Finlandia: 230 000 euro kary za przetwarzanie danych medyczycznych

Finlandzki organ nadzorczy wydał, w grudniu 2022 r. decyzję nakładającą na administratora danych administracyjną karę pieniężną w wysokości 230 000 euro. 

Administrator – spółka zarządzająca promami pasażerskimi – prowadzi system MAPS.

System ten zawiera dane osobowe około 6000 byłych i obecnych pracowników. Na wszystkich statkach administratora wprowadzany jest nowy system do zarządzania informacjami o przyczynach nieobecności, w tym informacjami o zwolnieniach lekarskich.

Dodatkowo system MAPS zawiera informacje o nieobecnościach pracowników m.in. absencji chorobowych wraz z datami i kodami diagnoz ICD, na podstawie których ustalana jest płatna nieobecność.

Według administratora uzasadnieniem przetwarzania takich danych było stwierdzenie, że nie wszystkie nieobecności są płatne dla pracowników, dlatego pracodawca musi w pewnym zakresie przetwarzać informacje o przyczynach absencji chorobowej, aby zagwarantować prawidłowość wypłaty wynagrodzenia.

Oprócz kodów system zawiera również informacje o diagnozach.

Według raportu kody diagnostyczne ICD i informacje diagnostyczne zostały usunięte z systemu w latach 2018–2019. Te informacje nie są już zawarte w systemie. W systemie MAPS przechowywane są informacje związane ze stosunkiem pracy, takie jak nazwiska i dane kontaktowe pracowników, informacje o statusie umów o pracę, informacje o kwalifikacjach, informacje o odbytych szkoleniach, informacje o wypłacie wynagrodzeń i kosztach opieki medycznej. W systemie MAPS znalazły się również informacje o nieobecnościach pracowników, m.in. absencji chorobowych z datami i kodami diagnoz ICD.

System obecnie przechowuje tylko informacje o okresie zwolnienia lekarskiego oraz informacje na temat tego czy jest to płatna czy bezpłatna nieobecność lub np. urlop rodzinny.

Administrator ocenił, że ​​rejestrowanie kodów ICD diagnoz nie jest konieczne, biorąc pod uwagę przeznaczenie systemu.

Jeden z pracowników zwrócił się do administratora o dostęp do swoich danych osobowych. Zażądał on także, informacji z systemu MAPS dotyczące informacji o jego zwolnieniach lekarskich i informacji diagnostycznych

Administrator nie udostępnił  żądanych informacji. Przedstawił za to uzasadnienie dla przetwarzania takich informacji. 

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Administrator, w odpowiedzi na żądanie organu nadzorczego, wskazywał, że:

tylko te osoby, które na podstawie tych informacji przygotowują lub podejmują decyzje dotyczące stosunku pracy lub realizują takie decyzje, przetwarzały informacje dotyczące stanu zdrowia. Zgłoszono, że takimi osobami są dwaj sekretarze personalni. Pracodawca odrębnie określił, że do zadań tych osób należy przetwarzanie informacji o stanie zdrowia.

osoby te są zobowiązane do zachowania poufności zarówno w trakcie zatrudnienia, jak i po jego zakończeniu.

Organ nadzorczy stwierdził, że:

​​pracodawca ma prawo np. przetwarzać w swoich systemach zarządzania personelem informacje o tym, kiedy i jak długo pracownik był nieobecny w pracy z powodu choroby (dopuszczalny powód, wypłata wynagrodzenia chorobowego ). Jednak w powiązaniu z systemem zarządzania personelem nie powinny być przechowywane informacje o przyczynie absencji chorobowej, np. choroby, urazy, ich jakość czy informacje diagnostyczne

zaświadczenia lekarskie lub oświadczenia składane przez pracownika pracodawcy lub inne dokumenty lub rejestry zawierające informacje o stanie zdrowia muszą być przechowywane oddzielnie od innych danych osobowych dotyczących pracownika.

Nadto organ ten uważa, że:

​​administrator danych nie podjął, zgodnie z art. 5 ust. 1 lit. d) RODO oraz art. 25 ust. 1 RODO skutecznych działań, że ​​dane osobowe przetwarzane w systemie MAPS są dokładne i wolne od błędów

biorąc pod uwagę wagę naruszeń, sprawa nie stanowi drobnego naruszenia, o którym mowa w preambule 148 RODO i należy nałożyć administracyjną karę pieniężną

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Wysokość administracyjnej kary pieniężnej została tak uzasadniona przez organ nadzorczy:

obroty Viking Line Oy Abp w 2021 roku wyniosły 258 243 347,47 euro. w

przedmiotowej sprawie administracyjna kara pieniężna nie może przekroczyć 20 000 000 euro.

administrator nie przestrzegał art. 5 ust. 1 lit. d) RODO i art. 25 ust. 1 RODO. Należy zauważyć, że wbudowana i domyślna ochrona danych jest jednym z podstawowych elementów ogólnego rozporządzenia o ochronie danych, na którym zbudowana jest realizacja praktycznej ochrony danych.

naruszenia administratora zostały zgłoszone organowi nadzorczemu w drodze skargi. Ważąc rozsądną sankcję, Rada ds. Sankcji wzięła pod uwagę fakt, że administrator odpowiedziała na prośby władz o wyjaśnienia w wyznaczonym terminie. Administrator współpracuje z biurem komisarza ds. ochrony danych. Skład orzekający nie uwzględnia jednak powyższego faktu jako okoliczności łagodzącej lub obciążającej przy szacowaniu kary pieniężnej.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności