Jak (nie)poradzić sobie z naruszeniem danych osobowych, czyli historia pewnej kliniki stomatologicznej

Historia, o której dzisiaj opowiem, brzmi sensacyjnie, a nawet odrobinę niewiarygodnie, jednak wydarzyła się naprawę. A było to tak…

W 2019 r. pewna klinika stomatologiczna zorientowała się, że jej były pracownik w sposób nieuprawniony skopiował dane 100 pacjentów ( PESEL-e, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu oraz numery telefonów). Miał je wykorzystywać w celach marketingowych we własnej działalności. Chociaż klinika oceniła ryzyko naruszenia praw i wolności osób fizycznych na wysokie, to zrezygnowała z zawiadomienia pacjentów o naruszeniu ochrony ich danych. Nakazał jej to zrobić dopiero prezes Urzędu Ochrony Danych Osobowych, a i z tym sobie nie poradziła.

Czym jest naruszenie danych osobowych?

RODO definuje pojęcie „naruszenia ochrony danych osobowych”, jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Natomiast w poradniku wydanym przez PUODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Poradnik na gruncie RODO”, naruszenie zdefiniowano jako „zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność”. 

Rodzaje naruszeń ochrony danych wraz z przykładami zostały omówione w dokumencie Grupy Roboczej Art. 29 – Wytyczne WP 250 rev. 01, gdzie wskazano, że naruszenia można podzielić na następujące kategorie:

1) „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;

2)”naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;

3)”naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowej lub nieuprawnionej utraty dostępu do danych osobowych lub zniszczenia danych osobowych.

Jak łatwo wywnioskować, w opisanym przypadku, w klinice doszło do naruszenia dotyczącego poufności danych.

Co powinna była zrobić klinika?

W przypadku naruszenia ochrony danych osobowych, każdy administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (czyli PUODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia także osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie osoby „pokrzywdzonej” jest istotnym elementem „planu naprawczego”, jaki powinien zostać wdrożony po naruszeniu. Dlaczego? To proste – żeby przeciwdziałać skutkom naruszenia, podmiot danych musi o takim naruszeniu wiedzieć, żeby np. zastrzec swój numer PESEL.

Co klinika faktycznie zrobiła?

Chociaż klinika oceniła ryzyko naruszenia praw i wolności osób fizycznych na wysokie, to zrezygnowała z zawiadomienia swoich pacjentów o naruszeniu ochrony ich danych. Nakazał jej to zrobić dopiero prezes Urzędu Ochrony Danych Osobowych, który wskazał jednocześnie przykładowe ryzyka związane z tego rodzaju naruszeniem oraz przykładowe zalecenia co do środków, jakie osoby dotknięte naruszeniem mogą podjąć celem zabezpieczenia się przed negatywnymi skutkami naruszenia.

Początkowo PUODO skierował do klinki jedynie tzw. wystąpienie, czyli po prostu wskazał, co należy zrobić. Co na to klinika?

Tu zaczyna się robić „sensacyjnie” 🙂

Klinika nie reagowała, więc Prezes UODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Postępowanie zakończyło się decyzją administracyjną, na mocy której PUODO nakazał klinice zawiadomienie osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna – o naruszeniu ochrony danych osobowych. Decyzja UODO stała się prawomocna, a klinka nadal nie spieszyła się z jej wykonaniem.

PUODO wszczął postępowanie sprawdzające i wezwał klinikę do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii dziesięciu przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Początkowo w klinice w ogóle unikano odpowiedzi na pisma organu. Następnie przedsiębiorca przedstawiał wyjaśnienia niejasne, wymijające i sprzeczne ze sobą – twierdził np., że nie wie, ilu osób dane zostały w sposób nieuprawniony ujawnione (mimo, że wcześniej wskazywał na 100), albo że nie wie, jak wykonać nakaz prezesa UODO. Utrzymywał nawet, że to obowiązkiem PUODO jest dokonanie zawiadomień osób dotkniętych incydentem, do którego doszło w klinice.

Do urzędu wpłynęło pismo, w którym klinika poinformowała organ nadzorczy, że „Niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu złożonym przez K. Obecnie w naszych placówkach leczy się ponad 35 tys. osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest a wykonalne”.

