To wysokość tej kary była jedyną niewiadomą. Można było odnaleźć argumenty za tym, że ujawnienia danych osobowych dokonała osoba fizyczna tj. osoba pełniąca funkcję Ministra Zdrowia, co powodowałoby, że górna granica wymiaru administracyjnej kary pieniężnej wynosiłaby 20 000 000 euro oraz argumenty za tym, że do naruszenia doprowadził Minister Zdrowia tj. osoba kierująca określonym działem administracji rządowej (zob. art. 5 par 2 ust. 4 kpa).
Prezes UODO wybrał opcję numer dwa – w treści swojej decyzji wskazał, że to Minister Zdrowia jako administrator danych opublikował w serwisie społecznościowym wpis:
na temat lekarza, który wystawił receptę „pro auctore” na lek z grupy psychotropowych i przeciwbólowych, którego dotyczy rozporządzenie Ministra Zdrowia z dnia 12 lipca 2023 r. zmieniające rozporządzenie w sprawie środków odurzających, substancji psychotropowych, prekursorów kategorii 1 i preparatów zawierających te środki lub substancje (Dz. U. z 2023 r. poz. 1368)
administratorem danych osobowych lekarza, które zostały pozyskane z systemu […] wbrew wynikającym z tych przepisów celach (o czym bardziej szczegółowo będzie mowa w dalszej części niniejszej decyzji), a następnie opublikowane na platformie społecznościowej X (dawniej Twitter) jest Minister Zdrowia, a nie osoba fizyczna powołana na to stanowisko;
to bowiem Minister Zdrowia, w świetle ww. przepisów, został wyposażony w określone uprawnienia pozwalające mu na dostęp w ściśle zdefiniowanych przypadkach i w określonych celach do danych przetwarzanych w systemie […];
naruszenie tych zasad przy dostępie do danych osobowych nie może jednak powodować utraty przez Ministra Zdrowia statusu administratora i uznania za takiego administratora innego podmiotu (lub osoby).
W tym kontekście, dla uznania organu administracji publicznej, tj. Ministra Zdrowia, za administratora tych danych i adresata niniejszej decyzji, bez znaczenia pozostaje miejsce, w którym doszło do opublikowania danych osobowych lekarza, gdyż Minister Zdrowia nie miał podstaw do publikacji danych osobowych lekarza na jakimkolwiek profilu społecznościowym.
Ponadto należy zaznaczyć, iż rozstrzygnięcia zawarte w niniejszej decyzji nie wyczerpują wszystkich aspektów sprawy, a w szczególności nie przesądzają o braku osobistej odpowiedzialności osoby sprawującej funkcję Ministra Zdrowia za działania, których skutkiem było naruszenie ochrony danych osobowych lekarza, jego praw i wolności chronionych przepisami rozporządzenia 2016/679 oraz jego dóbr osobistych.
Poza innymi uprawnieniami lekarza leżącymi poza zakresem kompetencji Prezesa UODO (np. możliwością wystąpienia z roszczeniami cywilnoprawnymi), przysługuje mu bowiem jeszcze prawo złożenia do Prezesa UODO skargi na niezgodne z prawem przetwarzanie jego danych osobowych przez Ministra Zdrowia działającego „prywatnie” jako osoba fizyczna.
we wpisie znalazły się dane osobowe lekarza w postaci imienia i nazwiska, miejsca pracy oraz informacji o kategorii leku, na który została wystawiona recepta.
W związku z ww. wydarzeniem, w dniu 9 sierpnia 2023 r. do Prezesa Urzędu Ochrony Danych Osobowych, dalej Prezes UODO, wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Zdrowia, w którym wskazano na wystąpienie naruszenia ochrony danych osobowych przetwarzanych przy wykorzystaniu Elektronicznej Platformy […], o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2023 r. poz. 2465), zwanej dalej również „systemem […]”.
W zgłoszeniu Administrator potwierdził fakt uzyskania przez Ministra Zdrowia danych osobowych lekarza z systemu […] za pomocą osób upoważnionych do korzystania z ww. systemu.
