W piątek Adam Niedzielski na portalu Twitter poinformował, na jaką grupę leków wypisał sobie receptę lekarz krytykujący w mediach działania resortu ws. limitów na e-recepty. A przez to pośrednio ujawnił informacje o jego stanie zdrowia.
Naczelna Izba Lekarska oraz senator Krzysztof Brejza niezwłocznie wysłali pisma w tej sprawie do Urzędu Ochrony Danych Osobowych. Ten w środę skierował do MZ szczegółowe pytania, a tego samego dnia resort oficjalnie zgłosił incydent naruszenia bezpieczeństwa danych. Zgodnie z RODO powinien to zrobić w terminie 72 godzin od powzięcia informacji o naruszeniu (czyli w praktyce od stwierdzenia, że dane zdarzenie stanowiło „incydent”, a nie od samego zdarzenia).
– Nowa minister zdrowia musi oszacować, jakie ryzyko niesie czyn ministra dla praw osoby, której dane dotyczą – mówi dr hab. Grzegorz Sibiga, prof. INP PAN. – Jeśli uzna, że było wysokie, to musi też zawiadomić tę osobę wraz ze szczegółowymi informacjami o samym naruszeniu, jego potencjalnych konsekwencjach dla lekarza i uprawnień, jakie mu przysługują. W zgłoszeniu do UODO należy też wskazać, jakie działania naprawcze są planowane, by zapobiec powtórzeniu się tego typu sytuacji – podsumowuje.
– W tym wypadku trzeba odróżnić działanie ministra jako organu od działań Adama Niedzielskiego jako człowieka na Twitterze – mówi adw. dr Paweł Litwiński. – Ale ktoś mu te dane dał, co wykazała kontrola poselska. Widocznie w resorcie doszli do wniosku, że nie zadziałały procedury. I właśnie w tym można dopatrywać się naruszenia bezpieczeństwa danych – bo on nie powinien dostać danych konkretnego lekarza. Zgłoszenie do UODO sprawia, że przestajemy dyskutować o faktach, a przechodzimy od oceny prawnej. Zgłoszenie jest bowiem pewnego rodzaju przyznaniem, że do naruszenia doszło – dodaje.
Urząd Ochrony Danych Osobowych wysłał już szczegółowe pytania do ministerstwa oraz rozpoczął badanie sprawy. W przypadku stwierdzenia że do naruszenia ochrony danych osobowych doszło, wyposażony jest w cały wachlarz środków prawnych, począwszy od sygnalizacyjnych przez upomnienie aż do władczych, łącznie z nakazem ograniczenia przetwarzania danych czy nałożeniem administracyjnej kary pieniężnej (dla organów administracji wynosi ona do 100 tys. zł).
