Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Gyncentrum karę 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto, spółka nie zawiadomiła osób, których dane dotyczą, bez zbędnej zwłoki o incydencie.
Z informacji prasowej UODO wynika, że centrum medyczne zajmujące się m.in. leczeniem niepłodności przesłało potwierdzenie realizacji zwrotnego przelewu w tytule którego wskazana była nazwa badania genetycznego innej osobie, także pacjentce Centrum. Dokument zawierał dane osobowe: imię, nazwisko, numer rachunku bankowego, adres. Była tam też kwota przelewu oraz nazwa wykonanego badania ujawniająca, że jest ono elementem rozbudowanej diagnostyki prenatalnej. Incydent był skutkiem pomyłki pracownika. Sama pacjentka dowiedziała się o zdarzeniu od innej pacjentki Centrum. Administrator danych uznał jednak, że zdarzenie nie wiązało się z możliwością naruszenia praw lub wolności osób fizycznych – w związku z czym odstąpił od zgłoszenia naruszenia do Prezesa UODO.
W tej sytuacji podmiot leczniczy powinien zamieścić wpis w ewidencji naruszeń, zgłosić naruszenie ochrony danych osobowych do UODO, jak również wobec osób, których dane dotyczą (zawiadomienie ich o naruszeniu ochrony danych osobowych).
“Incydent stanowił naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Zawarte w potwierdzeniu przelewu informacje pozwalają bowiem na wyciągnięcie wniosków na temat stanu zdrowia podmiotów danych. Tym samym generują ryzyko konkretnych, negatywnych konsekwencji – w postaci możliwości naruszenia ich dóbr osobistych lub dyskryminacji.”- stwierdził UODO.
Przeczytaj także: Interesariusze polskiego systemu ochrony zdrowia reagują na brakujące miliardy złotych na ochronę zdrowia
Źródło: UODO