Wskazano, iż Dyrektor Pionu […] w Ministerstwie Zdrowia, na ustne polecenie Ministra Zdrowia, wyznaczył pracownika, który odszyfrował w systemie […] receptę, na której znajdowały się dane osobowe lekarza, a następnie przekazał informacje, które się na niej znajdowały, Ministrowi Zdrowia.
dane osobowe lekarza pozyskane z systemu […] zostały przekazane Ministrowi Zdrowia za pośrednictwem komunikatora Whatsapp.
Na podstawie uzyskanych danych Prezes UODO w dniu 18 października 2023 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Ministra Zdrowia, jako administratora danych, przepisów art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych lekarza poprzez ujawnienie na platformie społecznościowej X (dawniej Twitter) informacji przetwarzanych przez Administratora w systemie […]
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Prezes UODO tak argumentuje nałożenia obowiązków na Ministerstwo Zdrowia:
nie ulega wątpliwości, że dane osobowe znajdujące się w tym systemie należą do szczególnych kategorii danych osobowych i jako takie podlegają szczególnej ochronie. Istotny jest również fakt, iż podmioty, które posiadają dostęp do tego systemu, zostały ściśle określone przepisami ustawy o systemie informacji w ochronie zdrowia (w art. 7 ust. 1) wraz z precyzyjnym wskazaniem celów, dla których taki dostęp mogą realizować, co stanowi o wadze przetwarzanych w nich danych i ma stanowić dodatkowe gwarancje dla tych danych. Przepisy te wykluczają zatem nie tylko bezpośredni dostęp osób nieuprawnionych do danych osobowych znajdujących się w systemie […], ale również ograniczają możliwość ich wykorzystania przez podmioty uprawnione w celach innych niż określone przepisami prawa.
w omawianym przypadku Minister Zdrowia dopuścił się pozyskania danych osobowych lekarza z systemu […] w celach niewynikających z ustawy o systemie informacji w ochronie zdrowia, a następnie ich publikacji na portalu społecznościowym X (dawniej Twitter).
podkreślić należy, że recepty „pro auctore” lekarz może wystawić na własne potrzeby, zatem, jak sama nazwa wskazuje, leki przepisywane przez lekarza za pomocą tej kategorii recept przeznaczone są do jego wyłącznego użytku.
dane dotyczące przepisanych za pomocą takiej recepty leków, jako że jednoznacznie mogą wskazywać na schorzenia, stanowią dane dotyczące zdrowia wystawiającego je lekarza, a zatem dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Ujawnienie danych dotyczących zdrowia, bez wątpienia godzi w prawo do prywatności lekarza, którego dane dotyczą.
naruszenie przez Ministra Zdrowia art. 5 ust. 1 lit. a) rozporządzenia 2016/679 w związku z przetwarzaniem danych osobowych ww. osoby bez podstawy prawnej, a więc z naruszeniem art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679, a w konsekwencji art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady rozliczalności;
wrażliwość danych osobowych przetwarzanych w rejestrach publicznych, w tym w systemie […], determinuje obowiązek dla administratora danych wprowadzenia odpowiednich środków bezpieczeństwa, które nie tylko zapewnią ochronę dla tych danych osobowych, ale będą budować poczucie wśród społeczeństwa, że ich dane będą wykorzystywane wyłącznie w uzasadnionych i określonych przepisami prawa celach. W tym kontekście szczególnego znaczenia nabierają przede wszystkim środki bezpieczeństwa o charakterze organizacyjnym, gdyż to one mogą przeciwdziałać w pierwszej kolejności wszelkim nadużyciom i wykorzystywaniu danych zgromadzonych w rejestrach publicznych, w tym w systemie […], w celach niezgodnym ze wskazanymi w odpowiednich przepisach;
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
