Finlandia: 230 000 euro kary za przetwarzanie danych medyczycznych

Finlandzki organ nadzorczy wydał, w grudniu 2022 r. decyzję nakładającą na administratora danych administracyjną karę pieniężną w wysokości 230 000 euro. 

Administrator – spółka zarządzająca promami pasażerskimi – prowadzi system MAPS.

System ten zawiera dane osobowe około 6000 byłych i obecnych pracowników. Na wszystkich statkach administratora wprowadzany jest nowy system do zarządzania informacjami o przyczynach nieobecności, w tym informacjami o zwolnieniach lekarskich.

Dodatkowo system MAPS zawiera informacje o nieobecnościach pracowników m.in. absencji chorobowych wraz z datami i kodami diagnoz ICD, na podstawie których ustalana jest płatna nieobecność.

Według administratora uzasadnieniem przetwarzania takich danych było stwierdzenie, że nie wszystkie nieobecności są płatne dla pracowników, dlatego pracodawca musi w pewnym zakresie przetwarzać informacje o przyczynach absencji chorobowej, aby zagwarantować prawidłowość wypłaty wynagrodzenia.

Oprócz kodów system zawiera również informacje o diagnozach.

Według raportu kody diagnostyczne ICD i informacje diagnostyczne zostały usunięte z systemu w latach 2018–2019. Te informacje nie są już zawarte w systemie. W systemie MAPS przechowywane są informacje związane ze stosunkiem pracy, takie jak nazwiska i dane kontaktowe pracowników, informacje o statusie umów o pracę, informacje o kwalifikacjach, informacje o odbytych szkoleniach, informacje o wypłacie wynagrodzeń i kosztach opieki medycznej. W systemie MAPS znalazły się również informacje o nieobecnościach pracowników, m.in. absencji chorobowych z datami i kodami diagnoz ICD.

System obecnie przechowuje tylko informacje o okresie zwolnienia lekarskiego oraz informacje na temat tego czy jest to płatna czy bezpłatna nieobecność lub np. urlop rodzinny.

Administrator ocenił, że ​​rejestrowanie kodów ICD diagnoz nie jest konieczne, biorąc pod uwagę przeznaczenie systemu.

Jeden z pracowników zwrócił się do administratora o dostęp do swoich danych osobowych. Zażądał on także, informacji z systemu MAPS dotyczące informacji o jego zwolnieniach lekarskich i informacji diagnostycznych

Administrator nie udostępnił  żądanych informacji. Przedstawił za to uzasadnienie dla przetwarzania takich informacji. 

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Administrator, w odpowiedzi na żądanie organu nadzorczego, wskazywał, że:

    tylko te osoby, które na podstawie tych informacji przygotowują lub podejmują decyzje dotyczące stosunku pracy lub realizują takie decyzje, przetwarzały informacje dotyczące stanu zdrowia. Zgłoszono, że takimi osobami są dwaj sekretarze personalni. Pracodawca odrębnie określił, że do zadań tych osób należy przetwarzanie informacji o stanie zdrowia.

    osoby te są zobowiązane do zachowania poufności zarówno w trakcie zatrudnienia, jak i po jego zakończeniu.

    Organ nadzorczy stwierdził, że:

    ​​pracodawca ma prawo np. przetwarzać w swoich systemach zarządzania personelem informacje o tym, kiedy i jak długo pracownik był nieobecny w pracy z powodu choroby (dopuszczalny powód, wypłata wynagrodzenia chorobowego ). Jednak w powiązaniu z systemem zarządzania personelem nie powinny być przechowywane informacje o przyczynie absencji chorobowej, np. choroby, urazy, ich jakość czy informacje diagnostyczne

    zaświadczenia lekarskie lub oświadczenia składane przez pracownika pracodawcy lub inne dokumenty lub rejestry zawierające informacje o stanie zdrowia muszą być przechowywane oddzielnie od innych danych osobowych dotyczących pracownika.

    Nadto organ ten uważa, że:

    ​​administrator danych nie podjął, zgodnie z art. 5 ust. 1 lit. d) RODO oraz art. 25 ust. 1 RODO skutecznych działań, że ​​dane osobowe przetwarzane w systemie MAPS są dokładne i wolne od błędów

    biorąc pod uwagę wagę naruszeń, sprawa nie stanowi drobnego naruszenia, o którym mowa w preambule 148 RODO i należy nałożyć administracyjną karę pieniężną

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram
    Wyszukiwarka 360 dni
    2365
     PLN z VAT
    • Baza Orzeczeń Sądów i Trybunałów
    • Eksperckie tezy wybranych orzeczeń
    • Decyzje Prezesa UODO
    • Decyzje Europejskich Organów Nadzorczych
    • Wytyczne i Opinie EDPB oraz EDPS
    • Źródło argumentów w postępowaniu administracyjnym
    Wybieram

    Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

    Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


      Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

      Wysokość administracyjnej kary pieniężnej została tak uzasadniona przez organ nadzorczy:

      obroty Viking Line Oy Abp w 2021 roku wyniosły 258 243 347,47 euro. w

      przedmiotowej sprawie administracyjna kara pieniężna nie może przekroczyć 20 000 000 euro.

      administrator nie przestrzegał art. 5 ust. 1 lit. d) RODO i art. 25 ust. 1 RODO. Należy zauważyć, że wbudowana i domyślna ochrona danych jest jednym z podstawowych elementów ogólnego rozporządzenia o ochronie danych, na którym zbudowana jest realizacja praktycznej ochrony danych.

      naruszenia administratora zostały zgłoszone organowi nadzorczemu w drodze skargi. Ważąc rozsądną sankcję, Rada ds. Sankcji wzięła pod uwagę fakt, że administrator odpowiedziała na prośby władz o wyjaśnienia w wyznaczonym terminie. Administrator współpracuje z biurem komisarza ds. ochrony danych. Skład orzekający nie uwzględnia jednak powyższego faktu jako okoliczności łagodzącej lub obciążającej przy szacowaniu kary pieniężnej.

      Zapisz się do newslettera
      X

      Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności