Sprawa ukarania Ministra Zdrowia za naruszenie ochrony danych osobowych związane z ujawnieniem danych szczególnych kategorii dotyczących stanu zdrowia jednego z lekarzy z pewnością jest Państwu znana, gdyż była bezprecedensowa, nie mająca miejsca w dotychczasowej historii ochrony danych osobowych. Organ odpowiedzialny za poprawne funkcjonowanie systemu ochrony zdrowia w Polsce dopuścił się bezpardonowego złamania podstawowych i zasadniczych regulacji w zakresie ochrony danych osobowych przy okazji mając za nic prywatności osoby fizycznej, której dane przetwarzał w nieuprawniony sposób. Rodzi się tutaj podstawowe pytanie w zakresie zaufania obywateli RP do organu, który z natury rzeczy powinien chronić ich dane osobowe dotyczące ich stanu zdrowia przez nieuprawnionym dostępem osób trzecich. No cóż w niniejszej sytuacji nie mogło się stać nic gorszego dla zaufania jakim powinien się szczycić Minister Zdrowia. Z pewnością organ ten będzie musiał podjąć próbę odbudowy utraconego zaufania, co mając na uwadze różne inne problemy w obszarze, którym zarządza, nie wydaje się wcale takie oczywiste, że zakończy się sukcesem.
Zatem przechodząc do kwestii bardziej merytorycznych, 20 grudnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) wydał decyzję DKN.5131.32.2023 stwierdzającą naruszenie przez Ministra Zdrowia szeregu przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO). Między innymi organ nadzorczy zauważył:
- Naruszenie art. 6 ust. 1 oraz art. 9 ust. 1 polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii, poprzez ich pozyskanie z Elektronicznej Platformy […], o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2023 r. poz. 2465), oraz opublikowanie na platformie społecznościowej X (dawniej Twitter) bez podstawy prawnej, co skutkowało naruszeniem zasad zgodności z prawem, rzetelności i przejrzystości, określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679), zasady integralności i poufności, wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679;
- Naruszenie art. 24 ust. 1, art. 25 ust 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy wykorzystaniu Elektronicznej Platformy […], o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2023 r. poz. 2465), w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym, co skutkowało naruszeniem zasad integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679);
- Naruszenie art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, polegające na nieprzedstawieniu osobie, której dane naruszono w sposób określony w pkt. a), informacji, o których mowa w art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, to jest opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków;
Idąc dalej organ nadzorczy wymierzył Ministrowi Zdrowia administracyjną karę finansową w wysokości 100 000 złotych, a następnie nakazał mu następujące czynności:
- w terminie 30 dni od dnia doręczenia decyzji wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych przy wykorzystaniu Elektronicznej Platformy […], o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2023 r. poz. 2465), w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;
- zawiadomienie, w terminie 3 dni od dnia doręczenia decyzji, osoby, której dane zostały ujawnione na platformie społecznościowej X (dawniej Twitter), o naruszeniu ochrony danych osobowych w celu przekazania jej informacji określonych w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, tj.:
-opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
-opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Należy tutaj zaznaczyć, że kara w wysokości 100 000 zł miała wymiar maksymalny, jeżeli chodzi o podmiot publiczny, co też stanowi o wadze naruszenia. Prezes UODO informując o nałożeniu kary wskazał także, że jest ona nałożona na Ministra Zdrowia jako organ, gdyż to on jest administratorem ujawnionych danych osobowych, zatem Pan Adam Niedzielski jako ówczesny pełniący funkcję ministra nie będzie tutaj stroną. Aczkolwiek, Pan Niedzielski może zostać pociągnięty przez pokrzywdzonego lekarza do odpowiedzialności cywilnej przed sądem cywilnym, jak również osoba której dane zostały naruszone może złożyć do Prezesa UODO skargę na Pana Adama Niedzielskiego jako działającego w rzeczonej sprawie jako osoba fizyczna. Zdaniem Prezesa UODO Minister Zdrowia nie miał prawa publikować danych osobowych lekarza, gdyż był on uprawniony do przetwarzania tychże danych osobowych jedynie w celach wskazanych w ustawie o systemie informacji o ochronie zdrowia, a tam nie ma żadnych informacji o publikowaniu danych osobowych w serwisach społecznościowych.
