Niepubliczny Zakład Opieki Zdrowotnej w Pyskowicach został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych grzywną w wysokości 32 832 zł. Powodem nie była sama utrata danych pacjentów, lecz brak pełnej analizy ryzyka i niewdrożenie adekwatnych zabezpieczeń dla dokumentacji medycznej przewożonej w trakcie wizyt domowych.
Kradzież samochodu ujawniła luki w procedurach
Sprawa dotyczyła lekarza, który podczas wizyty domowej w prywatnym samochodzie przewoził dokumentację ośmiorga pacjentów. W pojeździe znajdowały się imiona, nazwiska, daty urodzenia, adresy, numery PESEL oraz dane medyczne. Po kradzieży auta niezabezpieczone dokumenty trafiły w niepowołane ręce.
ZOZ zgłosił zdarzenie do UODO, które w toku postępowania ustaliło, że analiza ryzyka nie obejmowała transportu dokumentacji w prywatnych pojazdach lekarzy. Brakowało też szczegółowych procedur regulujących takie sytuacje, a ogólne zapisy polityki bezpieczeństwa nie odpowiadały na konkretne zagrożenia wskazane w audytach.
Ostrzeżenia zignorowane od lat
Już w 2017 roku Administrator Bezpieczeństwa Informacji ZOZ sygnalizował, że przewożenie dokumentacji bez zabezpieczenia niesie poważne ryzyko – zarówno jej zgubienia, jak i kradzieży. Zalecał, by dokumenty po wizycie domowej trafiały tego samego dnia do placówki, a nie pozostawały u lekarza przez noc. Mimo to rekomendacje nie zostały wprowadzone w życie, a prywatne samochody pracowników nie były traktowane jako miejsce przetwarzania danych osobowych.
Zmiany dopiero po incydencie
Dopiero po kradzieży ZOZ wprowadził szczegółowe zapisy do polityki bezpieczeństwa, wskazujące zasady transportu dokumentacji poza siedzibą placówki. Pracownicy przeszli szkolenia, a lekarze otrzymali teczki z zamkiem szyfrowym do przewożenia dokumentów. UODO uznał jednak, że reakcja po fakcie nie zmienia faktu wcześniejszego braku właściwej analizy ryzyka, co stało się podstawą do nałożenia kary.
opr. wł. na podstawie UODO