Prowadząc podmiot leczniczy czy też własną praktykę lekarską pamiętajcie, aby w sytuacji popełnienia błędu poprzez ujawnienie danych identyfikujących pacjenta nieupoważnionej do tego osobie:
- poinformować o tym osobę, której dane ujawniliście,
- zgłosić tę sytuację do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Przekładając ten obowiązek na stan faktyczny wyobraźmy sobie sytuację, gdy wydajecie skierowanie pacjentowi Janowi Kowalskiemu podczas gdy w skierowaniu posługujecie się omyłkowo danymi pacjenta Jana Nowaka.
W takiej sytuacji wymaga się, aby przede wszystkim powiadomić o pomyłce Jana Nowaka – gdyż jego dane w sposób omyłkowy znalazły się na skierowaniu oraz zgłosić tę sytuację do prezesa UODO. Na temat danych osobowych pisałyśmy też [TUTAJ].
Podobna okoliczność miała miejsce w jednej z placówek medycznych, na którą nałożono karę w wysokości 10.000 zł za naruszenie przepisów o ochronie danych osobowych.
Z pełną treścią decyzji nakładającej karę możecie zapoznać się pod [TUTAJ].UODO otrzymało informację o możliwości zaistnienia naruszenia ochrony danych osobowych w podmiocie leczniczym.
Stan faktyczny.
Jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).
W trakcie prowadzonego przez UODO postępowania podmiot leczniczy wyjaśnił, że omyłkowo wpisał na skierowaniu dane osobowe innego pacjenta, niemniej okazało się, iż faktycznie pacjent ten nie istniej bowiem i tak wpisał nieprawidłowe imię.
Z tego względu podmiot leczniczy uznał, iż nie ma potrzeby zawiadamiać o powyższym pacjenta (który w ocenie podmiotu leczniczego nie istnieje), jak i UODO.
Stanowisko UODO.
UODO stwierdził jednak, że doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych osobie nieuprawnionej (innemu pacjentowi podmiotu leczniczego). Co więcej wydany przez lekarza dokument zawierał jedynie omyłkę w imieniu pacjenta, natomiast pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły już tego konkretnego pacjenta. Stąd też nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby. Pomimo błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować.
UODO wskazuje jak się zachować w razie ujawnienia danych pacjenta nieupoważnionej osobie:
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie do UODO, administratorzy informują Urząd, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Z kolei UODO dokonuje weryfikacji oceny dokonanej przez administratora.
W przedmiotowej sprawie niezaprzeczalnym jest, że dane osobowe udostępnione osobie nieuprawnionej, oprócz tzw. danych zwykłych, obejmują także dane należące do szczególnych kategorii danych osobowych, tj. dane o stanie zdrowia na temat rozpoznania i celu porady lekarskiej. Ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo wskazać należy, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej.”