Decyzja

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735 z późn. zm.) w związku z art. 7 ust. 1 i art. 60 ustawy  z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57  ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. b) w związku art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez N. Sp. z o.o. z siedzibą w G. przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez N. Sp. z o.o. z siedzibą w G. przepisów art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, polegające na nieprzekazaniu bez zbędnej zwłoki osobie, której dane dotyczą, zawiadomienia o naruszeniu ochrony jej danych osobowych zawierającego opis możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków, udziela upomnienia N. Sp. z o.o. z siedzibą w G.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezesem UODO, w dniu […] sierpnia 2021 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez N. Sp. z o.o. z siedzibą w G. (zwany dalej N. lub Administratorem), zarejestrowane pod sygnaturą […], informujące o naruszeniu ochrony danych osobowych dwóch osób, tj. pacjenta i lekarza N. Incydent stanowiący przedmiot zgłoszenia polegał na posłużeniu się danymi pacjenta oraz lekarza N. do wystawienia recepty na lek refundowany. O fakcie tym Administrator danych dowiedział się na skutek wszczęcia czynności kontrolnych przez Departament Kontroli Terenowy Wydział Kontroli XI w G. Narodowego Funduszu Zdrowia. Kategorie danych, które zostały naruszone to: w przypadku pacjenta – imię i nazwisko, adres zamieszkania lub pobytu oraz nr PESEL, a w przypadku lekarza – imię i nazwisko oraz nr PWZ. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności pacjenta N. Wobec powyższego, Administrator poinformował w zgłoszeniu z dnia […] sierpnia 2021 r., iż w dniu […] lipca 2021 r. o naruszeniu ochrony danych osobowych zawiadomił pacjenta, którego dane dotyczą oraz przekazał treść tego zawiadomienia.

Prezes UODO, działając w oparciu o art. 52 ust. 1 ustawy o ochronie danych osobowych oraz art. 34 ust. 4 rozporządzenia 2016/679, wystąpieniem z listopada 2021 r. zwrócił się do Administratora o ponowne zawiadomienie osoby, której dane dotyczą (pacjenta […]), o naruszeniu ochrony jej danych osobowych, z uwagi na to, że zawiadomienie o naruszeniu, którego zanonimizowana treść została przekazana przez Administratora wraz ze zgłoszeniem naruszenia ochrony danych osobowych, nie spełniało warunków określonych w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, tj. nie zawierało opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator nie odpowiedział na wystąpienie organu nadzorczego ani nie przekazał treści ponownego zawiadomienia skierowanego do osoby, której dane zostały objęte naruszeniem.

Wobec powyższego, pismem z kwietnia 2022 r., Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne w sprawie nieprawidłowego zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, w związku z nieprzekazaniem tej osobie opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków, zgodnie z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 (sygn. pisma […]).

