Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na szpital w wielkopolskiej Wrześni prawie 30 tys. zł kary. Sankcja jest związana z tym, że placówka nie zgłosiła naruszenia administrowanych przez siebie danych bez zbędnej zwłoki, a także nie zawiadomiła na czas osoby, której dotyczyła sprawa - podał w poniedziałek Urząd.
Sprawa dotyczy dokumentacji medycznej - jedna z pacjentek wrzesińskiego szpitala dostała dokumenty innej osoby. Można tam było znaleźć imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia. Urząd ochrony danych dowiedział się o sprawie od Rzecznika Praw Pacjenta.
W efekcie prezes UODO Mirosław Wróblewski nałożył na Szpital Powiatowy we Wrześni karę w wysokości 29 648 zł.
"Szpital tłumaczył się, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Na wniosek prezesa UODO przedstawił analizę ryzyka dla danych i treść zawiadomienia, które następnie - zbyt późno - skierował do osoby, której ujawnione dane dotyczą" - głosi poniedziałkowy komunikat urzędu.
W wyjaśnieniach szpitala przekazanych prezesowi UODO oceniono, że ryzyko wystąpienia niedogodności związanych z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej jest "niskie, a jego istnienie nie wymaga dalszego postępowania".
W komunikacie podkreślono, że szpital powiadomił o sprawie osobę, której dane błędnie przekazano, jednak - ponieważ lecznica nie zgłosiła faktu naruszenia danych osobowych prezesowi UODO - ten nie mógł zareagować i - jak zaznaczono - "wesprzeć administratora w minimalizowaniu skutków naruszenia, do którego już doszło".
W informacji UODO zaznaczono, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
W opinii UODO nałożona na lecznicę kara powinna "doprowadzić do tego, że szpital w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia".