Wysoka kara za niekompletną analizę ryzyka dla ochrony danych

Jak wskazano w komunikacie, prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę pieniężną w wysokości 32 tys. 832 zł na NZOZ w Pyskowicach za niekompletną analizę ryzyka dla ochrony danych, przez co nie wdrożono odpowiednich zabezpieczeń dla dokumentacji medycznej przy wizytach domowych.

W tej sprawie został skradziony samochód lekarza, który pojechał z wizytą domową do pacjenta NZOZ. W aucie znajdowała się niezabezpieczona dokumentacja ośmiorga pacjentów, w tym nazwiska, imiona, daty urodzenia, adresy zamieszkania, numery PESEL oraz dane dotyczące zdrowia.

Analiza UODO wykazała, że lekarze do wizyt domowych używali prywatnych samochodów, podpisując z ZOZ odpowiednie umowy. Jednak NZOZ jako administrator danych, nie identyfikował prywatnych aut pracowników jako obszaru przetwarzania danych osobowych, a procedury w sposób bardzo ogólny odnosiły się do okoliczności przetwarzania danych poza siedzibą administratora – podał urząd.

Jak zaznaczył, placówka wprowadziła odpowiednie procedury dopiero po kradzieży auta lekarza, co – według UODO – odbyło się za późno. NZOZ w Pyskowicach po incydencie wprowadził zasady obowiązujące w przypadku transportu dokumentacji medycznej poza siedzibą placówki, pracownicy przeszli odpowiednie szkolenie, a lekarze jeżdżący do pacjentów dostali na dokumenty specjalne teczki zabezpieczone szyfrowym zamkiem.

Mimo wprowadzonych działań Niepubliczny Zakład Opieki Zdrowotnej w Pyskowicach otrzymał od UODO karę za brak odpowiedniej oceny ryzyka dla ochrony danych, a nie – jak podkreślił urząd – za samą utratę danych.