W ostatnim wpisie wyjaśniłyśmy Wam, jak powinna zachować się placówka medyczna, gdy doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów. To teraz czas zastanowić się jakie uprawnienia mają w takiej sytuacji pacjenci i jakich konsekwencji prawnych może obawiać się podmiot leczniczy w związku z atakiem hakerskim, na dane osobowe pacjentów. Pytania te nie są wcale abstrakcyjne. Wiedza w tym zakresie z pewnością przyda się pacjentom jednego z laboratoriów, w których doszło do groźnego wycieku danych osobowych. W wyniku ataku hakerskiego RA World wykradziono według doniesień medialnych 55.089 wyników badań, zawierających ponad 12.000 danych osobowych takich jak imiona i nazwiska, numery PESEL, adresy zamieszkania. Powyższe informacje hakerzy publikują systematycznie domagając się wypłaty okupu od spółki. Sprawa ta stanowi poważne ryzyko dla pacjentów, ze względu na zagrożenia wynikające z przestępczego posługiwania się danymi do uzyskiwania wyłudzeń finansowych, logowania do serwisów i kont, nielegalnego upublicznienia danych wrażliwych, np. o stanie zdrowia.
W jaki sposób możemy więc sprawdzić czy nasze dane wyciekły do sieci internetowej?
W przypadku omawianej sytuacji, pod adresem: https://bezpiecznedane.gov.pl/ każdy pacjent, który korzystał w latach 2017-2023 z usług sieci laboratoriów powinien sprawdzić, czy padł ofiarą ataku. Może to wykonać poprzez logowanie na portalu bezpiecznedane.gov.pl, za pomocą profilu zaufanego lub aplikacji mObywatel. Pamiętajmy, że w serwisie znajdziemy tylko numery PESEL do tej pory upublicznione przez przestępców, należy więc sytuację monitorować na bieżąco i co jakiś czas ponownie sprawdzać.
Jakie uprawnienia przysługują pacjentowi w związku z wyciekiem danych medycznych?
Każdy pacjent może zgłosić do CERT Polska (Computer Emergency Response Team), czyli zespołu powołanego do reagowania na zdarzenia naruszające bezpieczeństwo w internecie przypadki wyłudzeń internetowych, złośliwego oprogramowania, prób włamań na konto pacjenta za pomocą formularza na stronie: incydent.cert.pl lub wiadomością e-mail- cert@cert.pl lub pod numerem +48 799 448 084.
Co z zastrzeżeniem numeru PESEL?
Za pomocą serwisu mobywatel.gov.pl pacjenci mają możliwość zastrzec numer PESEL w sekcji ,,Rejestr Zastrzeżeń PESEL” co utrudni przestępcze posługiwanie się danymi. Należy jednak pamiętać, że zgodnie z obowiązującymi przepisami, obowiązek sprawdzenia czy dany PESEL został zastrzeżony, banki i inne instytucje będą miały dopiero od 1 czerwca 2024 roku. Do tej pory należy liczyć się z ryzykiem wyłudzenia kredytu na fałszywe dane.
Serwis BIK
Każdy pacjent, który obawia się, że jego dane mogły dostać się w niepowołane ręce może zwrócić się do Serwis Biura Informacji Kredytowej, który umożliwia wykupienie usługi pozwalającej na ochronę przed wyłudzeniem poprzez raport BIK. Dzięki otrzymanemu Raportowi można sprawdzić, kto pytał o nasze dane osobowe oraz upewnić się, że nie ma się zobowiązań, o których nie wiadomo, czyli jednym słowem zweryfikować, czy nie jesteśmy dłużnikiem.
Odpowiedzialność karna
Warto wiedzieć, że bezprawne uzyskanie informacji (267 k.k.), niszczenie danych informatycznych (268a k.k.) oraz oszustwa komputerowe (287 k.k.) stanowią przestępstwa, które w momencie wykrycia powinny być zgłoszone Policji lub Prokuraturze. Należy pamiętać, że są to przestępstwa ścigane na wniosek, co oznacza, że bez zgłoszenia organy ścigania nie rozpoczną właściwych procedur.
Odpowiedzialność cywilna
W poruszonym wyżej przypadku, sieć laboratoriów, o których jest teraz tak głośno, zgodnie z Rozporządzeniem o ochronie danych, ustaliła okoliczności zdarzenia, oceniła ryzyko jako wysokie, przekazała informację do UODO i CERT oraz poinformowała pacjentów o wycieku danych. Zadziałały mechanizmy przewidziane w Rozporządzeniu. Jednak należy podkreślić, że nadal sieć laboratoriów, jako administrator danych osobowych ponosi odpowiedzialność za przetwarzanie tych danych, które powinny być gromadzone zgodnie z zasadami bezpieczeństwa. W wyniku poniesionej szkody majątkowej lub upublicznienia informacji wrażliwych, poszkodowanym przysługuje dochodzenie roszczeń sądowych na drodze cywilnej oraz zgłoszenie do Prezesa UODO wniosku o wszczęcie postępowania na drodze administracyjnej. W wyniku stwierdzenia naruszenia przez Prezesa UODO, poszkodowany może również dochodzić roszczenia
o naprawienie szkody, którą poniósł w związku z wyciekiem danych stwierdzonych
w postępowaniu administracyjnym. Warto przypomnieć, że na drodze postępowania cywilnego w sprawach dotyczących naruszeń danych osobowych, ustawodawca przewidział w celu ochrony poszkodowanych odwrócony ciężar dowodu. To na administratorze spoczywa obowiązek udowodnienia przed sądem, że przetwarzał dane w sposób należyty, zgodnie z zasadami bezpieczeństwa.
Dodaj komentarz