85 tys. kary za brak informacji dla pacjentów o wycieku danych

12 Lutego 2021, 15:51

85 tys. kary nałożył Urząd Ochrony Danych Osobowych (UODO) na jedną z placówek medycznych za niewykonanie nakazu nałożonego w decyzji administracyjnej. Chodziło o nakaz powiadomienia pacjentów placówki o naruszeniu ich danych osobowych, czego administrator danych nie zrobił.

Jak informuje UODO, nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazała kontrola realizacji nałożonej decyzji.

W konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały. W zawiadomieniu, miały znaleźć się takie informacje, jak:  opis charakteru naruszenia danych osobowych, imię i nazwisko oraz dane kontaktowe do inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

"Właściwe wywiązanie się z tego obowiązku pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków" - podkreśla UODO.

Ponieważ przedsiębiorca zignorował decyzję, UODO zdecydował o wszczęciu z urzędu postępowania ws. nałożenia administracyjnej kary pieniężnej. 

Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania.

Według Urzędu, niezastosowanie się do udzielanych przez UODO wskazówek, świadczy o "rażącym lekceważeniu" przez placówkę obowiązków związanych z ochroną danych osobowych.

Na sprawę zwróciła nam uwagę, Sylwia Miezio, Koordynator Sieci Inspektorów Ochrony Danych RODONET.

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz