Strona głównaPrawo w ochronie zdrowiaRODO w ochronie zdrowia: Gyncentrum z karą 40 tys. zł za naruszenie danych pacjentki
Prawo w ochronie zdrowia

RODO w ochronie zdrowia: Gyncentrum z karą 40 tys. zł za naruszenie danych pacjentki

Aktualizacja 27-10-2025 15:23
Agnieszka Fodrowska
Agnieszka Fodrowska
0
smartfon człowiek
Fot. Pexels
Spis treści ukryj

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Gyncentrum 40 tys. zł kary za niezgłoszenie naruszenia ochrony danych osobowych oraz udzielił jej upomnienia za brak zawiadomienia osoby, której dane zostały ujawnione. Chodzi o sytuację, w której pacjentka centrum medycznego omyłkowo otrzymała potwierdzenie przelewu innej pacjentki, zawierające dane wrażliwe.

Z tego artykułu dowiesz się…

  • Jakie dane pacjentki zostały ujawnione i dlaczego uznano to za poważne naruszenie.
  • Jakie obowiązki nakłada RODO na administratorów danych w przypadku incydentów.
  • Dlaczego decyzja Gyncentrum o niezgłaszaniu naruszenia została uznana za błędną.
  • Jakie konsekwencje może ponieść placówka medyczna za zlekceważenie procedur.

Przelew, który ujawnił zbyt wiele

Do incydentu doszło w jednej z placówek Gyncentrum, specjalizującej się m.in. w leczeniu niepłodności i diagnostyce prenatalnej. Pracownik placówki przesłał potwierdzenie przelewu zwrotnego na adres e-mail pacjentki o tym samym imieniu, co adresatka dokumentu.

W przesłanym pliku znajdowały się dane osobowe, takie jak imię, nazwisko, numer konta, adres, kwota przelewu, a także nazwa badania genetycznego. Ta ostatnia informacja ujawniała, że pacjentka objęta była zaawansowaną diagnostyką prenatalną, co – zdaniem UODO – pozwala na wysnucie wniosków dotyczących jej stanu zdrowia.

Prezes UODO nałożył karę 32 832 zł za niewłaściwe przetwarzanie danych poza ZOZ
ZOBACZ KONIECZNIE Prezes UODO nałożył karę 32 832 zł za niewłaściwe przetwarzanie danych poza ZOZ

Błąd oceniony jako incydent bez konsekwencji

Administrator danych nie zgłosił incydentu do UODO, uznając, że nie zachodzi ryzyko naruszenia praw lub wolności osoby fizycznej. RODO przewiduje taką możliwość wyłącznie w sytuacjach, gdy prawdopodobieństwo wystąpienia zagrożenia dla osoby, której dane dotyczą, jest „niezwykle małe”.

Spółka zdecydowała się wyłącznie na wewnętrzne udokumentowanie naruszenia. Nie poinformowała także pacjentki, której dane zostały udostępnione osobie trzeciej. Poszkodowana dowiedziała się o incydencie od innej pacjentki Gyncentrum.

UODO: ryzyko naruszenia było wysokie

W ocenie Prezesa UODO decyzja o niezgłaszaniu incydentu była błędna. Przekazanie dokumentu zawierającego dane o stanie zdrowia osobie trzeciej stanowi naruszenie poufności, które niesie za sobą poważne ryzyko dla osoby, której dane dotyczą.

Organ nadzorczy przypomniał, że dane dotyczące zdrowia są traktowane jako szczególna kategoria danych osobowych. Ich nieuprawnione ujawnienie może prowadzić do naruszenia dóbr osobistych, napiętnowania, a nawet dyskryminacji.

UODO ukarał szpital za błędy w analizie ryzyka. Poszło o dane 2000 pracowników
ZOBACZ KONIECZNIE UODO ukarał szpital za błędy w analizie ryzyka. Poszło o dane 2000 pracowników

Obowiązki administratorów danych

Zgodnie z przepisami RODO, w przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek:

  • ocenić ryzyko naruszenia praw lub wolności osoby,
  • tylko udokumentować – gdy nie zachodzi realne prawdopodobieństwo naruszenia praw lub wolności osób fizycznych,
  • zgłosić incydent Prezesowi UODO i odnotować zdarzenie w wewnętrznej ewidencji naruszeń – jeśli ryzyko nie jest pomijalne,
  • a w przypadku wysokiego ryzyka – zgłosić incydent do UODO, odnotować w wewnętrznej ewidencji o raz niezwłocznie poinformować osobę, której dane dotyczą.

W opinii UODO zgłaszanie naruszeń nie powinno być traktowane jako działanie na niekorzyść administratora, lecz jako mechanizm wspierający bezpieczeństwo przetwarzania danych.

Kara finansowa i upomnienie

W związku z niewypełnieniem obowiązków wynikających z RODO, Prezes UODO nałożył na Gyncentrum karę pieniężną w wysokości 40 tys. zł. Dodatkowo spółce udzielono upomnienia za brak poinformowania osoby, której dane zostały ujawnione.

W decyzji podkreślono, że skuteczne reagowanie na incydenty i ich rzetelne zgłaszanie pozwala nie tylko chronić osoby fizyczne, ale również zabezpieczać interesy administratorów danych.

Prezes zarządu nie może być IOD. Błąd kosztował spółkę medyczną ponad 11 tys. zł
ZOBACZ KONIECZNIE Prezes zarządu nie może być IOD. Błąd kosztował spółkę medyczną ponad 11 tys. zł

Główne wnioski

  1. Gyncentrum zostało ukarane grzywną w wysokości 40 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.
  2. Wysłany omyłkowo dokument zawierał dane wrażliwe, w tym informacje o badaniu genetycznym, co stanowiło naruszenie poufności danych.
  3. Administrator błędnie ocenił, że nie ma ryzyka naruszenia praw lub wolności, co spotkało się z jednoznaczną oceną organu nadzorczego.
  4. UODO przypomina, że nawet jednorazowe naruszenie może skutkować sankcjami, jeśli nie są spełnione obowiązki wynikające z RODO.

Źródło:

  • UODO

Śledź najważniejsze informacje medyczne.
Zaobserwuj nas na Google News!

OBSERWUJ
ikona Google News
Agnieszka Fodrowska
Agnieszka Fodrowska
Redaktorka i specjalistka marketingu internetowego z wieloletnim doświadczeniem w tworzeniu treści dla sektora ochrony zdrowia. Specjalizuje się w tematach związanych z innowacjami i cyfryzacją medycyny oraz farmacji - od AI po robotykę chirurgiczną. Prywatnie miłośniczka podróży, dobrej muzyki i psów.

Najważniejsze dziś

Najczęściej czytane

Kluczowe tematy

Cyfryzacja i AI w medycynieFinansowanie ochrony zdrowiaPrawo w ochronie zdrowiaRoboty medyczneZawody medyczne
Newsletter medyczny

Najważniejsze wiadomości medyczne w Twojej skrzynce.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Więcej wiadomości