Zapewne słyszeliście, iż ponad tydzień temu w jednym z laboratoriów medycznych doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów, w tym danych wrażliwych w postaci wyników badań laboratoryjnych.
W dużym skrócie doszło „po prostu” do ataku hakerskiego na bardzo dużą skalę. Taka sytuacja może spotkać każdą placówkę medyczną, każdy większy czy mniejszy podmiot leczniczy. Dlatego też warto wiedzieć, jakie należy podjąć kroki prawne, jeśli już do takiego naruszenia doszło.
Kwestię tę rozstrzyga wprost Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) w art. 33.
Jeśli uznamy, że taki atak skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, np. właśnie pacjentów, czy też naszych pracowników bez zbędnej zwłoki – nie później niż w terminie 72 godzin od stwierdzenia naruszenia – należy zgłosić ten fakt do UODO.
W przytoczonym stanie faktycznym, nie mamy wątpliwości, iż istnieje duże ryzyko naruszenia praw lub wolności pacjentów, zatem zgłoszenie do UODO było konieczne.
Takie zgłoszenia musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych.
Tutaj możemy wskazać, że np. doszło to nieuprawnionego pozyskania danych takich jak: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania, wynik badania laboratoryjnego.
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
Przykładowo laboratorium, w naszym stanie faktycznym wskazało:
- uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
- uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając swoją tożsamość za pomocą numeru PESEL,
- korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom, których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
- wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
- zarejestrowanie przedpłaconej karty telefonicznej (prepaid), która może posłużyć do celów przestępczych.
4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Ponadto podmiot leczniczy dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, w taki sposób, aby dokumentacja ta pozwoliła organowi nadzorczemu zweryfikowanie przestrzegania podjętych działań wymaganych przez prawo.
Kolejnym bardzo ważnym krokiem jest poinformowanie samych pacjentów o takim naruszeniu bez zbędnej zwłoki.
Co istotne zawiadomienie to musi być przekazane jasnym i prostym językiem.
Poza opisaniem charakteru naruszenia, powinno zawierać przynajmniej:
- dane inspektora danych osobowych lub innego punktu do kontaktu
- informację o możliwych konsekwencjach naruszenia
- opis podjętych środków zaradczych i tych proponowanych pacjentom w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
UWAGA
Jeśli takie zawiadomienie pacjentów wymagałoby niewspółmiernie dużego wysiłku, wówczas należy wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.
A co powinniście zrobić w takiej sytuacji wy, lekarze jako pacjenci (bo chyba i wam zdarza się być pacjentem)? Czy przysługują wam jakieś roszczenia? Jakich konsekwencji prawnych może obawiać się podmiot leczniczy w związku z atakiem hakerskim na dane osobowe pacjentów?
O tym w kolejnym wpisie.