Prezes UODO nałożył karę 40 000 zł na podmiot leczniczy za niezgłoszenie naruszenia ochrony danych osobowych pacjentki oraz brak realizacji obowiązku informacyjnego wobec osoby, której dane dotyczyły.
W sprawie doszło do ujawnienia danych wrażliwych – danych dotyczących zdrowia – co automatycznie kwalifikuje incydent jako naruszenie o wysokim poziomie ryzyka. Mimo to administrator nie zgłosił zdarzenia ani do organu nadzorczego, ani do pacjentki.
UODO podkreślił, że:
-
dane o stanie zdrowia należą do szczególnych kategorii danych osobowych,
-
nawet pojedynczy incydent może rodzić poważne konsekwencje dla osoby fizycznej,
-
brak procedur reagowania na incydenty jest samodzielnym naruszeniem art. 32 RODO.
Decyzja ta ma szczególne znaczenie dla placówek medycznych, które w dalszym ciągu należą do grupy najczęściej karanych administratorów danych w Polsce.