Czy oszczędność papieru może być źródłem naruszenia przepisów ochrony danych osobowych? Okazuje się, że tak.
Jeden ze szpitali w Polsce stosuje praktyki ponownego wykorzystania dokumentacji medycznej przy przeprowadzaniu badań laboratoryjnych. Personel laboratorium wykorzystuje „ścinki” dokumentacji medycznej (prawdopodobnie skierowań na badania), zawierające dane osobowe do opisywania fiolek do badań dla pacjentów.
Na zamieszczonym zdjęciu możemy odczytać dane osobowe w postaci nr PESEL oraz informacje o rodzaju przeprowadzanych badań pacjenta szpitala. Na innych fiolkach pacjentów znajdowały się informacje takie jak: imię, nazwisko oraz adres zamieszkania.
Inspektor ochrony danych Szpitala został poinformowany o zaistniałej sytuacji. Został również poproszony o udzielnie odpowiedzi na pytanie czy naruszenie ochrony danych osobowych zostanie zgłoszone do Urzędu Ochrony Danych Osobowych oraz jakie środki korygujące zostaną wdrożone przez szpital celem zapobiegania podobnym sytuacjom.
Poniżej cytujemy odpowiedź Inspektora ochrony danych Szpitala:
Naruszenie ochrony danych osobowych
Jakie konsekwencje może ponieść szpital a zwłaszcza osoba fizyczna, której dane są przekazywane osobom nieuprawnionym?
Zgodnie z art. 4 ust. 12 RODO nieuprawnione ujawnienie danych osobowych osobom trzecim jest naruszeniem ochrony danych osobowych.
Za naruszenie ochrony danych osobowych rozumiemy m.in:
- naruszenie podstawowych zasad przetwarzania danych oraz warunków uzyskania zgody,
- brak wdrożenia odpowiednich środków zabezpieczających dane osobowe,
- brak zgłoszenia naruszenia ochrony danych osobowych (w podanym przykładzie – na szeroką skalę) do Urzędu Ochrony Danych Osobowych,
- brak zawiadomienia osoby której dane dotyczą o naruszeniu ochrony danych osobowych.
Zgodnie z powyższym szpital ujawnia dane osobowe swoich pacjentów osobom nieuprawnionym do tych danych, za co zgodnie z art.102 Ustawy o ochronie danych osobowych z 10 maja 2018 roku grozi administracyjna kara pieniężna w wysokości do 100 tysięcy złotych. To nie jedyne konsekwencje jakie może ponieść szpital. Kolejne to obowiązek zapłacenia odszkodowania – wiąże się to również z odpowiedzialnością karną, utratą dobrego wizerunku czy negatywnymi opiniami w branży.
Ujawnienie szerokiego zakresu danych osobowych Pacjenta takich jak imię, nazwisko, adres zamieszkania czy nr PESEL umożliwia identyfikację osoby fizycznej. Ujawnienie szczególnej kategorii danych osobowych tzw. danych wrażliwych dotyczących zdrowia może doprowadzić do dyskryminacji w sferze zawodowej lub społecznej.
Inne niepożądane konsekwencje dla osoby fizycznej to:
-
utrata kontroli nad własnymi danymi osobowymi,
-
-
-
Przyczyny naruszenia ochrony danych osobowych
Gdzie szukać przyczyny naruszenia ochrony danych osobowych oraz jakie wdrożyć środki zapobiegawcze?
W opisywanej sytuacji przyczyn wystąpienia naruszenia może być wiele. Pierwszą w kolejności może być brak znajomości przepisów oraz brak świadomości zagrożeń dotyczących ochrony danych osobowych. Jednak bardziej prawdopodobna wydaje się być przyczyna druga, która dotyczy cięć finansowych i oszczędności, bagatelizując przy tym kwestie ochrony danych osobowych.
Środki zapobiegawcze
Jakie należałoby wdrożyć środki zapobiegawcze?
-
Przede wszystkim Inspektor ochrony danych powinien systematycznie przeprowadzać szkolenia pracownikom. Szkolenia powinny być organizowane dla stałych pracowników oraz dla nowozatrudnionych.
-
-
-
Przyczyny naruszenia ochrony danych osobowych
Gdzie szukać przyczyny naruszenia ochrony danych osobowych oraz jakie wdrożyć środki zapobiegawcze?
W opisywanej sytuacji przyczyn wystąpienia naruszenia może być wiele. Pierwszą w kolejności może być brak znajomości przepisów oraz brak świadomości zagrożeń dotyczących ochrony danych osobowych. Jednak bardziej prawdopodobna wydaje się być przyczyna druga, która dotyczy cięć finansowych i oszczędności, bagatelizując przy tym kwestie ochrony danych osobowych.
Środki zapobiegawcze
Jakie należałoby wdrożyć środki zapobiegawcze?
-
Przede wszystkim Inspektor ochrony danych powinien systematycznie przeprowadzać szkolenia pracownikom. Szkolenia powinny być organizowane dla stałych pracowników oraz dla nowozatrudnionych.
-
-
-