Prezes Urzędu Ochrony Danych Osobowych nałożył sankcję finansową w wysokości 100 tysięcy złotych na Ministra Zdrowia w związku z ujawnieniem danych dotyczących stanu zdrowia jednej z osób. Incydent ten miał miejsce na początku sierpnia, kiedy ówczesny szef resortu zdrowia, Adam Niedzielski, opublikował na platformie społecznościowej Twitter dane osobowe lekarza, wraz z informacją o wystawionej przez niego recepcie.
POLECAMY: Niedzielskiemu grozi 100 tys. zł kary za ujawnienie danych. „Nowy prezes UODO może go ukarać”
Urząd Ochrony Danych Osobowych (UODO) ogłosił w piątek oficjalne oświadczenie dotyczące nałożenia kary na Ministra Zdrowia.
W komunikacie podkreślono, że Minister Zdrowia, będący administratorem danych przetwarzanych w elektronicznym systemie, pozyskał z tego systemu informacje, które następnie opublikował na jednej z platform społecznościowych. Treść wpisu zawierała informacje dotyczące lekarza, który wystawił sobie receptę na lek z grupy psychotropowych.
„Tym samym Minister Zdrowia bezprawnie ujawnił dane o stanie zdrowia tej osoby. Prezes UODO po przeprowadzeniu postępowania administracyjnego wydał decyzję, w której nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł” – wskazał Urząd.
„To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa” – przekazał zastępca prezesa UODO Jakub Groszkowski.
W trakcie procesu postępowania Urząd Ochrony Danych Osobowych (UODO) stwierdził, że Minister Zdrowia pełni funkcję administratora ujawnionych danych jako organ, ponieważ został wyposażony w konkretne uprawnienia, umożliwiające mu dostęp do danych przetwarzanych w wspomnianym systemie w ściśle określonych przypadkach i w z góry zdefiniowanych celach.
„Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli Minister Zdrowia” – wskazał urząd.
Według oceny Urzędu Ochrony Danych Osobowych (UODO), miejsce publikacji danych osobowych przez Ministra Zdrowia nie ma znaczenia, ponieważ minister nie był uprawniony do publikacji tych danych w żaden sposób. Ponadto cele, dla których minister miał prawo przetwarzać te dane, są ściśle określone w ustawie o systemie informacji w ochronie zdrowia.
W tej samej decyzji zaznaczono, że osoba dotknięta naruszeniem ma prawo dochodzić swoich praw zarówno przed sądem cywilnym, jak i składać skargę do Prezesa UODO w przypadku nielegalnego przetwarzania jej danych osobowych przez Adama Niedzielskiego, który działał „prywatnie” jako osoba fizyczna.
W komunikacie urzędu podkreślono, że postępowanie UODO dotyczyło nie tylko ujawnienia danych z jednego z rejestrów, ale także naruszenia zasad bezpieczeństwa związanych z pozyskaniem tych danych z systemu oraz sposobu ich przekazania Ministrowi Zdrowia.
W swojej decyzji UODO zwrócił uwagę m.in. na to, że przekazanie danych pozyskanych z rejestru miało miejsce za pomocą komunikatora WhatsApp, co stworzyło ryzyko utraty kontroli nad tymi danymi, w tym nad ich bezpieczeństwem.
„Nie dość, że ten kanał komunikacji nie został wskazany w przeprowadzonej przez administratora analizie ryzyka, to nie jest on wskazany do komunikacji w administracji publicznej z uwagi na to, iż właściciel tego komunikatora był już karany przez irlandzki organ nadzorczy m.in. za brak przejrzystości w przetwarzaniu danych osobowych” – zaznaczył urząd.
UODO stwierdził, że Minister Zdrowia nie tylko nie zapewnił należytego poziomu zabezpieczenia danych, ale również nieprawidłowo poinformował osobę, której dane dotyczą, o naruszeniu.
W dostarczonej informacji – jak zaznaczono – brakowało przynajmniej opisu potencjalnych konsekwencji dla tej osoby związanych z naruszeniem ochrony jej danych lub opisu środków mających na celu zminimalizowanie negatywnych skutków naruszenia.
Podczas nakładania kary, UODO uwzględnił zarówno umyślny charakter naruszenia, jak i brak właściwych działań ze strony administratora po wystąpieniu incydentu. Oprócz usunięcia wpisu z mediów społecznościowych, nie podjęto działań takich jak przeprosiny dla lekarza, wyrażenie żalu czy publiczne przyznanie się do popełnionego błędu.
„Urząd nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec Ministra Zdrowia. Zastosowanie innych środków naprawczych niż kara, nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych zaniedbań” – uznał UODO.
W sierpniu tego roku Niedzielski opublikował na platformie Twitter dwa komunikaty, w których skomentował materiał telewizyjny wyemitowany dzień wcześniej w programie Fakty TVN.
„Kłamstwa Fakty TVN. We wczorajszym wydaniu usłyszeliśmy, że pacjenci po operacjach ortopedycznych w Poznaniu nie dostali przez ostatnie 2 dni recept na leki przeciwbólowe. Sprawdziliśmy w Poznaniu. I co? Pacjenci po operacjach ortopedycznych otrzymywali recepty na wskazane leki!” – napisał minister w pierwszym wpisie.
„Lekarz Piotr Pisula, szpital miejski w Poznaniu, wczoraj w Fakty TVN +żadnemu pacjentowi nie dało się wystawić takiej recepty+. Sprawdziliśmy. Lekarz wystawił wczoraj na siebie receptę na lek z grupy psychotropowych i przeciwbólowych. Takie to FAKTY. Jakie kłamstwa czekają nas dziś” – dodał Niedzielski w drugim wpisie.
Lekarz, którego informacje minister opublikował w mediach społecznościowych, ogłosił na Twitterze, że wysłał do Adama Niedzielskiego przedsądowe wezwanie. W piśmie domaga się „usunięcia skutków naruszeń dóbr osobistych” i wezwania szefa resortu zdrowia do udzielenia przeprosin, a także przekazania kwoty 100 tysięcy złotych na rzecz Hospicjum Palium w Poznaniu.
Krótko po tym incydencie, Niedzielski złożył rezygnację ze stanowiska ministra. Jego miejsce zajął Katarzyna Sójka, posłanka PiS. Po jesiennych wyborach parlamentarnych, nowym ministrem zdrowia została Izabela Leszczyna.