Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Warszawski Uniwersytet Medyczny med 10 000 zloty för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att universitetssjukhuset gett en av sina patienter en remiss till en specialistklinik. På grund av den remitterande läkarens misstag innehöll remissen personuppgifter om en annan person. Uppgifterna omfattade den registrerades förnamn, efternamn, adress, PESEL-nummer (dvs. en elvasiffrig numerisk symbol som unikt identifierar en fysisk person och som innehåller födelsedatum, serienummer, kön och ett kontrollnummer) och hälsorelaterad information som exempelvis den registrerades diagnos.
Eftersom den registrerades förnamn innehöll ett stavfel ansåg universitetssjukhuset att uppgifterna i fråga gällde en icke existerande person. Av denna anledning beslutade universitetssjukhuset att det var osannolikt att incidenten skulle leda till en risk för den registrerades rättigheter och friheter och underrättade inte UODO eller den registrerade om personuppgiftsincidenten.
UODO ansåg att det inträffat en personuppgiftsincident som bestod i att den registrerades personuppgifter avslöjats för en obehörig person. Trots att den registrerades förnamn angetts felaktigt kunde den registrerade fortfarande lätt identifieras med hjälp av sitt efternamn, sin adress och sitt PESEL-nummer. Dessutom bidrog inte bara det faktum att uppgifterna innehöll hälsorelaterad information till incidentens allvar, utan ökade också enligt UODO sannolikheten för att den registrerade skulle kunna identifieras.
UODO ansåg även att universitetssjukhusets riskbedömning felaktigt identifierat den risk som personuppgiftsincidenten innebar som alltför låg. Enligt UODO fanns det, på grund av uppgifternas omfattning, såsom hälsorelaterade uppgifter och PESEL-nummer som skulle kunna användas för identitetsstöld, en hög risk för den registrerades rättigheter och friheter.
UODO ansåg att universitetssjukhuset brutit mot artiklarna 33.1 och 34.1 GDPR genom att inte underrätta myndigheten om personuppgiftsincidenten och genom att inte informera den registrerade om den inträffade händelsen, och bötfällde universitetssjukhuset med 10 000 zloty. UODO beordrade även universitetssjukhuset att informera den registrerade om personuppgiftsincidenten inom tre dagar från den dag myndighetens beslutet vunnit laga kraft.