Minister Zdrowia bezprawnie ujawnił dane osobowe. Resort zapłaci maksymalną karę, ale to nie koniec.
Prezes Urzędu Ochrony Danych Osobowych zdecydował, że Ministerstwo Zdrowia bezprawnie ujawniło na Twitterze (aktualnie X) informacje o stanie zdrowia osoby. Postępowanie administracyjne urzędu zostało już zakończone i mamy decyzję: najwyższa możliwa kara dla podmiotu z sektora publicznego: 100 tysięcy złotych.
Przypomnę, że chodzi o zamieszanie związane z lekarzem z Poznania, który nieprzychylnie wypowiedział się o e-receptach w TVN na początku sierpnia. Ówczesny Minister Zdrowia Adam Niedzielski zareagował, publikując informację o tym, że lekarz sam na siebie wystawił receptę. Naruszenie widać tu jak na dłoni.
Zobacz: Minister Niedzielski do dymisji? W tle WhatsApp
Pan Adam Niedzielski podał się do dymisji po tej wpadce w mediach społecznościowych. Niemniej mleko się rozlało i sprawa trafiła do odpowiedniego organu i została odpowiednio przeanalizowana. Pełna treść decyzji UODO znajduje się na stronie urzędu. Warto zwrócić uwagę na to, że choć karę za naruszenie zapłaci Ministerstwo Zdrowia (z publicznych pieniędzy, czyli z naszych podatków), jest też możliwość dochodzenia rekompensaty bezpośrednio od osoby odpowiedzialnej – pana Adama Niedzielskiego we własnej osobie. UODO w decyzji pisze bowiem:
Ponadto należy zaznaczyć, iż rozstrzygnięcia zawarte w niniejszej decyzji nie wyczerpują wszystkich aspektów sprawy, a w szczególności nie przesądzają o braku osobistej odpowiedzialności osoby sprawującej funkcję Ministra Zdrowia za działania, których skutkiem było naruszenie ochrony danych osobowych lekarza, jego praw i wolności chronionych przepisami rozporządzenia 2016/679 oraz jego dóbr osobistych. Poza innymi uprawnieniami lekarza leżącymi poza zakresem kompetencji Prezesa UODO (np. możliwością wystąpienia z roszczeniami cywilnoprawnymi), przysługuje mu bowiem jeszcze prawo złożenia do Prezesa UODO skargi na niezgodne z prawem przetwarzanie jego danych osobowych przez Ministra Zdrowia działającego „prywatnie” jako osoba fizyczna.
To brzmi jak zachęta dla poszkodowanego lekarza z Poznania do złożenia skargi do Prezesa UODO na konkretną osobę. Czy to zrobi? To już decyzja osobista, podobnie jak ewentualnie postępowanie na drodze cywilnoprawnej.
W tym zamieszaniu sporą rolę odegrał najpopularniejszy komunikator świata: WhatsApp. Ówczesny minister zdrowia poprosił bowiem osobę pracującą bliżej systemu recept elektronicznych o „pomoc” i otrzymał dane właśnie przez WhatsApp.
Komunikator uchodzi za bezpieczny, bo obsługuje szyfrowanie end-to-end, ale nie jest na tyle „szczelny”, by zaufały mu jednostki rządowe. To też zostało podkreślone przez UODO:
Ryzyko w tym zakresie dodatkowo zwiększa fakt wykorzystania do przekazania danych osobowych lekarza pozyskanych z systemu […] Ministrowi Zdrowia za pomocą komunikatora WhatsApp, którego to kanału przekazywania danych nie zidentyfikowano w przeprowadzonej analizie ryzyka. Wykorzystany przez Ministra Zdrowia środek przekazu nie może zostać uznany za taki, który może być stosowany do komunikowania się przez organy administracji publicznej […]
Warto przypomnieć, że Meta, czyli właściciel WhatsAppa, został ukarany w 2021 i 2023 roku przez Komisję Ochrony Danych w Irlandii za brak przejrzystości w przetwarzaniu danych osobowych. W tym za brak jasnych informacji o tym, jakie dane i kiedy są przekazywane innym podmiotom z grupy Meta i brak zgodności z rozporządzeniem Europejskiej Rady Ochrony Danych.
Źródło zdjęć: Horenst1 / Wikimedia
Źródło tekstu: decyzja UODO, oprac. własne