Decyzją z dnia 26 listopada 2024 r., DKN.5131.6.2024 Prezes Urzędu Ochrony Danych Osobowych nałożył na jeden ze szpitali powiatowych karę administracyjną w wysokości 29.648 zł za to, że nie zgłosił faktu naruszenia administrowanych przez siebie danych bez zbędnej zwłoki do PUODO, ani nie zawiadomił w odpowiedni sposób na czas osoby, której dane dotyczą. Naruszenie polegało na tym, że dokumentacja medyczna pacjenta, zawierająca imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia, została omyłkowo wydana innemu pacjentowi. Pierwsza informacja o możliwym naruszeniu wpłynęła do PUODO 7 listopada 2022 r., natomiast Szpital zgłosił naruszenie ochrony danych osobowych 27 marca 2024 r., dopiero po otrzymaniu od PUODO zawiadomienia o wszczęciu postępowania dotyczącego naruszenia. Tym samym doszło do naruszenia art. 33 ust. 1 i 3 RODO, który stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu, a także art. 34 ust. 1 RODO, który w sytuacji, gdy istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nakłada na administratora, obowiązek zawiadomienia o naruszeniu osoby, której dane dotyczą. W tym przypadku naruszenie polegało na nieprzedstawieniu w zawiadomieniu wymaganych przez RODO informacji na temat środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków służących zminimalizowaniu jego ewentualnych negatywnych skutków.
Aby uniknąć podobnych sytuacji, warto pamiętać kiedy pojawia się obowiązek zawiadomienia organu nadzoru o naruszeniu i w jaki sposób tego zgłoszenia prawidłowo dokonać.
Obowiązek zawiadomienia organu nadzoru i osoby, której dane dotyczą nie dotyczy wszystkich naruszeń. Pojawia się on dopiero wtedy, gdy naruszenie skutkuje ryzkiem naruszenia praw i wolności osób fizycznych. Nie chodzi przy tym o samo naruszenie prywatności i praw związanych bezpośrednio z przetwarzaniem danych osobowych, ale o ryzyko powstania skutków takich jak: naruszenie dobrego imienia, dyskryminacja, kradzież tożsamości, straty finansowe lub utrata poufności danych chronionych tajemnicą zawodową. Jeżeli nie ma ryzyka wystąpienia takich skutków albo jest ono małe, administrator nie musi zawiadamiać o naruszeniu ani organu nadzoru, ani osoby, której dane dotyczą. W tym przypadku jego obowiązkiem jest wpisać naruszenie do wewnętrznej ewidencji naruszeń i wprowadzić środki zaradcze mające na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych. Jeżeli prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych „nie jest małe” pojawia się obowiązek zawiadomienia organu nadzoru, a gdy jest ono wysokie także obowiązek poinformowania osoby, której dane dotyczą.
Aby ocenić poziom ryzyka naruszenia praw i wolności osób fizycznych, należy przeprowadzić analizę możliwości wystąpienia tego ryzyka. Analiza ta powinna uwzględniać w szczególności rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, możliwość identyfikacji osób fizycznych, wagę konsekwencji dla osób fizycznych, cechy szczególne danej osoby fizycznej, cechy szczególne administratora danych oraz liczbę osób fizycznych, na które naruszenie wywiera wpływ (Grupa Robocza Art. 29 Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, WP 250 rev.01). Dokonując analizy warto pamiętać o wytycznych PUODO, który wskazuje, że duże ryzyko powstania szkody związanej z naruszeniem istnieje, gdy naruszenie dotyczy danych osobowych wrażliwych, a także gdy dojdzie do ujawnienia łącznie takich danych, jak imię, nazwisko i numer PESEL (UODO, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych Wersja 1.0 , 2019).
Zawiadomienia PUODO należy dokonać bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przyjmuje się, że stwierdzenie naruszenia ma miejsce, kiedy administrator ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych (Grupa Robocza Art. 29, Wytyczne dotyczące zgłaszania naruszeń…) Jeżeli administrator nie dysponuje wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia, może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Decydując się na takie rozwiązanie, administrator powinien poinformować organ nadzoru o przyczynach opóźnienia. Co do zasady każde naruszenie wymaga odrębnego zgłoszenia, jednak dopuszcza się możliwość „zbiorczego” zgłoszenia naruszeń, do których doszło w stosunkowo krótkim odstępie czasu, jeśli dotyczą one tego samego rodzaju danych osobowych i jeśli ich ochrona została naruszona w taki sam sposób.
Zgłoszenia można dokonać przy pomocy formularza udostępnionego przez PUODO. Skorzystanie z formularza nie jest jednak obowiązkowe. Jeżeli administrator nie chce lub nie może skorzystać z formularza, powinien przygotować zgłoszenie samodzielnie, zawierając w nim wszystkie informacje wskazane w art. 33 ust. 3 RODO. Zgłoszenie można przesłać elektronicznie lub pocztą tradycyjną na adres UODO.
Zawiadomienia osoby, której dane dotyczą należy dokonać niezwłocznie, tj. w pierwszym momencie, gdy jest to możliwe. Zgodnie z treścią motywu 86 RODO im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie. Administrator nie ma konieczności zawiadomienia osoby, której dane dotyczą jeżeli przed wystąpieniem naruszenia zastosował odpowiednie techniczne i organizacyjne środki w celu ochrony danych osobowych, w tym w szczególności środki uniemożliwiające odczyt danych osobom nieuprawnionym; jeżeli natychmiast po wystąpieniu naruszenia podjął działania w celu wyeliminowania prawdopodobieństwa powstania wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej lub, gdy skontaktowanie się z poszczególnymi osobami wymagałoby niewspółmiernie dużego wysiłku.
Zawiadomienie osoby, której dane dotyczą powinno wskazywać charakter naruszenia ochrony danych osobowych, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji; opis możliwych konsekwencji naruszenia; opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków stosowanych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Zgodnie z wytycznymi PUODO zawiadomienie powinno być sporządzone w formie, która umożliwi na wielokrotne zapoznanie się z jego treścią a wybierając środek komunikacji trzeba pamiętać, że zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie (UODO, Obowiązki administratorów…). Kierując się tymi wskazaniami za najwłaściwszą formę zawiadomienia osoby, której dane dotyczą należy uznać przesłanie odpowiedniej informacji za pośrednictwem poczty elektronicznej.
Za niedopełnienie obowiązków związanych z zawiadomieniem o naruszeniu ochrony danych organu nadzoru lub osoby, której dane dotyczą administratorowi grożą administracyjne kary pieniężne. W przypadku dokonania zawiadomienia, złożenia wyjaśnień i podjęcia odpowiednich działań zaradczych, administrator ma szansę uniknąć nałożenia kary pieniężnej przez PUODO. W przypadku niedopełnienia tego obowiązku, ryzyko nałożenia kary pieniężnej jest o wiele większe, gdyż PUODO może ją nałożyć za sam fakt niedokonania wymaganych zawiadomień, niezależnie od ostatecznej oceny samego naruszenia. Trzeba jednak pamiętać, że by uniknąć kary za niedopełnienie obowiązku zawiadomienia, należy działać możliwie szybko, starając się przedstawić jak najbardziej wyczerpujące informacje o naruszeniu, jego możliwych skutkach i podejmowanych lub proponowanych środkach zaradczych.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.