Administrator ustosunkował się pisemnie do stwierdzonego naruszenia przepisów o ochronie danych osobowych, stanowiącego przedmiot postępowania administracyjnego, wymienionego w zawiadomieniu o wszczęciu postępowania i w dniu […] kwietnia 2022 r. przesłał wyjaśnienia dotyczące ww. naruszenia ochrony danych osobowych, w których stwierdza, że: „N. Sp. z o.o. w G. wykonał bezzwłocznie i z całą starannością wszelkie działania wskazane przez Urząd Ochrony Danych Osobowych w piśmie z dn. […].11.2021 r. Osoba, której dane ujawniono została pismem z dnia […].11.2021 r. powtórnie powiadomiona o naruszeniu ochrony danych osobowych z uwzględnieniem możliwych konsekwencji tego naruszenia oraz środków podjętych przez N. Sp. z o.o. w celu zminimalizowania jego ewentualnych, negatywnych skutków. Nadto wyjaśniamy, że z uwagi na wiek osoby, której dane udostępniono, administrator, oprócz wysłania zawiadomienia pisemnego, rozmawiał ponownie telefonicznie z osobą, której dane ujawniono, tak aby w sposób jak najbardziej przystępny i nie powodujący niepotrzebnego stresu objaśnić całą sytuację i przekazać wymagane prawem informacje. Jednocześnie wyjaśniamy, że pismo informujące Państwa o wykonanych działaniach zostało przygotowane, niestety jak się teraz okazało wskutek ludzkiej omyłki nie zostało do Państwa przesłane, przez co nie wywiązaliśmy się z obowiązku poinformowania Urzędu Ochrony Danych Osobowych o dokonanych w terminie wyżej wskazanych czynnościach, z którego to powodu wyrażamy ogromne ubolewanie. Jednocześnie prosimy o potraktowanie niniejszego pisma, jako czyniącego zadość obowiązkowi poinformowania Urzędu Ochrony Danych Osobowych o podjętych działaniach wskazanych przez Urząd Ochrony Danych Osobowych w piśmie z dn. […].11.2021 r.  i stosownie do treści art. 105 Kodeksu postępowania administracyjnego umorzenie wszczętego postępowania”. Do złożonych wyjaśnień Administrator załączył ponowne zawiadomienie skierowane do osoby objętej naruszeniem. Przesłane organowi nadzorczemu zawiadomienie z dnia […] listopada 2021 r., skierowane do osoby, której dane dotyczą, zawierało opis możliwych konsekwencji naruszenia ochrony danych osobowych oraz opis działań podjętych przez N.  w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia, ale nie zawierało opisu środków zaradczych, które może podjąć samodzielnie osoba, której dane zostały naruszone, co oznaczało niewywiązanie się przez Administratora z obowiązku określonego w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679.

Następnie, w dniu […] maja 2022 r. Administrator przesłał kolejne wyjaśnienia dotyczące ww. naruszenia, w których poinformował, że: „W uzupełnieniu naszej odpowiedzi na Zawiadomienie o wszczęciu postępowania w sprawie […] z dnia […].04.2022 r. pragniemy przekazać Państwu informacje uzupełniające. Z uwagi na stan zdrowia, wiek osoby, której dane dotyczą i wynikające stąd możliwe konsekwencje zdrowotne, przed wysłaniem do niej przekazanego Państwu powiadomienia z dn. […].11.2021 roku pracownik N. osobiście spotkał się z tą osobą, aby przekazać jej wymagane prawem informacje w formie uwzględniającej stan zdrowia tej osoby i wskazania medyczne lekarza. Wszystkie informacje wskazane przez Państwa w Wstąpieniu z dn. […].11.2021 roku zostały przekazane w formie jasnej i przystępnej, osoba, której dane dotyczą jest w bliskim kontakcie z N. i wie, że może liczyć na wszelkie wsparcie w tej sprawie ze strony administratora danych. Zważywszy jednak, że przesłane osobie, której dane dotyczą pisemne powiadomienie z dn. […].11.2021 nie zawierało wszystkich elementów wskazanych przez Państwa w Wystąpieniu z dn. […].11.2021 roku zdecydowaliśmy skierować kolejne pismo do osoby, której dane dotyczą w celu dostarczenia tej osobie pełnych informacji wskazanych przez Państwa w formie pisemnej. Chcielibyśmy podkreślić, że sprawę powiadomienia osoby, której dane dotyczą o zaistniałym naruszeniu od momentu stwierdzenia naruszenia traktowaliśmy bardzo poważnie. Osoba, której dane dotyczą została poinformowana bezzwłocznie o zdarzeniu i jego konsekwencjach w formie dostosowanej do jej stanu zdrowia  w konsultacji z lekarzem. Po otrzymaniu od Państwa wskazań zawartych w Wystąpieniu z dn. […].11.2021 niezwłocznie je wykonaliśmy. Oprócz wyżej wymienionych działań zaistniałe naruszenie danych zostało przez nas szczegółowo przeanalizowane, zostały podjęte działania korekcyjne i korygujące o czym informuje załączony do niniejszego pisma Raport z analizy incydentu”. Do ww. pisma N. załączył treść zawiadomienia z dnia […] maja 2022 r., skierowanego do osoby objętej naruszeniem, zawierające wszystkie informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:

