Nazwa
Decyzja Prezesa UODO nr DKN.5131.12.2022
Status
nieprawomocna
Tytuł
udzielenie placówce medycznej (administratorowi) upomnień oraz udzielenie zewnętrznemu dostawcy usług pocztowych (podmiotowi przetwarzającemu) upomnienia, a w pozostałym zakresie umorzenie postępowania — z powodu naruszenia przez administratora obowiązku weryfikacji, przed powierzeniem przetwarzania i w jego trakcie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, braku wdrożenia takich środków zapewniających bezpieczeństwo danych przetwarzanych za pośrednictwem poczty elektronicznej pełniącej funkcję wewnętrznego systemu obiegu dokumentacji (co naruszyło zasady poufności i rozliczalności), a także braku przeprowadzenia oceny skutków dla ochrony danych mimo takiego sposobu przetwarzania — oraz z powodu naruszenia przez podmiot przetwarzający obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających powierzone mu dane — w postępowaniu wszczętym z urzędu wskutek zgłoszenia naruszenia ochrony danych osobowych polegającego na nieuprawnionym przejęciu skrzynki pocztowej administratora, utrzymywanej u zewnętrznego dostawcy, co doprowadziło do ujawnienia danych osobowych pracowników, kontrahentów oraz pacjentów, w tym danych dotyczących stanu zdrowia i zapisów na szczepienia ochronne.
Słowa kluczowe
Zdrowie, Nieuwzględnienie zasad ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych, Naruszenie obowiązków ciążących na podmiocie przetwarzającym, Niewydanie upoważnienia do przetwarzania danych, Niewdrożenie odpowiednich środków technicznych i organizacyjnych bezpieczeństwo przetwarzania, Niezawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych, Brak oceny skutków dla ochrony danych, w sytuacji, gdy jest wymagana, Związane ze szczególnym statusem inspektora ochrony danych, Naruszenie zasad przetwarzania, Dopuszczalność przetwarzania danych szczególnie chronionych, Upomnienie, Analiza ryzyka, Bezpieczeństwo przetwarzania, Dane dotyczące zdrowia, Integralność i poufność, Minimalizacja danych, Ocena skutków przetwarzania dla ochrony danych, Phishing, Podmiot przetwarzający, Powierzenie przetwarzania, Rozliczalność, Rzetelność i przejrzystość, Szyfrowanie, Wysokie ryzyko, Zabezpieczenie danych, Zdrowie, Zgodność z prawem, Zgłaszanie naruszeń, Środki techniczne i organizacyjne
Podmiot udostępniający
Departament Kontroli i Naruszeń
Wytworzył informację

Mirosław Wróblewski

Prezes Urzędu Ochrony Danych Osobowych

Wprowadził informację

Edyta

16 marca 2026

Ostatnio edytował

Mirosław Wróblewski

11 czerwca 2026

Data ogłoszenia
11 czerwca 2026
Data publikacji
13 lipca 2026