Prezes UODO: okolicznością łagodzącą jest przystąpienie do kodeksu postępowania
Fakt takiej przynależności miał pewne znaczenie dla wymiaru nałożonej przez organ administracyjnej kary pieniężnej.
W sprawie tej administrator zgłosił naruszenie ochrony danych osobowych dotyczące kradzieży auta wraz z dokumentacją medyczną pacjentów, którym lekarz udzielał porad domowych.
Takie zgłoszenie było impulsem dla organu nadzorczego do zbadania czy administrator danych przeprowadził analizę ryzyka, a jeśli tak to czy jej wyniki zostały odpowiednio zaimplementowane.
Co istotne Prezes UODO za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 32 832 zł.
Administrator przed naruszeniem ochrony danych osobowych przeprowadził analizę ryzyka mającą na celu dobór odpowiednich do ryzyka środków bezpieczeństwa. Jednak w ocenie Prezesa UODO analiza ta została przeprowadzona w sposób dowolny i nieprawidłowy. Mając na uwadze powyższe należy wyjaśnić, że Administrator w pkt (…) analizy ryzyka, zatytułowanym „(…)”, w której określił potencjalne negatywne skutki przetwarzania danych osobowych, naruszenie atrybutów danych osobowych podlegających ochronie w postaci poufności, dostępności i integralności ocenił na najwyższy możliwy poziom, jako „wysoki”. Uzasadniając taką ocenę Administrator wskazał m.in., że „naruszenie dostępności danych osobowych (np. przez kradzież papierowej dokumentacji medycznej […]) może mieć konsekwencje nie tylko dla bezpieczeństwa danych osobowych ale w skrajnych sytuacjach także dla zdrowia i życia pacjenta” oraz, że „naruszenie poufności dokumentacji medycznej bądź informacji medycznych może wywołać następujące negatywne skutki: naruszenie dobrego imienia osoby, której dane dotyczą (podmiotu danych), utrata poufności danych chronionych tajemnicą zawodową, utrata kontroli nad danymi osobowymi, kradzież tożsamości. Ze względu na to, że gros danych osobowych stanowią w tej sytuacji szczególne kategorie danych (informacje o stanie zdrowia), poziom należy ocenić jako wysoki”.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
zobowiązanie pracowników „do zachowania adekwatnych środków bezpieczeństwa” było jedynym określeniem w przeprowadzonej przed naruszeniem ochrony danych osobowych analizie ryzyka, które można próbować odnieść do środków bezpieczeństwa. Tym niemniej powyższe twierdzenie może jednak sugerować, że Administrator przeniósł odpowiedzialność za wdrożenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania odpowiednie do ryzyka na swoich pracowników. Choć rolą organu nadzorczego nie powinno być domyślanie się intencji Administratora w związku z przeprowadzoną analizą ryzyka, zwłaszcza w kontekście zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, to jednak z uwagi na duży stopień dobrowolności w jej przeprowadzeniu, w ocenie Prezesa UODO, należy również do tego się odnieść.
Administrator dopiero po wystąpieniu naruszenia ochrony danych osobowych zdecydował się na wprowadzenie organizacyjnych i technicznych środków bezpieczeństwa w postaci: zmiany procedur na wskazanie konkretnych zasad bezpieczeństwa, obowiązujących w razie konieczności transportu dokumentacji medycznej poza siedzibą Administratora (w szczególności w trakcie wizyt domowych), przeszkolenia pracowników z nowych obowiązujących procedur oraz zakup teczek zabezpieczonych zamkiem szyfrowym. Powyższe znalazło swoje odzwierciedlenie w przeprowadzonej 17 lutego 2022 r. ocenie skutków dla ochrony danych (przeprowadzonej wraz z analizą ryzyka z 17 lutego 2022 r.), gdzie w celu zminimalizowania ryzyka utraty kontroli nad danymi osobowymi i utraty poufności danych osobowych chronionych tajemnicą zawodową, zarekomendowano: przeszkolenie personelu i przypomnienie zasad dotyczących bezpieczeństwa danych, ze szczególnym uwzględnieniem aktualizacji polityki ochrony danych osobowych, obejmującej teraz zagadnienie związane z transportem dokumentacji medycznej.
W zakresie wymiaru administracyjnej kary pieniężnej warto podkreślić, że:
stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7, oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa;
Administracyjna kara pieniężna w wysokości 32 832 zł (słownie: trzydziestu dwóch tysięcy ośmiuset trzydziestu dwóch złotych) nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów rozporządzenia 2016/679, nie przekracza wysokości kary za najpoważniejsze stwierdzone w toku postępowania naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, które zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro lub w wysokości do 4% całkowitego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zob. pkt 65-66 i 67 uzasadnienia niniejszej decyzji).
Nie bez znaczenia jest charakter prowadzonej działalności Administratora polegającej na udzielaniu świadczeń zdrowotnych, gdzie zapewnienie poufności przetwarzanych danych osobowych zostało podniesione do rangi tajemnicy lekarskiej, a sama utrata dostępu do danych osobowych może powodować ryzyka związane z brakiem możliwości lub utrudnieniem udzielenia świadczenia zdrowotnego, w wymagany niezwłoczny sposób. Są to kryteria, które wpływają na powagę naruszenia przepisów dotyczących zabezpieczenia danych.
Prezes UODO w niniejszej sprawie za okoliczności łagodzące uznał stopień współpracy Administratora w celu usunięcia naruszenia (art. 83 ust. 2 lit. f) rozporządzenia 2016/679) oraz – jako „inny czynnik łagodzący” – przystąpienie przez Administratora do „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki odnoszące się do strony podmiotowej naruszenia – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowych okoliczności łagodzących, Prezes UODO, oceniając ich wpływ na stwierdzone naruszenie, uznał za zasadne zmniejszenie o 60% ustalonej wyżej kwoty kary (zob. pkt 90 uzasadnienia niniejszej decyzji) – do kwoty 7 800 euro (równowartość 32 832 zł).
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO