Czy za wyciek danych medycznych zawsze grozi maksymalna kara z RODO?

Nie. Maksymalne progi z art. 83 RODO (do 20 mln euro lub 4% obrotu) to górne granice, a nie kara automatyczna. UODO ustala wysokość kary indywidualnie, biorąc pod uwagę m.in. charakter, wagę i czas trwania naruszenia, jego umyślność, podjęte działania zaradcze oraz stopień współpracy. Wiele naruszeń kończy się upomnieniem lub karą znacznie niższą od maksymalnej.

Czy pacjent może żądać pieniędzy za wyciek swoich danych?

Tak. Art. 82 RODO daje osobie poszkodowanej prawo do odszkodowania za szkodę majątkową oraz niemajątkową (np. naruszenie prywatności, stres). Roszczenia dochodzi się przed sądem cywilnym. Pacjent powinien wykazać naruszenie, szkodę oraz związek przyczynowy między nimi.

Kiedy placówka musi zgłosić naruszenie do UODO?

Administrator ma obowiązek zgłosić naruszenie ochrony danych do UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, należy dodatkowo zawiadomić samych pacjentów (art. 34 RODO).

Naruszenie ochrony danych medycznych - jak wygląda obrona i odpowiedzialność?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Dane o stanie zdrowia należą do tzw. danych szczególnej kategorii (dawniej: danych wrażliwych). Zgodnie z art. 9 ust. 1 RODO ich przetwarzanie jest co do zasady zakazane, a dopuszczalne tylko w wyjątkach wymienionych w art. 9 ust. 2 - m.in. gdy jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej czy zapewnienia opieki zdrowotnej (art. 9 ust. 2 lit. h RODO). Oznacza to, że placówki ochrony zdrowia i ich personel ponoszą podwyższoną odpowiedzialność za bezpieczeństwo tych informacji. Naruszenie ochrony danych medycznych - wyciek dokumentacji, udostępnienie wyników badań osobie nieuprawnionej, włamanie do systemu - może prowadzić zarówno do administracyjnych kar pieniężnych, jak i do roszczeń cywilnych pacjentów. Ten artykuł wyjaśnia, na czym polega ta odpowiedzialność i jaką rolę odgrywa prawnik.

Jakie obowiązki ma placówka medyczna wobec danych pacjentów?

Podmiot leczniczy jest administratorem danych w rozumieniu RODO i musi wdrożyć adekwatne środki techniczne i organizacyjne zabezpieczające dane (art. 32 RODO). W praktyce oznacza to m.in. kontrolę dostępu do dokumentacji, szyfrowanie, prowadzenie rejestru czynności przetwarzania (art. 30 RODO) oraz - co do zasady przy przetwarzaniu danych zdrowotnych na dużą skalę - powołanie inspektora ochrony danych (art. 37 ust. 1 lit. c RODO). Odrębne obowiązki wynikają z ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, która chroni tajemnicę informacji związanych z pacjentem oraz reguluje zasady udostępniania dokumentacji medycznej. Dane o zdrowiu są więc chronione równolegle przez RODO i przepisy sektorowe.

Jaka jest odpowiedzialność za wyciek danych medycznych?

Odpowiedzialność może mieć kilka wymiarów. Administracyjnie - Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę pieniężną; górne progi określone w art. 83 RODO sięgają 20 mln euro lub 4% rocznego światowego obrotu (w zależności od rodzaju naruszenia, niższy próg to 10 mln euro lub 2%). Cywilnie - na podstawie art. 82 RODO osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Karnie - polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje odpowiedzialność m.in. za przetwarzanie danych bez podstawy prawnej (art. 107) oraz za udaremnianie kontroli (art. 108). Należy odróżnić te reżimy: kara administracyjna UODO to co innego niż odszkodowanie zasądzane przez sąd cywilny.

Najczęstsze pytania

Czy za wyciek danych medycznych zawsze grozi maksymalna kara z RODO?
Nie. Maksymalne progi z art. 83 RODO (do 20 mln euro lub 4% obrotu) to górne granice, a nie kara automatyczna. UODO ustala wysokość kary indywidualnie, biorąc pod uwagę m.in. charakter, wagę i czas trwania naruszenia, jego umyślność, podjęte działania zaradcze oraz stopień współpracy. Wiele naruszeń kończy się upomnieniem lub karą znacznie niższą od maksymalnej.
Czy pacjent może żądać pieniędzy za wyciek swoich danych?
Tak. Art. 82 RODO daje osobie poszkodowanej prawo do odszkodowania za szkodę majątkową oraz niemajątkową (np. naruszenie prywatności, stres). Roszczenia dochodzi się przed sądem cywilnym. Pacjent powinien wykazać naruszenie, szkodę oraz związek przyczynowy między nimi.
Kiedy placówka musi zgłosić naruszenie do UODO?
Administrator ma obowiązek zgłosić naruszenie ochrony danych do UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, należy dodatkowo zawiadomić samych pacjentów (art. 34 RODO).

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę