Jak wyjaśniono w komunikacie UODO, centrum medyczne zajmujące się m.in. leczeniem niepłodności przesłało potwierdzenie realizacji zwrotnego przelewu, w którego tytule wskazana była nazwa badania genetycznego wykonanego innej osobie, także pacjentce Centrum (o tym samym imieniu). Dokument zawierał dane osobowe: imię, nazwisko, numer rachunku bankowego, adres. Była tam też kwota przelewu oraz nazwa wykonanego badania ujawniająca, że jest ono elementem rozbudowanej diagnostyki prenatalnej.

Błędna ocena konsekwencji 

W toku postępowania przed prezesem UODO okazało się, że incydent był skutkiem pomyłki pracownika. Administrator danych uznał jednak, że zdarzenie nie wiązało się z możliwością naruszenia praw lub wolności osób fizycznych – w związku z czym odstąpił od zgłoszenia naruszenia do prezesa UODO. Sama pacjentka dowiedziała się o zdarzeniu od innej pacjentki placówki.

Jak wyjaśnia UODO, w sprawie kluczowa jest ocena, czy zaistniała sytuacja skutkuje możliwością powstania ryzyka naruszenia praw lub wolności osób fizycznych. RODO nakazuje, przy ocenie tego ryzyka, stosowanie trzystopniowej skali.

• Naruszenia nie trzeba zgłaszać do prezesa UODO, a jedynie je udokumentować, gdy wykluczone zostało prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych. Taka sytuacja ma jednak miejsce, gdy choć do incydentu doszło, to nie ma ryzyka dla zaistnienia jego skutków (RODO w wersji anglojęzycznej używa słowa „unlikely”, które ma silniejsze znaczenie niż polskie „mało prawdopodobne” i służy do określenia czegoś, co jest raczej nieprawdopodobne lub niemal niemożliwe).
• Jeśli ryzyka nie można uznać za pomijalne (zmaterializowanie się określonych zagrożeń jest prawdopodobne), obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych prezesowi UODO oraz umieszczenie stosownego wpisu w wewnętrznej ewidencji naruszeń.
• Stwierdzenie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), jak również wobec osób, których dane dotyczą (zawiadomienie ich o naruszeniu ochrony danych osobowych).

W przypadku błędnie wysłanego potwierdzenia realizacji zwrotnego przelewu, zdaniem prezesa UODO, administrator źle ocenił sytuację. Incydent stanowił bowiem naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Zawarte w potwierdzeniu przelewu informacje pozwalają bowiem na wyciągnięcie wniosków na temat stanu zdrowia podmiotów danych. Tym samym generują ryzyko konkretnych, negatywnych konsekwencji – w postaci możliwości naruszenia ich dóbr osobistych lub dyskryminacji. Skoro ryzyko jest wysokie, konieczne było powiadomienie prezesa UODO oraz osób, których dane dotyczą.

W decyzji prezes UODO wskazuje, że zgłaszanie naruszeń ochrony danych osobowych przez administratorów jest skutecznym narzędziem poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie, administratorzy informują organ nadzorczy, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W określonych przypadkach mogą również wskazywać na brak wymogu zawiadomienia, z uwagi na szczególne okoliczności przewidziane w art. 34 ust. 3 RODO. Stanowisko administratora w podanym zakresie podlega weryfikacji PUODO. Warto podkreślić, że notyfikacja incydentu i kontrola prawidłowości obsługi zdarzenia dokonywana przez PUODO służy w równym stopniu interesom administratora, jak i podmiotów danych – przyczyniając się do prawidłowej realizacji omawianych obowiązków administratora oraz ochrony praw i wolności podmiotów danych.

Czytaj również: Lekarzowi ukradli auto, w środku była dokumentacja pacjentów. Szpital ukarany przez UODO