Ministerstwo Zdrowia naruszyło przepisy o ochronie danych osobowych przez ujawnienie informacji o stanie zdrowia konkretnej osoby. Prezes Urzędu Ochrony Danych Osobowych nałożył karę na Ministra Zdrowia za to naruszenie prywatności lekarza, którego dane ujawniono w sierpniu 2023 roku. Decyzja ta pokazuje, że wszystkie przedmioty, w tym również urzędnicy są zobligowani do ochrony danych osobowych. Decyzja Prezesa Urzędu Ochrony Danych Osobowych wyraźnie pokazuje, że nie ma przyzwolenia dla rozluźniania standardów ochrony danych osobowych w administracji publicznej.
Ujawnienie danych
W sierpniu 2023 roku, ówczesny Minister Zdrowia – Andrzej Niedzielski opublikował na portalu społecznościowym dane osobowe lekarza z Poznania wraz z informacją o wystawionej przez niego, dla siebie recepcie. Dotyczyła ona leku z grupy psychotropowych. Minister Zdrowia pozyskał dane z elektronicznego systemu przetwarzania danych osobowych, którego był administratorem. W efekcie doszło do bezprawnego ujawnienia informacji o stanie zdrowia osoby.
Minister Zdrowia ukarany przez UODO
Sprawa wzbudziła zainteresowanie Prezesa Urzędu Ochrony Danych Osobowych, który postanowił zbadać okoliczności zdarzenia. Po przeprowadzeniu postępowania administracyjnego na Ministra Zdrowia nałożono karę administracyjną w wysokości 100 tys. zł. Jest to maksymalna wysokość kary dla podmiotu z sektora publicznego.
To maksymalny wymiar kary dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa.
– zaznaczył Jakub Groszkowski, zastępca Prezesa UODO.
Dane wrażliwe
Prezes UODO uznał, że naruszono art. 6 ust. 1 oraz art. 9 ust. 1 RODO, gdyż miało miejsce bezprawne przetwarzanie danych osobowych, w tym danych szczególnej kategorii z uwagi, że dotyczyły one stanu zdrowia oraz ich bezpodstawne upublicznienie. Prezes UODO zaznaczył, że nie zastosowano środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych przy użyciu elektronicznego systemu wystawiania recept. Przy ocenie zdarzenia wzięto pod uwagę celowość naruszenia oraz brak efektywnych działań ze strony Ministerstwa Zdrowia celem zminimalizowania skutków naruszenia.
Kto tak naprawdę otrzymał karę?
Kolejną kwestią do rozważenia przez UODO było ustalenie czy zachowanie Adama Niedzielskiego należy uznać za działania jako zwykłego obywatela, podejmowane we własnym imieniu czy działaniu organu władzy publicznej jako Ministra Zdrowia. W ocenie prezesa UODO, to Minister Zdrowia był administratorem ujawnionych danych, jako instytucja posiadająca uprawnienia umożliwiające dostęp do informacji przetwarzanych w danym systemie w ściśle określonych sytuacjach i dla wyznaczonych celów. Z tego względu karę nałożono na Ministerstwo Zdrowia i to ono będzie musiało ją zapłacić, a nie Adam Niedzielski.
Czy to koniec sprawy?
Kara nałożona przez UODO to jednak nie koniec sytuacji spornych w tej sprawie. Adam Niedzielski nadal może ponieść osobiście odpowiedzialność finansową za swoje działania. Lekarz, którego dane wrażliwe zostały ujawnione może wytoczyć mu proces cywilny i ma szanse go wygrać. Działania też zapowiada Ministerstwo Zdrowia, które nie zamierza płacić kary za naruszenie danych osobowych przez byłego Ministra Zdrowia i nie zgadza się z nałożeniem kary na ministerstwo, zamiast na Adama Niedzielskiego. Obecna Minister Zdrowia – Izabela Leszczyna zdecydowała o zaskarżeniu decyzji Prezesa UODO do Wojewódzkiego Sądu Administracyjnego, więc warto śledzić dalsze doniesienia w tej sprawie.