„Recykling” papieru powodem naruszenia ochrony danych osobowych?

Bezpieczeństwo informacji

Czy oszczędność papieru może być źródłem naruszenia przepisów ochrony danych osobowych? Okazuje się, że tak.

Jeden ze szpitali w Polsce stosuje praktyki ponownego wykorzystania dokumentacji medycznej przy przeprowadzaniu badań laboratoryjnych. Personel laboratorium wykorzystuje „ścinki” dokumentacji medycznej (prawdopodobnie skierowań na badania), zawierające dane osobowe do opisywania fiolek do badań dla pacjentów.

Na zamieszczonym zdjęciu możemy odczytać dane osobowe w postaci nr PESEL oraz informacje o rodzaju przeprowadzanych badań pacjenta szpitala. Na innych fiolkach pacjentów znajdowały się informacje takie jak: imię, nazwisko oraz adres zamieszkania.

Inspektor ochrony danych Szpitala został poinformowany o zaistniałej sytuacji. Został również poproszony o udzielnie odpowiedzi na pytanie czy naruszenie ochrony danych osobowych zostanie zgłoszone do Urzędu Ochrony Danych Osobowych oraz  jakie środki korygujące zostaną wdrożone przez szpital celem zapobiegania podobnym sytuacjom.

Poniżej cytujemy odpowiedź Inspektora ochrony danych Szpitala:

„W Imieniu Szpitala (..) przepraszam za zaistniałą sytuację odpowiedni dział został już poinformowany o mam nadzieję że sytuacja się nie powtórzy dziękuje będę wdzięczny za każdą informację mogącą przyczynić się do zwiększenia bezpieczeństwa przetwarzania Pani danych”

Naruszenie ochrony danych osobowych

Jakie konsekwencje może ponieść szpital a zwłaszcza osoba fizyczna, której dane są przekazywane osobom nieuprawnionym?

Zgodnie z art. 4 ust. 12 RODO nieuprawnione ujawnienie danych osobowych osobom trzecim jest naruszeniem ochrony danych osobowych.

Za naruszenie ochrony danych osobowych rozumiemy m.in:

  1. naruszenie podstawowych zasad przetwarzania danych oraz warunków uzyskania zgody,
  2. brak wdrożenia odpowiednich środków zabezpieczających dane osobowe,
  3. brak zgłoszenia naruszenia ochrony danych osobowych (w podanym przykładzie – na szeroką skalę) do Urzędu Ochrony Danych Osobowych,
  4. brak zawiadomienia osoby której dane dotyczą o naruszeniu ochrony danych osobowych.

Zgodnie z powyższym szpital ujawnia dane osobowe swoich pacjentów osobom nieuprawnionym do tych danych, za co zgodnie z art.102 Ustawy o ochronie danych osobowych z 10 maja 2018 roku grozi administracyjna kara pieniężna w wysokości do 100 tysięcy złotych. To nie jedyne konsekwencje jakie może ponieść szpital. Kolejne to obowiązek zapłacenia odszkodowania – wiąże się to również z odpowiedzialnością karną, utratą dobrego wizerunku czy negatywnymi opiniami w branży.

Ujawnienie szerokiego zakresu danych osobowych Pacjenta takich jak imię, nazwisko, adres zamieszkania czy nr PESEL umożliwia identyfikację osoby fizycznej. Ujawnienie szczególnej kategorii danych osobowych tzw. danych wrażliwych dotyczących zdrowia może doprowadzić do dyskryminacji w sferze zawodowej lub społecznej.

Inne niepożądane konsekwencje dla osoby fizycznej to:

  1. utrata kontroli nad własnymi danymi osobowymi,
  2. kradzież lub sfałszowanie tożsamości,
  3. naruszenie dobrego imienia,
  4. strata finansowa.

Przyczyny naruszenia ochrony danych osobowych

Gdzie szukać przyczyny naruszenia ochrony danych osobowych oraz jakie wdrożyć środki zapobiegawcze?

W opisywanej sytuacji przyczyn wystąpienia naruszenia może być wiele. Pierwszą w kolejności może być brak znajomości przepisów oraz brak świadomości zagrożeń dotyczących ochrony danych osobowych. Jednak bardziej prawdopodobna wydaje się być przyczyna druga, która dotyczy cięć finansowych i oszczędności, bagatelizując przy tym kwestie ochrony danych osobowych.

Środki zapobiegawcze

Jakie należałoby wdrożyć środki zapobiegawcze?

  1. Przede wszystkim Inspektor ochrony danych powinien systematycznie przeprowadzać szkolenia pracownikom. Szkolenia powinny być organizowane dla stałych pracowników oraz dla nowozatrudnionych.
  2. Należy przeprowadzać systematyczne audyty wewnętrzne w zakresie ochrony danych osobowych, które polegają na rozmowach z pracownikami, obserwacji procesów przetwarzania danych osobowych oraz weryfikacji dokumentów.
  3. Należy wykonać analizę ryzyka pod kątem przetwarzania danych osobowych przez najwyższe kierownictwo. Jest to następne narzędzie, które wpływa na poszerzanie znajomości potencjalnych zagrożeń i konsekwencji związanych z naruszeniem ochrony danych osobowych. Przeprowadzanie analizy ryzyka jest również wymogiem prawnym od 25.05.2018 r. art. 32 RODO.
  4. Kierownictwo powinno na co dzień uczulać pracowników na sprawy związane z ochroną danych osobowych.

Przyczyny naruszenia ochrony danych osobowych

Gdzie szukać przyczyny naruszenia ochrony danych osobowych oraz jakie wdrożyć środki zapobiegawcze?

W opisywanej sytuacji przyczyn wystąpienia naruszenia może być wiele. Pierwszą w kolejności może być brak znajomości przepisów oraz brak świadomości zagrożeń dotyczących ochrony danych osobowych. Jednak bardziej prawdopodobna wydaje się być przyczyna druga, która dotyczy cięć finansowych i oszczędności, bagatelizując przy tym kwestie ochrony danych osobowych.

Środki zapobiegawcze

Jakie należałoby wdrożyć środki zapobiegawcze?

  1. Przede wszystkim Inspektor ochrony danych powinien systematycznie przeprowadzać szkolenia pracownikom. Szkolenia powinny być organizowane dla stałych pracowników oraz dla nowozatrudnionych.
  2. Należy przeprowadzać systematyczne audyty wewnętrzne w zakresie ochrony danych osobowych, które polegają na rozmowach z pracownikami, obserwacji procesów przetwarzania danych osobowych oraz weryfikacji dokumentów.
  3. Należy wykonać analizę ryzyka pod kątem przetwarzania danych osobowych przez najwyższe kierownictwo. Jest to następne narzędzie, które wpływa na poszerzanie znajomości potencjalnych zagrożeń i konsekwencji związanych z naruszeniem ochrony danych osobowych. Przeprowadzanie analizy ryzyka jest również wymogiem prawnym od 25.05.2018 r. art. 32 RODO.
  4. Kierownictwo powinno na co dzień uczulać pracowników na sprawy związane z ochroną danych osobowych.
Oceń artykuł
Poprzedni wpis
Dane strajkujących nauczycieli nie powinny być umieszczane w SIO
Następny wpis
Kara 20 tys zł. za wykorzystywanie danych biometrycznych w szkolnej stołówce

Zrób krok naprzód.
Zapytaj o współpracę