Szkolenia online SPZOZ w nowej rzeczywistości: skuteczne narzędzia naprawcze po uchwale SN 16.07.2026 r., godz. 12:00
Zmień język strony
Zmień język strony
Prawo.pl

Szpital musi sprawdzić zewnętrzny podmiot pod kątem RODO

Jak poinformował urząd, Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, nałożył upomnienie na szpital specjalistyczny w Sosnowcu za brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji bezpieczeństwa przetwarzania danych osobowych zgodnego z RODO. Administrator został upomniany również za to, że nie przeprowadził właściwej analizy ryzyka przetwarzania danych osobowych za pomocą poczty elektronicznej.

rodo pielegniarka dokumenty akta pacjenta
Źródło: iStock

W komunikacie przekazano, że sprawa rozpoczęła się w 2021 r., gdy osoba nieuprawniona uzyskała dostęp do poczty elektronicznej administratora utrzymywanej na serwerach zewnętrznego dostawcy usługi – w tym przypadku podmiotu przetwarzającego. Na skutek włamania do poczty elektronicznej osoba nieuprawniona pobrała z niej całą jej zawartość, w tym dane osobowe 224 osób.

Brak działań dla minimalizacji ryzyka 

Po otrzymaniu zgłoszenia naruszenia ochrony danych osobowych prezes UODO przeanalizował okoliczności sprawy, w tym sposób realizacji obowiązków administratora, m.in. w zakresie właściwego zabezpieczania danych. Na podstawie uzyskanych wyjaśnień organ nadzorczy wszczął postępowanie administracyjne w celu ustalenia, czy administrator oraz podmiot przetwarzający naruszyli swoje obowiązki wynikające z przepisów o ochronie danych osobowych. Podmiot przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymogi RODO oraz uzyskał stosowną certyfikację ISO/IEC 27001 w zakresie bezpieczeństwa informacji. Oświadczył także, że stosowane przez niego środki techniczne i organizacyjne są adekwatne do rodzaju powierzonych mu danych osobowych.

Przed incydentem naruszenia ochrony danych osobowych, zgłoszonym następnie prezesowi UODO, administrator przeprowadził analizę ryzyka. Nie podjął jednak działań mających na celu minimalizację ryzyka, w tym nawet tych określonych w przeprowadzonej analizie. Prezes UODO stwierdził, iż administrator nie zastosował się do własnej procedury oceny ryzyka przy wyborze podmiotu przetwarzającego. Natomiast podmiot przetwarzający, jak wykazano, nie przeprowadzał analizy ryzyka w celu zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych. O niezgodności z RODO stanowił brak możliwości zapewnienia gwarancji - wdrożenia odpowiednich środków technicznych i organizacyjnych.

Jak przypomniano, zgodnie z art. 28 ust. 1 administrator jest zobowiązany do korzystania jedynie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Obowiązek ten dotyczy zarówno starannego wyboru podmiotu przetwarzającego przez administratora, jak i weryfikowania w odpowiednich odstępach czasu dawanych przez niego gwarancji – np. za pomocą audytów lub inspekcji. Administrator jest również zobowiązany do wykazania (w tym posiadania materialnych dowodów), że wyboru podmiotu przetwarzającego dokonano z należytą starannością, w sposób świadomy i zgodny z prawem.

Prezes UODO udzielił upomnień administratorowi i podmiotowi przetwarzającemu, ponieważ przeprowadzone postępowanie administracyjne wykazało, że naruszyli przepisy o ochronie danych osobowych. W przypadku administratora stwierdzone niezgodności z RODO skutkowały w konsekwencji naruszeniem zasad poufności oraz rozliczalności. Podmiot przetwarzający został upomniany za brak wdrożenia środków zapewniających bezpieczeństwo przetwarzania danych osobowych i ochronę praw osób, których te dane dotyczą.

----------------------------------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.

 

Polecamy książki prawnicze o tematyce zdrowotnej