ryzyko w tym zakresie dodatkowo zwiększa fakt wykorzystania do przekazania danych osobowych lekarza pozyskanych z systemu […] Ministrowi Zdrowia za pomocą komunikatora WhatsApp, którego to kanału przekazywania danych nie zidentyfikowano w przeprowadzonej analizie ryzyka. Wykorzystany przez Ministra Zdrowia środek przekazu nie może zostać uznany za taki, który może być stosowany do komunikowania się przez organy administracji publicznej z uwagi na wykazane naruszenia przepisów rozporządzenia 2016/679;
właściciel komunikatora WhatsApp w 2021 r. został ukarany przez irlandzki organ nadzorczy (Data Protection Comission, dalej DPC) administracyjną karą pieniężną w wysokości 225 mln euro za brak przejrzystości w przetwarzaniu danych osobowych, przejawiającą się między innymi brakiem wskazania, jakie dane osobowe i w jakich sytuacjach udostępniane są innym aplikacjom i innym podmiotom należącym do grupy kapitałowej Facebook (Meta);
stosunkowo niedawno, bo 12 stycznia 2023 r. WhatsApp Ireland Limited ponownie został ukarany przez DPC administracyjną karą pieniężną w wysokości 5,5 mln euro wraz z nakazem dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679[3], w następstwie wiążącej decyzji Europejskiej Rady Ochrony Danych (EROD) z dnia 5 grudnia 2022 r. wydanej na podstawie art. 63 oraz art. 65 rozporządzenia 2026/679 w ramach mechanizmu spójności, w związku z niedopełnieniem obowiązku w zakresie transparentności;
w decyzji DPC wskazał, że informacje dotyczące podstawy prawnej, na której oparł przetwarzanie WhatsApp IE, nie zostały jasno przedstawione użytkownikom, co spowodowało, że użytkownicy nie mieli wiedzy na temat tego, jakie operacje przetwarzania są prowadzone na ich danych osobowych oraz w jakim celu. EROD wydała postanowienie, na podstawie którego ustalono, iż utrzymane zostało stanowisko DPC jako organu wiodącego dotyczące naruszenia wymogów przejrzystości, tj. art. 5 ust. 1 lit a) rozporządzenia 2016/679.
odnosząc się do wysokości wymierzonej Ministrowi Zdrowia administracyjnej kary pieniężnej, wskazać należy, że – wobec faktu, iż Administrator jest jednostką sektora finansów publicznych, o której mowa w art. 9 pkt 1) ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r., poz. 1270 ze zm.) – zastosowanie znajdzie art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych;
zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca;
nałożona na Ministra Zdrowia administracyjna kara pieniężna będzie skuteczna, albowiem doprowadzi do stanu, w którym Administrator stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych, a także będzie przetwarzał dane przy wykorzystaniu systemu […] zgodnie z celami określonymi w ustawie o systemie informacji w ochronie zdrowia, co zapewni jednocześnie zgodność tych działań z przepisami prawa. Skuteczność tej kary równoważna jest zatem gwarancji tego, iż Minister Zdrowia od momentu zakończenia niniejszego postępowania będzie ze starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych;
zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza jego wagi, negatywnego skutku dla osoby dotkniętej ochroną danych osobowych oraz wysokiego ryzyka negatywnych konsekwencji jakie, w związku z naruszeniem polegającym na braku środków technicznych i organizacyjnych adekwatnych do ryzyka przetwarzania danych osobowych przy wykorzystaniu systemu […], mogą ponieść osoby, których dane w tym systemie są przetwarzane. Zdaniem Prezesa UODO, nałożona na Ministra Zdrowia administracyjna kara pieniężna nie jest dla niego nadmiernie dotkliwa, wobec ustawowego ograniczenia jej wysokości w przypadku jednostek sektora finansów publicznych. W szczególności jej zapłata nie wpłynie na zdolność Ministra Zdrowia do wywiązywania się przez niego z jego ustawowych zadań. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 100 000 złotych (słownie: stu tysięcy złotych) jest w pełni uzasadnione.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.