Polen: Universitetssjukhus bötfälls med 10 000 zloty efter oavsiktlig delning av hälsouppgifter med annan patient

Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Warszawski Uniwersytet Medyczny med 10 000 zloty för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att universitetssjukhuset gett en av sina patienter en remiss till en specialistklinik. På grund av den remitterande läkarens misstag innehöll remissen personuppgifter om en annan person. Uppgifterna omfattade den registrerades förnamn, efternamn, adress, PESEL-nummer (dvs. en elvasiffrig numerisk symbol som unikt identifierar en fysisk person och som innehåller födelsedatum, serienummer, kön och ett kontrollnummer) och hälsorelaterad information som exempelvis den registrerades diagnos.

Eftersom den registrerades förnamn innehöll ett stavfel ansåg universitetssjukhuset att uppgifterna i fråga gällde en icke existerande person. Av denna anledning beslutade universitetssjukhuset att det var osannolikt att incidenten skulle leda till en risk för den registrerades rättigheter och friheter och underrättade inte UODO eller den registrerade om personuppgiftsincidenten.

UODO ansåg att det inträffat en personuppgiftsincident som bestod i att den registrerades personuppgifter avslöjats för en obehörig person. Trots att den registrerades förnamn angetts felaktigt kunde den registrerade fortfarande lätt identifieras med hjälp av sitt efternamn, sin adress och sitt PESEL-nummer. Dessutom bidrog inte bara det faktum att uppgifterna innehöll hälsorelaterad information till incidentens allvar, utan ökade också enligt UODO sannolikheten för att den registrerade skulle kunna identifieras.

UODO ansåg även att universitetssjukhusets riskbedömning felaktigt identifierat den risk som personuppgiftsincidenten innebar som alltför låg. Enligt UODO fanns det, på grund av uppgifternas omfattning, såsom hälsorelaterade uppgifter och PESEL-nummer som skulle kunna användas för identitetsstöld, en hög risk för den registrerades rättigheter och friheter.

UODO ansåg att universitetssjukhuset brutit mot artiklarna 33.1 och 34.1 GDPR genom att inte underrätta myndigheten om personuppgiftsincidenten och genom att inte informera den registrerade om den inträffade händelsen, och bötfällde universitetssjukhuset med 10 000 zloty. UODO beordrade även universitetssjukhuset att informera den registrerade om personuppgiftsincidenten inom tre dagar från den dag myndighetens beslutet vunnit laga kraft.

Mer information

Myndighet: Urzędu Ochrony Danych Osobowych (UODO)

Land: Polen

Lagrum: Art. 33 GDPR, art. 34 GDPR

Sanktionsavgift: 10 000 zloty

Mottagare: Warszawski Uniwersytet Medyczny

Beslutsnummer: DKN.5131.34.2021

Beslutsdatum: 2022-07-06

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.