SPZOZ w Pajęcznie: czy kary za RODO można było uniknąć?

Niedawne naruszenia RODO przez SPZOZ w Pajęcznie rodzą pytanie – czy tej kary można było uniknąć? Jakie działania mogły zapobiec problemom? Analizujemy, co placówka mogła zrobić lepiej i jakie wnioski warto wyciągnąć na przyszłość.

Pod koniec sierpnia Prezes Urzędu Ochrony Danych Osobowych ogłosił nałożenie administracyjnej kary pieniężnej na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie. Przyczyną była niewłaściwa reakcja na atak ransomware. Placówka będzie musiała zapłacić 40.000 zł kary i podjąć działania, wskazane przez Prezesa UODO.

O szczegółach naruszenia i obowiązkach, jakie musiała w związku z tym spełnić placówka medyczna, można przeczytać we wcześniejszych artykułach (dostępnych pod adresami X i Y). Dziś natomiast skoncentrujemy się na odpowiedzi na pytanie: czy SPZOZ w Pajęcznie mógł uniknąć administracyjnej kary pieniężnej? Czy inne placówki, które znajdą się w podobnej sytuacji, mogą podjąć jakieś działania?

Za każdym razem, gdy Prezes UODO otrzymuje zawiadomienie o naruszeniu, prowadzi postępowanie w sprawie. W zależności od tego, co ustali, może podjąć decyzję o nałożeniu kary, np. upomnienia lub administracyjnej kary pieniężnej (oraz ustalić jej ewentualną wysokość). Pod uwagę bierze zawsze szereg czynników, takich jak:

  • zakres naruszenia (ilu osób dotyczy, jakie dane zostały dotknięte naruszeniem),
  • umyślny lub nieumyślny charakter naruszenia,
  • działania naprawcze, podjęte przez placówkę medyczną jako administratora danych,
  • odpowiedzialność administratora danych za zdarzenie,
  • ewentualne wcześniejsze naruszenia,
  • stopień współpracy z organem nadzorczym,
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu,
  • stosowanie zatwierdzonego kodeksu postępowania.

Powyższe oznacza, że placówka medyczna może odpowiednio wcześnie zabezpieczyć się przez skutkami ewentualnego incydentu ochrony danych osobowych. Nie jest to kwestia typu „czy nastąpi naruszenie”, ale „kiedy nastąpi naruszenie”. Sektor ochrony zdrowia należy do najczęściej atakowanych – i nie ma tu znaczenia, czy chodzi o indywidualną praktykę lekarską, czy duży szpital. Wszystkie podmioty wykonujące działalność leczniczą muszą być przygotowane na scenariusz naruszenia ochrony danych osobowych.

Od marca 2023 dostępne jest rozwiązanie, które pozwala podmiotom wykonującym działalność leczniczą na zapewnienie zgodności swoich działań z RODO. Jest to kodeks, opracowany przez Federację Porozumienie Zielonogórskie dla placówek sektora ochrony zdrowia. Przystąpienie do kodeksu wiąże się z wieloma korzyściami, ale zasadniczą – szczególnie w kontekście kary dla SP ZOZ w Pajęcznie – jest odmienne traktowanie w razie stwierdzenia naruszenia.

Już w marcu 2022 r. na stronie internetowej Prezesa UODO przedstawiono następującą informację:

„Niewątpliwą korzyścią stosowania kodeksu jest także swoista ochrona w kontekście ewentualnych kar pieniężnych. Organ nadzorczy w razie nakładania na podmiot kary w każdym przypadku bierze bowiem pod uwagę, czy właściwie stosował on zatwierdzony kodeks postępowania, którego jest członkiem.”[1]

Informacja ta została także powtórzona w treści decyzji, dotyczącej SPZOZ w Pajęcznie:

„Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P. nie poinformował, czy stosuje zatwierdzone kodeksy postępowania, czy też zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.”[2]

Stosowanie kodeksu może być także istotne w kontekście ewentualnej sprawy sądowej. Do tej pory koncentrowaliśmy się bowiem na odpowiedzialności administracyjnej (przed Prezesem UODO). Tymczasem od maja 2018 r. istnieje możliwość, by osoba poszkodowana naruszeniem zwróciła się do sądu o odszkodowanie lub zadośćuczynienie, związane z incydentem bezpieczeństwa (odpowiedzialność cywilna). Sąd, podobnie jak Prezes UODO, będzie brał pod uwagę wszystkie okoliczności zdarzenia i ustalał, czy placówka medyczna zrobiła wszystko, by zabezpieczyć się przed skutkami incydentu. Stosowanie kodeksu także tutaj może być okolicznością łagodzącą.

Najlepszym momentem na przystąpienie do kodeksu RODO był marzec 2023 r. Drugi najlepszy moment jest teraz. Warto poważnie zastanowić się nad tematem – dla bezpieczeństwa naszej placówki medycznej i naszych pacjentów.

Autor: Adam Klimowski, Ekspert ds. ochrony danych osobowych

[1] https://uodo.gov.pl/pl/426/2316 (dostęp 03.09.2024)

[2] https://uodo.gov.pl/decyzje/DKN.5131.57.2022 (dostęp 03.09.2024)