Dodatkowo Prezes UODO wskazał, że postępowanie dotyczyło naruszenia ochrony danych osobowych także w związku z naruszeniem zasad bezpieczeństwa związanych z pozyskaniem ujawnionych danych z ministerialnego systemu oraz sposobu ich przekazania Ministrowi Zdrowia.
Mianowicie Prezes UODO podkreślił, że przekazanie danych pozyskanych z rejestru ministerstwa nastąpiło przy pomocy komunikatora WhatsApp. Zdaniem Prezesa UODO było to postępowanie godzące w bezpieczeństwo naruszonych danych, które mogło dodatkowo prowadzić do utraty kontroli nad danymi osobowymi lekarza: „[…] Ryzyko w tym zakresie dodatkowo zwiększa fakt wykorzystania do przekazania danych osobowych lekarza pozyskanych z systemu […] Ministrowi Zdrowia za pomocą komunikatora WhatsApp, którego to kanału przekazywania danych nie zidentyfikowano w przeprowadzonej analizie ryzyka. Wykorzystany przez Ministra Zdrowia środek przekazu nie może zostać uznany za taki, który może być stosowany do komunikowania się przez organy administracji publicznej z uwagi na wykazane naruszenia przepisów rozporządzenia 2016/679. Właściciel komunikatora WhatsApp w 2021 r. został ukarany przez irlandzki organ nadzorczy (Data Protection Comission, dalej DPC) administracyjną karą pieniężną w wysokości 225 mln euro za brak przejrzystości w przetwarzaniu danych osobowych, przejawiającą się między innymi brakiem wskazania, jakie dane osobowe i w jakich sytuacjach udostępniane są innym aplikacjom i innym podmiotom należącym do grupy kapitałowej Facebook (Meta) […] Finalnie stwierdzić należy, że przekazując dane osobowe lekarza za pomocą komunikatora WhatsApp Administrator stworzył możliwość utraty przez niego kontroli nad tymi danymi, w tym ich bezpieczeństwem.”.
Prezes UODO zwrócił także uwagę w treści swojej decyzji na wpływ jaki naruszenie mogło wywrzeć na osobę, której dane zostały naruszone, zwłaszcza w kontekście tego, że ujawnione przez Ministra Zdrowia dane dotyczyły danych szczególnych kategorii: „Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia ochrony danych osobowych. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. Nie ulega wątpliwości, że z uwagi na to, iż naruszeniem ochrony danych osobowych objęte zostały dane dotyczące zdrowia wraz z imieniem i nazwiskiem, to przede wszystkim zaistnieć mogą konsekwencje w postaci dyskryminacji czy naruszenia dobrego imienia osoby, której te dane dotyczą. Nie bez znaczenia dla takiej oceny jest również medialny kontekst naruszenia ochrony danych osobowych oraz rozpoznawalność lekarza związana z jego publicznymi wystąpieniami, co pozwala na jednoznaczną identyfikację tej osoby.”.
Reasumując, umyślne działanie Ministra Zdrowia, które doprowadziło do naruszenia ochrony danych osobowych lekarza nie pozostawiało Prezesowi UODO żadnego pola manewru i musiało zostać ukarane maksymalną karą finansową. Brak działań Ministra Zdrowia, który nie widział po swojej stronie żadnej winy, musiało się spotkać z takim a nie innym postępowanie organu nadzorczego. Miejmy nadzieję, że kara wymierzona przez Prezesa UODO będzie skuteczna i nie dopuści do kolejnych tego typu naruszeń ochrony danych osobowych przez organ, który bądź co bądź jest wyznaczony do ich strzeżenia a nie wykorzystywania w celach bliżej nieokreślonych.
Autor: Radosław Aniszczyk