Rzeczpospolita
Prawo
Reklama

Dane z leczenia niepłodności trafiły do innej pacjentki. Lecznica za to zapłaci

40 tys. zł kary ma zapłacić centrum medyczne zajmujące się m.in. leczeniem niepłodności, za niezgłoszenie naruszenia ochrony danych osobowych pacjentki.

Publikacja: 27.10.2025 17:07

Dane z leczenia niepłodności trafiły do innej pacjentki. Lecznica za to zapłaci

Foto: Adobe Stock

Dorota Gajos-Kaniewska

Warszawska lecznica Gyncentrum  przesłało potwierdzenie realizacji zwrotnego przelewu, w tytule którego wskazana była nazwa badania genetycznego, innej osobie. Dokument zawierał dane osobowe: imię, nazwisko, numer rachunku bankowego, adres pacjentki. Była tam też kwota przelewu oraz nazwa wykonanego badania ujawniająca, że jest ono elementem rozbudowanej diagnostyki prenatalnej. Dane te trafiły do innej pacjentki Centrum o tym samym imieniu. 

Okazało się, że incydent był skutkiem pomyłki pracownika. Administrator danych uznał jednak, że zdarzenie nie wiązało się z możliwością naruszenia praw lub wolności osób fizycznych – w związku z czym odstąpił od zgłoszenia naruszenia do Prezesa UODO. Sama pacjentka dowiedziała się o zdarzeniu od innej pacjentki Centrum.

Czytaj więcej

Słona kara za wyciek danych jednej osoby. Ważny wyrok NSA
Dane osobowe
Słona kara za wyciek danych jednej osoby. Ważny wyrok NSA

Kiedy nie trzeba zgłaszać naruszenia ochrony danych

- W sprawie tej kluczowa jest ocena, czy zaistniała sytuacja skutkuje możliwością powstania ryzyka naruszenia praw lub wolności osób fizycznych. RODO nakazuje, przy ocenie tego ryzyka, stosowanie trzystopniowej skali – przypomina Urząd Ochrony Danych Osobowych.

Naruszenia nie trzeba zgłaszać do Prezesa UODO, a jedynie je udokumentować, gdy wykluczone zostało prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych. Taka sytuacja ma jednak miejsce, gdy choć do incydentu doszło, to nie ma ryzyka dla zaistnienia jego skutków (RODO w wersji anglojęzycznej używa słowa „unlikely”, które ma silniejsze znaczenie niż polskie „mało prawdopodobne” i służy do określenia czegoś, co jest raczej nieprawdopodobne lub niemal niemożliwe).

Reklama
Reklama

Jeśli ryzyka nie można uznać za pomijalne (zmaterializowanie się określonych zagrożeń jest prawdopodobne), obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO oraz umieszczenie stosownego wpisu w wewnętrznej ewidencji naruszeń.

Stwierdzenie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych osobowych), jak również wobec osób, których dane dotyczą (zawiadomienie ich o naruszeniu ochrony danych osobowych).

Czytaj więcej

Uczelnia medyczna zapłaci karę za „upublicznienie” nagrań z egzaminów
Dane osobowe
Uczelnia medyczna zapłaci karę za „upublicznienie” nagrań z egzaminów

PUODO: potwierdzenie przelewu z wrażliwymi danymi o zdrowiu

Prezesa UODO uznał, że przypadku błędnie wysłanego potwierdzenia realizacji zwrotnego przelewu administrator źle ocenił sytuację.

„Incydent stanowił naruszenie poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Zawarte w potwierdzeniu przelewu informacje pozwalają bowiem na wyciągnięcie wniosków na temat stanu zdrowia podmiotów danych. Tym samym generują ryzyko konkretnych, negatywnych konsekwencji – w postaci możliwości naruszenia ich dóbr osobistych lub dyskryminacji. Skoro ryzyko jest wysokie, konieczne jest powiadomienie Prezesa UODO oraz osób, których dane dotyczą” - wyjaśnił PUODO.

W decyzji prezes UODO Mirosław Wróblewski wskazał, że zgłaszanie naruszeń ochrony danych osobowych przez administratorów jest skutecznym narzędziem poprawy bezpieczeństwa przetwarzania danych osobowych. „Notyfikacja incydentu i kontrola prawidłowości obsługi zdarzenia dokonywana przez PUODO, służy w równym stopniu interesom administratora, jak i podmiotów danych – przyczyniając się do prawidłowej realizacji omawianych obowiązków administratora oraz ochrony praw i wolności podmiotów danych” - twierdzi PUODO.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Zdrowie Dane Osobowe RODO Urząd Ochrony Danych Osobowych (UODO)
Czy wspólnota mieszkaniowa może odmówić remontu balkonów i garażu? Wyrok NSA
Nieruchomości
Czy wspólnota mieszkaniowa może odmówić remontu balkonów i garażu? Wyrok NSA
UltraGrip Performance 3 wyznacza nowy standard w swojej klasie
Materiał Promocyjny
UltraGrip Performance 3 wyznacza nowy standard w swojej klasie
W poniedziałek premier Donald Tusk spotkał się z nauczycielami z Liceum Ogólnokształcącego im. Marii
Oświata i nauczyciele
Donald Tusk reaguje w sprawie tzw. godzin basiowych. Będzie zmiana prawa
Chciał usunięcia danych z policyjnego rejestru, by dostać pracę. Wyrok NSA
Dane osobowe
Chciał usunięcia danych z policyjnego rejestru, by dostać pracę. Wyrok NSA
Sędzia z dwoma paszportami? Resort Żurka chce powrotu do zasady sprzed rządów PiS
Sądy i trybunały
Sędzia z dwoma paszportami? Resort Żurka chce powrotu do zasady sprzed rządów PiS
Raport o polskim rynku dostaw poza domem
Materiał Promocyjny
Raport o polskim rynku dostaw poza domem
Kiedy można domagać się ustanowienia drogi koniecznej?
Nieruchomości
Kiedy można domagać się drogi koniecznej? Ważny wyrok Sądu Najwyższego
Manager w erze AI – strategia, narzędzia, kompetencje AI
Materiał Promocyjny
Manager w erze AI – strategia, narzędzia, kompetencje AI
Reklama
Reklama
e-Wydanie