Dostaniesz do lekarza receptę lub skierowanie na inne nazwisko? Przychodnia może zapłacić za to 10 tys. kary
Do naszej redakcji zgłosiła się Czytelniczka z pytaniem, co może zrobić, kiedy dostała od lekarza receptę na leki, ale widnieją na niej dane zupełnie innej osoby — imię, nazwisko, kod dostępu i inne dane, które zawiera recepta. Na błąd zwróciła uwagę farmaceutka w chwili zakupu leków. Okazało się bowiem, że leki miały być dla Czytelniczki, a dane wskazywały, jakoby miał je stosować mężczyzna. Co może zrobić w tej sytuacji?
- Monika Świetlińska
- /
- 4 sierpnia 2022
UODO odpowiada
Na pytanie odpowiada Urząd Ochrony Danych Osobowych, opisując sytuację, jaka właśnie miała miejsce w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego.
- Do Urzędu Ochrony Danych Osobowych wpłynęła informacja od Rzecznika Praw Pacjenta o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego. Jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady) - przekazuje Adam Sanocki, rzecznik prasowy UODO.
Jak sprawdzić autobus, którym jedziemy na wycieczkę? Wystarczy smartfon z internetemAnna Malinowska
W trakcie postępowania administrator potwierdził, że doszło do omyłkowego wpisania na skierowaniu do poradni specjalistycznej danych osobowych innego pacjenta, jednak po dokonaniu analizy uznał on, że na skierowaniu pojawiły się dane osobowe nieistniejącej w rzeczywistości osoby. Mimo że administrator zakwalifikował zaistniałe zdarzenie jako incydent bezpieczeństwa, to jednak uznał, iż nie wywiera ono znaczących skutków dla praw i obowiązków osoby, której dane dotyczą. Z tego względu administrator zaniechał zgłoszenia organowi nadzorczemu tego zdarzenia, jak również nie zawiadomił o nim osoby, której dane dotyczą.
Omyłka pisarska?
- Tymczasem w ocenie UODO doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej (innemu pacjentowi administratora). Ponadto, zdaniem Urzędu wydany przez lekarza dokument zawierał jedynie omyłkę w imieniu pacjenta, natomiast pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły już tego konkretnego pacjenta. Stąd też nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby. Pomimo błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować - informuje Adam Sanocki.
Skuteczne narzędzie walki z takimi błędami
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów, w opinii UODO, stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie do UODO, administratorzy informują Urząd, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Z kolei UODO dokonuje weryfikacji oceny dokonanej przez administratora.
- W przedmiotowej sprawie niezaprzeczalnym jest, że dane osobowe udostępnione osobie nieuprawnionej, oprócz tzw. danych zwykłych, obejmują także dane należące do szczególnych kategorii danych osobowych, tj. dane o stanie zdrowia na temat rozpoznania i celu porady lekarskiej. Ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo wskazać należy, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej - uważa UODO.
W opinii UODO, administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dotyczyło naruszenie.
Wysokość kary
Organ nadzorczy nałożył administracyjną karę pieniężną na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego w wysokości 10 tys. zł. Pamiętajmy jednak, że wysokość kary zależy od:
- skali i charakteru naruszenia oraz czasu jego trwania;
- umyślnego lub nieumyślnego charakteru naruszenia;
- działań podjętych przez administratora w celu zminimalizowania ryzyka naruszenia (w tym stosowanych metod zabezpieczeń przed naruszeniem i ich adekwatności do oceny ryzyka wystąpienia naruszenia);
- kategorii danych, które objęte zostały naruszeniem;
- czy wystąpiło już wcześniej naruszenie w organizacji;
- poziomu zaangażowania i współpracy z organem nadzorczym podczas trwającego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z
informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci
się
artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej
masz
szybkie linki do udostępnień.