Prezes UODO: oprócz 100 000 kary nakaz dostosowania operacji przetwarzania
Nałożenia administracyjnej kary pieniężnej za ujawnienie informacji o tym, że pewien lekarz wystawił na swoje dane osobowe recepty spodziewał się każdy, kto zajmuje się prawem ochrony danych osobowych.
To wysokość tej kary była jedyną niewiadomą. Można było odnaleźć argumenty za tym, że ujawnienia danych osobowych dokonała osoba fizyczna tj. osoba pełniąca funkcję Ministra Zdrowia, co powodowałoby, że górna granica wymiaru administracyjnej kary pieniężnej wynosiłaby 20 000 000 euro oraz argumenty za tym, że do naruszenia doprowadził Minister Zdrowia tj. osoba kierująca określonym działem administracji rządowej (zob. art. 5 par 2 ust. 4 kpa).
Prezes UODO wybrał opcję numer dwa – w treści swojej decyzji wskazał, że to Minister Zdrowia jako administrator danych opublikował w serwisie społecznościowym wpis:
na temat lekarza, który wystawił receptę „pro auctore” na lek z grupy psychotropowych i przeciwbólowych, którego dotyczy rozporządzenie Ministra Zdrowia z dnia 12 lipca 2023 r. zmieniające rozporządzenie w sprawie środków odurzających, substancji psychotropowych, prekursorów kategorii 1 i preparatów zawierających te środki lub substancje (Dz. U. z 2023 r. poz. 1368)
Prezes UODO uzasadnił tak powyższe stanowisko:
administratorem danych osobowych lekarza, które zostały pozyskane z systemu […] wbrew wynikającym z tych przepisów celach (o czym bardziej szczegółowo będzie mowa w dalszej części niniejszej decyzji), a następnie opublikowane na platformie społecznościowej X (dawniej Twitter) jest Minister Zdrowia, a nie osoba fizyczna powołana na to stanowisko;
to bowiem Minister Zdrowia, w świetle ww. przepisów, został wyposażony w określone uprawnienia pozwalające mu na dostęp w ściśle zdefiniowanych przypadkach i w określonych celach do danych przetwarzanych w systemie […];
naruszenie tych zasad przy dostępie do danych osobowych nie może jednak powodować utraty przez Ministra Zdrowia statusu administratora i uznania za takiego administratora innego podmiotu (lub osoby).
W tym kontekście, dla uznania organu administracji publicznej, tj. Ministra Zdrowia, za administratora tych danych i adresata niniejszej decyzji, bez znaczenia pozostaje miejsce, w którym doszło do opublikowania danych osobowych lekarza, gdyż Minister Zdrowia nie miał podstaw do publikacji danych osobowych lekarza na jakimkolwiek profilu społecznościowym.
Warto też odnotować, że Prezes UODO widzi możliwość prowadzenia postępowania wobec osoby fizycznej sprawującej wówczas funkcję Ministra Zdrowia:
Ponadto należy zaznaczyć, iż rozstrzygnięcia zawarte w niniejszej decyzji nie wyczerpują wszystkich aspektów sprawy, a w szczególności nie przesądzają o braku osobistej odpowiedzialności osoby sprawującej funkcję Ministra Zdrowia za działania, których skutkiem było naruszenie ochrony danych osobowych lekarza, jego praw i wolności chronionych przepisami rozporządzenia 2016/679 oraz jego dóbr osobistych.
Poza innymi uprawnieniami lekarza leżącymi poza zakresem kompetencji Prezesa UODO (np. możliwością wystąpienia z roszczeniami cywilnoprawnymi), przysługuje mu bowiem jeszcze prawo złożenia do Prezesa UODO skargi na niezgodne z prawem przetwarzanie jego danych osobowych przez Ministra Zdrowia działającego „prywatnie” jako osoba fizyczna.
Newsletter
Wracając do samego postępowania w sprawie naruszenia danych to trzeba wskazać, że:
we wpisie znalazły się dane osobowe lekarza w postaci imienia i nazwiska, miejsca pracy oraz informacji o kategorii leku, na który została wystawiona recepta.
W związku z ww. wydarzeniem, w dniu 9 sierpnia 2023 r. do Prezesa Urzędu Ochrony Danych Osobowych, dalej Prezes UODO, wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Zdrowia, w którym wskazano na wystąpienie naruszenia ochrony danych osobowych przetwarzanych przy wykorzystaniu Elektronicznej Platformy […], o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2023 r. poz. 2465), zwanej dalej również „systemem […]”.