PUODO dawał przedsiębiorcy kolejne szanse – wzywał do wykonania decyzji i kilkukrotnie wskazywał, jak należy prawidłowo sformułować zawiadomienie.

Wreszcie, po 7 miesiącach od uprawomocnienia się decyzji PUODO, przedsiębiorca przedstawił „dowody” jej wykonania: fakturę z Poczty Polskiej dokumentującą zakup 37 znaczków na list o wartości 3,30 zł każdy, kopię oświadczenia rzekomego pracownika poczty o treści „Potwierdzamy nadanie przez Pana […] listów zwykłych w ilości 37 sztuk”, opatrzonego nieczytelnym podpisem i pieczęcią oraz kopię niezaadresowanego przykładowego zawiadomienia.

W odpowiedzi na powyższe PUODO wskazał, że przesłane wyjaśnienia oraz dowody są niekompletne i nie dają podstawy do stwierdzenia, że klinka istotnie powiadomiła osoby, których dane dotyczą i wezwał klinikę do przesłania poprawnego wykazu osób, którym zostały przesłane zawiadomienia oraz kopii wszystkich zaadresowanych zawiadomień wraz z potwierdzeniem nadania przesyłek poleconych lub zwrotnych potwierdzeń odbioru – w terminie 7 dni od dnia doręczenia niniejszego pisma.

I co na to klinika? Ano poinformowała radośnie organ nadzorczy, że nie ma obowiązku wysłania listów poleconych i wystarczające jest, jeśli wyśle stosowne zawiadomienia listem zwykłym, potwierdzając ich wysyłkę. Uznała tym samym, że wykonała decyzję.

Dopiero (!) w tym momencie cierpliwość PUODO się wyczerpała – organ wydał decyzję, na podstawie której, stwierdzając niewykonanie przez stronę nakazu określonego w decyzji administracyjnej, nałożył na klinikę administracyjną karę pieniężną w kwocie 85.588,00 zł.

85 tys. zł kary – czy to dużo?

W mojej ocenie, biorąc pod uwagę postępowanie kliniki, które ciężko mi nazwać inaczej niż niepoważnym i niedopuszczalnym, to wręcz mało. Również sądy administracyjne, czyli Wojewódzki Sąd Administracyjny w Warszawie, który rozstrzygał skargę kliniki na decyzję UODO, a następnie Naczelny Sąd Administracyjny, który rozstrzygał skargę kasacyjną, w pełni zgodziły się z PUODO i utrzymały w mocy decyzję i nałożoną karę.

Na czym (również) polegał błąd kliniki?

Na tym, że zaangażowała zapewne znaczne siły i środki na etapie „walki” z decyzją PUODO, zamiast mniejszym kosztem przygotować się zawczasu do wdrożenia i świadomego stosowania zasad ochrony danych danych osobowych.

JAKI Z TEGO MORAŁ?

Każdy przedsiębiorca musi liczyć się z tym, że prędzej czy później może przydarzyć mu się naruszenie ochrony danych. Od odpowiedniego przygotowanie na taki scenariusz, zależy, jak poradzi sobie z problemem. Dobrze przygotowana procedura pomaga uniknąć chaosu i niepotrzebnych nerwów, związanych choćby z faktem, że na zgłoszenie naruszenia do PUODO, administrator ma tylko 72 h, a w tym czasie musi:

• zidentyfikować naruszenie
• podjąć właściwe środki w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, w celu zminimalizowania jego ewentualnych negatywnych skutków
• właściwie opisać naruszenie
• zdecydować, czy w danym przypadku podlega ono zgłoszenia do UODO
• zdecydować, czy należy zawiadomić podmioty danych i takie zawiadomienia przygotować
• dokonać zgłoszenia do UODO.

Co zatem należy zrobić?

Krok 1: W każdej organizacji, czy to dużej czy małej, powinny zostać przygotowane procedury związane z „obsługą” naruszenia ochrony danych.

Krok 2: Wszyscy pracownicy organizacji powinni zostać zapoznani z przyjętymi procedurami i odpowiednio przeszkoleni, tak aby potrafili je zastosować.

Jeśli potrzebujesz pomocy w powyższym zapraszam do kontaktu!

Zapraszam także do śledzenia kolejnych spisów!