Ako sa nemocnica aj napriek porušeniu ochrany zdravotných údajov pacienta vyhla pokute?

Nie každé porušenie ochrany osobných údajov musí automaticky znamenať pokutu. Úrad pre ochranu osobných údajov Slovenskej republiky vydal rozhodnutie, v ktorom skonštatoval porušenie GDPR nemocnicou v postavení prevádzkovateľa, a to v dôsledku neoprávneného konania zdravotnej sestry (zamestnankyne nemocnice) pri spracúvaní osobných údajov pacienta.

V danom prípade došlo k neoprávnenému prístupu** k osobným údajom pacienta zo strany zamestnankyne, ktorá sa oboznámila s osobnými údajmi pacienta iného oddelenia spracúvanými nemocnicou, a následne ich neoprávnene využila pri osobnej, súkromnej komunikácii**. Neoprávneným prístupom k osobným údajom došlo k porušeniu dôvernosti osobných údajov.

Vďaka vyvodeniu pracovnoprávnej zodpovednosti voči zamestnankyni nemocnicou ako prevádzkovateľom a preukázaním správneho postupu v oblasti GDPR, Úrad neuložil pokutu ani nápravné opatrenia, a to aj napriek tomu, že porušenie sa týkalo zdravotných údajov, ktorých spracúvanie si vyžaduje vyššiu mieru ochrany.

Úrad pre neuloženie sankcie zobral do úvahy:

• porušenie vzniklo konaním správne preškoleného zamestnanca v oblasti spracúvania osobných údajov,
• voči tomuto zamestnancovi bola vyvodená pracovnoprávna zodpovednosť zo strany zamestnávateľa (hrozba okamžitého skončenia pracovného pomeru a finančný postih),
• rozsah porušenia - išlo o údaje jedného konkrétneho pacienta, aj keď sa jednalo o osobitnú kategóriu osobných údajov,
• nemocnica má prijaté dostatočné bezpečnostné opatrenia v informačnom systéme – napr. je schopná zistiť, kto v konkrétnom čase prehliadal osobné údaje konkrétneho pacienta (systém logovania),
• nemocnica nezískala nijaké finančné výhody v súvislosti s týmto pochybením;
• ide o prvé porušenie ochrany osobných údajov nemocnicou.

Podľa skutkového stavu zisteného Úradom, zamestnankyňa nemocnice neoprávnene získala osobné údaje pacienta (navrhovateľa) z informačného systému nemocnice, do ktorého síce mala prístup na základe poverenia prevádzkovateľa v súlade s čl. 29 GDPR, z titulu svojej pracovnej pozície a pracovnej náplne, avšak konala v rozpore s pokynmi prevádzkovateľa, ktoré jej udelil v súlade s požiadavkami GDPR pri spracúvaní osobných údajov pacientov.

V danom prípade zamestnankyňa prehliadala zdravotnú dokumentáciu pacienta z iného oddelenia, napriek bezpečnostným opatreniam prijatými nemocnicou. Následne zamestnankyňa zneužila zdravotné údaje v súkromnej komunikácii s navrhovateľom cez aplikáciu WhatsApp, čím porušila povinnosť mlčanlivosti podľa § 79 zákona č. 18/2018 Z. z. o ochrane osobných údajov a zásadu dôvernosti osobných údajov podľa čl. 5 ods. 1 písm. f) GDPR.

Z komunikácie medzi Úradom a nemocnicou vyplynulo, že voči zamestnankyni nemocnice bola vyvodená pracovnoprávna zodpovednosť, pretože zamestnankyňa v zmysle opatrení prijatých zamestnávateľom nemala nazerať do zdravotnej dokumentácie pacienta, ktorý nebol na „jej“ oddelení, ani nebol ošetrovaný na danom oddelení. Nemocnica písomne upozornila zamestnankyňu na závažné porušenie pracovnej disciplíny, ako aj na možnosť skončenia pracovného pomeru v prípade, ak nedôjde z jej strany k náprave. Rovnako bol voči nej uplatnený finančný postih, aby sa podobné prípady neopakovali.

Nemocnica ďalej preukázala správnosť poverenia na spracúvanie osobných údajov zamestnanca v súlade s požiadavkami GDPR a preukázala aj splnenie ďalších povinností, ktoré jej GDPR ukladá pri spracúvaní osobných údajov dotknutých osôb v pozícii prevádzkovateľa (prijatie vhodných bezpečnostných opatrení, školenie zamestnancov v oblasti ochrany osobných údajov, poverenie zamestnancov na spracúvanie osobných údajov spolu s povinnosťou dodržiavať mlčanlivosť o spracúvaní osobných údajov a pod.).

Úrad tiež uviedol, že považuje systém logovania prístupov „za jedno z primeraných bezpečnostných opatrení zo strany prevádzkovateľa, ktorými môže kontrolovať postupy zamestnancov pri spracúvaní osobných údajov“, vďaka čomu sa mu podarilo identifikovať zdroj porušenia, uskutočniť potrebné opatrenia a vyvodiť dôsledky voči porušiteľovi.

Aj napriek tomu, že porušenie spôsobil zamestnanec nemocnice ako poverená osoba, nemocnica ako prevádzkovateľ nesie objektívnu zodpovednosť za dané poručenie. Správnym vedením a implementovaním procesov a opatreniam v oblasti ochrany osobných údajov (preventívnym aj následným) sa však vyhla nepríjemným sankciám.