W zgłoszeniu Administrator potwierdził fakt uzyskania przez Ministra Zdrowia danych osobowych lekarza z systemu […] za pomocą osób upoważnionych do korzystania z ww. systemu.
Wskazano, iż Dyrektor Pionu […] w Ministerstwie Zdrowia, na ustne polecenie Ministra Zdrowia, wyznaczył pracownika, który odszyfrował w systemie […] receptę, na której znajdowały się dane osobowe lekarza, a następnie przekazał informacje, które się na niej znajdowały, Ministrowi Zdrowia.
Istotne jest też to, że:
dane osobowe lekarza pozyskane z systemu […] zostały przekazane Ministrowi Zdrowia za pośrednictwem komunikatora Whatsapp.
Na podstawie uzyskanych danych Prezes UODO w dniu 18 października 2023 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Ministra Zdrowia, jako administratora danych, przepisów art. 5 ust. 1 lit. a) i f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych lekarza poprzez ujawnienie na platformie społecznościowej X (dawniej Twitter) informacji przetwarzanych przez Administratora w systemie […]
Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
- Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
- Eksperckich tez wybranych orzeczeń
- Decyzji Polskiego Organu Nadzorczego
- Decyzji Europejskich Organów Nadzorczych
- Wytycznych i Opinii EDPB oraz EDPS
- Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Prezes UODO tak argumentuje nałożenia obowiązków na Ministerstwo Zdrowia:
nie ulega wątpliwości, że dane osobowe znajdujące się w tym systemie należą do szczególnych kategorii danych osobowych i jako takie podlegają szczególnej ochronie. Istotny jest również fakt, iż podmioty, które posiadają dostęp do tego systemu, zostały ściśle określone przepisami ustawy o systemie informacji w ochronie zdrowia (w art. 7 ust. 1) wraz z precyzyjnym wskazaniem celów, dla których taki dostęp mogą realizować, co stanowi o wadze przetwarzanych w nich danych i ma stanowić dodatkowe gwarancje dla tych danych. Przepisy te wykluczają zatem nie tylko bezpośredni dostęp osób nieuprawnionych do danych osobowych znajdujących się w systemie […], ale również ograniczają możliwość ich wykorzystania przez podmioty uprawnione w celach innych niż określone przepisami prawa.
w omawianym przypadku Minister Zdrowia dopuścił się pozyskania danych osobowych lekarza z systemu […] w celach niewynikających z ustawy o systemie informacji w ochronie zdrowia, a następnie ich publikacji na portalu społecznościowym X (dawniej Twitter).
podkreślić należy, że recepty „pro auctore” lekarz może wystawić na własne potrzeby, zatem, jak sama nazwa wskazuje, leki przepisywane przez lekarza za pomocą tej kategorii recept przeznaczone są do jego wyłącznego użytku.
dane dotyczące przepisanych za pomocą takiej recepty leków, jako że jednoznacznie mogą wskazywać na schorzenia, stanowią dane dotyczące zdrowia wystawiającego je lekarza, a zatem dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679. Ujawnienie danych dotyczących zdrowia, bez wątpienia godzi w prawo do prywatności lekarza, którego dane dotyczą.
