Niezabezpieczona dokumentacja pacjentów znajdowała się w samochodzie, który został skradziony lekarzowi – Urząd Ochrony Danych Osobowych sprawdził, jakie były procedury dotyczące ochrony danych w podmiocie medycznych zatrudniającym medyka i nałożył prawie 33 tys. złotych kary.
Sprawa dotyczyła Niepublicznego Zakładu Opieki Zdrowotnej w Pyskowicach.
W badanym przypadku urząd został poinformowany o incydencie. Z opisu wynikało, iż skradziono samochód, którym lekarz pojechał na wizytę domową do pacjenta. W aucie znajdowała się niezabezpieczona dokumentacja ośmiorga pacjentów, zawierająca:
- imiona,
- nazwiska,
- daty urodzenia,
- adresy zamieszkania,
- numery PESEL,
- dane dotyczące zdrowia.
Postępowanie wykazało, iż analiza ryzyka dla danych była niekompletna, przez co nie wdrożono odpowiednich zabezpieczeń dla dokumentacji medycznej przy wizytach domowych.
Lekarze zatrudnieni w podmiocie jeździli na wizyty domowe prywatnymi samochodami, na podstawie podpisywanych umów. Już w 2017 r. administrator bezpieczeństwa informacji w tej placówce zwrócił uwagę, iż przewożenie niezabezpieczonej dokumentacji jest ryzykowne, bo można ją zgubić albo stracić w wyniku kradzieży. Alarmował również, iż dokumentacja powinna być odwożona tego samego dnia do placówki, a nie zabierana przez lekarza na noc.
Mimo to szpital (będący administratorem danych) nie identyfikował prywatnych aut pracowników jako obszaru przetwarzania danych osobowych.
– Również same procedury w sposób bardzo ogólny odnosiły się do okoliczności przetwarzania danych poza siedzibą administratora. Nie odpowiadały na realne zagrożenia stwierdzone w audytach bezpieczeństwa – opisał UODO, publikując szczegóły decyzji.
Dokument w całości poniżej.
