32 832 zł kary dla Niepublicznego Zakładu Opieki Zdrowotnej za naruszenie RODO
Prezes Urzędu Ochrony Danych Osobowych, decyzją z dnia 4 lipca 2025 r., nałożył administracyjną karę pieniężną na Niepubliczny Zakład Opieki Zdrowotnej. Naruszenie polegało na:
- nieprzeprowadzeniu analizy ryzyka dla czynności przetwarzania danych osobowych pacjentów, odnoszących się do wizyt domowych;
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewniłyby bezpieczeństwo przetwarzania danych osobowych pacjentów, co doprowadziło do naruszenia zasady integralności i poufności oraz zasady rozliczalności.
Na nieprawidłowości w postępowaniu z dokumentacją medyczną, odnoszącą się do wizyt domowych, zwrócono uwagę Administratorowi kilka lat wcześniej po przeprowadzeniu audytów wewnętrznych. Zalecenia po kontrolach nie zostały jednak wdrożone w placówce.
W obowiązującej od 2021 r. „Polityce bezpieczeństwa” oraz „Zasadach ochrony danych osobowych” także zwracano uwagę na konieczność właściwego zabezpieczenia dokumentacji papierowej. Nie opracowano jednak procedur, odnoszących się do zasad przewożenia dokumentacji medycznej prywatnym autem pracownika, zarówno w zakresie postępowania z dokumentami, jak i sposobów jej zabezpieczenia. W sierpniu 2021 r. doszło do kradzieży prywatnego samochodu pracownika Administratora, w którym znajdowała się dokumentacja medyczna pacjentów, w tym dzieci. Efektem było naruszenie ochrony danych osobowych.
Decyzja nie jest prawomocna.
Jaka nauka płynie z powyższej historii? Zalecenia po audytach są po to, aby je zaimplementować i uniknąć lub przynajmniej zminimalizować wystąpienie nieprzyjemnych sytuacji w przyszłości.
