazania jej wymaganych informacji, zgodnie z art. 34 ust. 2 RODO.