UODO: 100 tys. zł kary dla Niedzielskiego za ujawnienie danych lekarza. “Byłaby znacznie wyższa, gdyby nie ustawowy limit”

Przypomnijmy, że minister zdrowia Adam Niedzielski zamieścił w sierpniu br. na Twitterze dwa wpisy, w których odniósł się do materiału wyemitowanego dzień wcześniej w Faktach TVN, dotyczącego problemów z wystawianiem recept na leki przeciwbólowe. W jednym z wpisów Niedzielski poinformował, że lekarz Piotr Pisula wystawił sobie receptę na lek z grupy psychotropowych i przeciwbólowych.

Wpis ministra wywołał burzę w środowisku lekarskim, Piotr Pisula wezwał szefa resortu do przeprosin i przekazania 100 tysięcy złotych na rzecz Hospicjum Palium w Poznaniu. Krótko po tym zdarzeniu, Niedzielski złożył dymisję ze stanowiska ministra, zastąpiła go posłanka PiS Katarzyna Sójka.

PRZECZYTAJ TAKŻE: Niedzielski o ujawnieniu danych lekarza: działałem na podstawie obowiązujących przepisów

Prezes UODO nałożył na ministra 100 tys. zł kary

“Minister zdrowia bezprawnie ujawnił dane o stanie zdrowia tej osoby” - czytamy w komunikacie prezesa UODO, który po przeprowadzeniu postępowania administracyjnego wydał decyzję, w której nałożył na ministra zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł.

"To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa“ – powiedział cytowany w komunikacie Jakub Groszkowski, zastępca prezesa UODO.

Prezes Urzędu Ochrony Danych Osobowych nałożył 100 tys. zł kary na Ministra Zdrowia za ujawnienie danych o stanie zdrowia jednej z osób. pic.twitter.com/ktDCtRB8Gr

— Urząd Ochrony Danych Osobowych (@UODOgov_pl) December 22, 2023

Adam Niedzielski ujawnił dane lekarza

W toku postępowania UODO ustalił, że administratorem ujawnionych danych jest minister zdrowia jako organ, bowiem to on został wyposażony w określone uprawnienia pozwalające mu na dostęp do danych przetwarzanych we wspomnianym systemie w ściśle zdefiniowanych przypadkach i w określonych celach. Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli minister zdrowia.

W ocenie UODO bez znaczenia jest miejsce publikacji danych osobowy, gdyż Minister Zdrowia nie miał prawa publikować ich w żaden sposób. Ponadto cele, w jakich jest uprawniony je przetwarzać, są ścisłe określone w ustawie o systemie informacji w ochronie zdrowia.

Jednocześnie organ nadzorczy w swojej decyzji zwrócił uwagę, że osoba, której dotyczyło naruszenie może dochodzić swoich praw zarówno przed sądem cywilnym, jak i złożyć skargę do prezesa UODO na niezgodne z prawem przetwarzanie jej danych osobowych przez Adama Niedzielskiego, działającego „prywatnie” jako osoba fizyczna.

Postępowanie UODO dotyczyło naruszenia ochrony danych osobowych nie tylko w związku z ujawnieniem danych z jednego z rejestrów, ale także naruszenia zasad bezpieczeństwa związanych z pozyskaniem tych danych z systemu oraz sposobu ich przekazania ministrowi zdrowia.

Przekazanie danych pozyskanych z rejestru nastąpiło przy pomocy komunikatora WhatsApp

UODO w swojej decyzji zwrócił m.in. uwagę na fakt, że przekazanie danych pozyskanych z rejestru nastąpiło przy pomocy komunikatora WhatsApp, co stworzyło też możliwość utraty kontroli nad tymi danymi, w tym ich bezpieczeństwem. Nie dość, że ten kanał komunikacji nie został wskazany w przeprowadzonej przez administratora analizie ryzyka, to nie jest on wskazany do komunikacji w administracji publicznej z uwagi na to, iż właściciel tego komunikatora był już karany przez irlandzki organ nadzorczy m.in. za brak przejrzystości w przetwarzaniu danych osobowych.

Minister Zdrowia nie tylko nie zapewnił odpowiedniego poziomu zabezpieczenia danych, ale również niewłaściwie powiadomił osobę, której dane dotyczą o naruszeniu. W informacji tej zabrakło choćby opisu możliwych konsekwencji dla tej osoby w związku z naruszeniem ochrony jej danych czy opisu środków w celu zminimalizowania negatywnych skutków naruszenia.

Wymierzając karę UODO wziął pod uwagę zarówno umyślny charakter naruszenia, jak i brak odpowiednich działań po stronie administratora po wystąpieniu tego incydentu. Poza usunięciem wpisu w mediach społecznościowych, nie podjęto działań takich, jak np. przeproszenie lekarza, wyrażenie ubolewania, czy publicznego przyznania się do błędu.

Urząd nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec ministra zdrowia. Zastosowanie innych środków naprawczych niż kara, nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych zaniedbań.