Nadto organ nadzorczy stwierdził, że:
naruszenie przez Ministra Zdrowia art. 5 ust. 1 lit. a) rozporządzenia 2016/679 w związku z przetwarzaniem danych osobowych ww. osoby bez podstawy prawnej, a więc z naruszeniem art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679, a w konsekwencji art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady rozliczalności;
wrażliwość danych osobowych przetwarzanych w rejestrach publicznych, w tym w systemie […], determinuje obowiązek dla administratora danych wprowadzenia odpowiednich środków bezpieczeństwa, które nie tylko zapewnią ochronę dla tych danych osobowych, ale będą budować poczucie wśród społeczeństwa, że ich dane będą wykorzystywane wyłącznie w uzasadnionych i określonych przepisami prawa celach. W tym kontekście szczególnego znaczenia nabierają przede wszystkim środki bezpieczeństwa o charakterze organizacyjnym, gdyż to one mogą przeciwdziałać w pierwszej kolejności wszelkim nadużyciom i wykorzystywaniu danych zgromadzonych w rejestrach publicznych, w tym w systemie […], w celach niezgodnym ze wskazanymi w odpowiednich przepisach;
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
W zakresie wykorzystanego środka komunikacji organ nadzorczy wskazał, że:
ryzyko w tym zakresie dodatkowo zwiększa fakt wykorzystania do przekazania danych osobowych lekarza pozyskanych z systemu […] Ministrowi Zdrowia za pomocą komunikatora WhatsApp, którego to kanału przekazywania danych nie zidentyfikowano w przeprowadzonej analizie ryzyka. Wykorzystany przez Ministra Zdrowia środek przekazu nie może zostać uznany za taki, który może być stosowany do komunikowania się przez organy administracji publicznej z uwagi na wykazane naruszenia przepisów rozporządzenia 2016/679;
właściciel komunikatora WhatsApp w 2021 r. został ukarany przez irlandzki organ nadzorczy (Data Protection Comission, dalej DPC) administracyjną karą pieniężną w wysokości 225 mln euro za brak przejrzystości w przetwarzaniu danych osobowych, przejawiającą się między innymi brakiem wskazania, jakie dane osobowe i w jakich sytuacjach udostępniane są innym aplikacjom i innym podmiotom należącym do grupy kapitałowej Facebook (Meta);
stosunkowo niedawno, bo 12 stycznia 2023 r. WhatsApp Ireland Limited ponownie został ukarany przez DPC administracyjną karą pieniężną w wysokości 5,5 mln euro wraz z nakazem dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679[3], w następstwie wiążącej decyzji Europejskiej Rady Ochrony Danych (EROD) z dnia 5 grudnia 2022 r. wydanej na podstawie art. 63 oraz art. 65 rozporządzenia 2026/679 w ramach mechanizmu spójności, w związku z niedopełnieniem obowiązku w zakresie transparentności;
w decyzji DPC wskazał, że informacje dotyczące podstawy prawnej, na której oparł przetwarzanie WhatsApp IE, nie zostały jasno przedstawione użytkownikom, co spowodowało, że użytkownicy nie mieli wiedzy na temat tego, jakie operacje przetwarzania są prowadzone na ich danych osobowych oraz w jakim celu. EROD wydała postanowienie, na podstawie którego ustalono, iż utrzymane zostało stanowisko DPC jako organu wiodącego dotyczące naruszenia wymogów przejrzystości, tj. art. 5 ust. 1 lit a) rozporządzenia 2016/679.
Prezes UODO tak uzasadnił wysokość nałożonej administracyjnej kary pieniężnej:
odnosząc się do wysokości wymierzonej Ministrowi Zdrowia administracyjnej kary pieniężnej, wskazać należy, że – wobec faktu, iż Administrator jest jednostką sektora finansów publicznych, o której mowa w art. 9 pkt 1) ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r., poz. 1270 ze zm.) – zastosowanie znajdzie art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych;
zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca;
nałożona na Ministra Zdrowia administracyjna kara pieniężna będzie skuteczna, albowiem doprowadzi do stanu, w którym Administrator stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych, a także będzie przetwarzał dane przy wykorzystaniu systemu […] zgodnie z celami określonymi w ustawie o systemie informacji w ochronie zdrowia, co zapewni jednocześnie zgodność tych działań z przepisami prawa. Skuteczność tej kary równoważna jest zatem gwarancji tego, iż Minister Zdrowia od momentu zakończenia niniejszego postępowania będzie ze starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych;
zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza jego wagi, negatywnego skutku dla osoby dotkniętej ochroną danych osobowych oraz wysokiego ryzyka negatywnych konsekwencji jakie, w związku z naruszeniem polegającym na braku środków technicznych i organizacyjnych adekwatnych do ryzyka przetwarzania danych osobowych przy wykorzystaniu systemu […], mogą ponieść osoby, których dane w tym systemie są przetwarzane. Zdaniem Prezesa UODO, nałożona na Ministra Zdrowia administracyjna kara pieniężna nie jest dla niego nadmiernie dotkliwa, wobec ustawowego ograniczenia jej wysokości w przypadku jednostek sektora finansów publicznych. W szczególności jej zapłata nie wpłynie na zdolność Ministra Zdrowia do wywiązywania się przez niego z jego ustawowych zadań. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 100 000 złotych (słownie: stu tysięcy złotych) jest w pełni uzasadnione.