1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;

2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c)  i d) rozporządzenia 2016/679, czyli:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W wyniku przeprowadzonej analizy zgłoszonego przez Administratora naruszenia ochrony danych osobowych, w której wzięto pod uwagę charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze - Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących imienia, nazwiska, adresu zamieszkania lub pobytu oraz nr PESEL, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą (pacjenta […]), o naruszeniu ochrony jej danych osobowych i przekazanie wszystkich informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679.

Podkreślić należy, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadamiając bez zbędnej zwłoki podmiot danych, Administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego  w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem  i wykazując dbałość o interesy osoby, której dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobie, której dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się  w sposób prawidłowy. W pierwotnym zawiadomieniu o naruszeniu, skierowanym do osoby, której dane dotyczą, w dniu […] lipca 2021 r. Administrator nie wskazał bowiem wszystkich wymaganych elementów, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, tj. zawiadomienie nie zawierało opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków. W kolejnym zawiadomieniu, datowanym na dzień […] listopada 2021 r., przesłanym przez Administratora do osoby, której dane dotyczą, na skutek skierowanego przez Prezesa UODO wystąpienia na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych oraz art. 34 ust. 4 rozporządzenia 2016/679, ponownie nie wskazano wszystkich wymaganych elementów, tj. zawiadomienie nie zawierało opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków, które może samodzielnie podjąć osoba, której dane dotyczą, dla ograniczenia skutków naruszenia, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 lit. d) rozporządzenia 2016/679. Dopiero w zawiadomieniu z dnia […] maja 2022 r. N. przekazał osobie, której dane zostały naruszone, zawiadomienie zawierające wszystkie wymagane ww. przepisami rozporządzenia 2016/679 informacje. Oznacza to w konsekwencji, że do tego momentu Administrator nie zapewnił osobie, której naruszenie dotyczyło, pełnej informacji  o naruszeniu ochrony jej danych osobowych, czym pozbawił ją wskazówek co do działań, jakie może podjąć by się skutecznie przeciwstawić możliwym negatywnym skutkom naruszenia.

Niewłaściwa realizacja przez Administratora obowiązku wskazanego w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, w wyniku nieprawidłowego zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, nie budzi zatem wątpliwości. Brak wykonania przez Administratora tego obowiązku względem podmiotu danych z chwilą przekazania mu pierwszego zawiadomienia o naruszeniu ochrony danych osobowych oraz przekazanie wszystkich wymaganych informacji dopiero przy trzecim zawiadomieniu (które zostało wysłane w dniu […] maja 2022 r., a więc 289 dni po stwierdzeniu naruszenia) powoduje zastosowanie przez organ nadzorczy środka naprawczego, skoro istnienie naruszenia prawa w ww. zakresie jest niepodważalne.

Niemniej Prezes UODO, realizując swoje uprawnienie na mocy art. 58 ust. 2 lit. b) rozporządzenia 2016/679, uznał, że cel niniejszego postępowania, jakim jest przywrócenie stanu zgodnego z prawem, może być jednak osiągnięty poprzez zastosowanie środka o charakterze mniej dolegliwym. W ocenie organu nadzorczego upomnienie Administratora za błędną realizację obowiązków spoczywających na nim, jako administratorze danych w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, stanowi właściwy przejaw realizacji zasady proporcjonalności. W ocenie Prezesa UODO, nałożone upomnienie spełni również swoją funkcję prewencyjną, zapobiegając  w przyszłości w sposób należyty naruszeniom przepisów o ochronie danych osobowych tak przez […], jak i innych administratorów danych. 

Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.