Jakie kroki prawne może podjąć placówka medyczna, jeśli doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów?

Zapewne słyszeliście, iż ponad tydzień temu w jednym z laboratoriów medycznych doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów, w tym danych wrażliwych w postaci wyników badań laboratoryjnych.

W dużym skrócie doszło „po prostu” do ataku hakerskiego na bardzo dużą skalę. Taka sytuacja może spotkać każdą placówkę medyczną, każdy większy czy mniejszy podmiot leczniczy. Dlatego też warto wiedzieć, jakie należy podjąć kroki prawne, jeśli już do takiego naruszenia doszło.

Kwestię tę rozstrzyga wprost Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) w art. 33.

Jeśli uznamy, że taki atak skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, np. właśnie pacjentów, czy też naszych pracowników bez zbędnej zwłoki – nie później niż w terminie 72 godzin od stwierdzenia naruszenia – należy zgłosić ten fakt do UODO.

W przytoczonym stanie faktycznym, nie mamy wątpliwości, iż istnieje duże ryzyko naruszenia praw lub wolności pacjentów, zatem zgłoszenie do UODO było konieczne.

Takie zgłoszenia musi co najmniej:

opisywać charakter naruszenia ochrony danych osobowych.

Tutaj możemy wskazać, że np. doszło to nieuprawnionego pozyskania danych takich jak: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania, wynik badania laboratoryjnego.

zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

Przykładowo laboratorium, w naszym stanie faktycznym wskazało:

uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając swoją tożsamość za pomocą numeru PESEL,
korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom, których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
zarejestrowanie przedpłaconej karty telefonicznej (prepaid), która może posłużyć do celów przestępczych.

4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ponadto podmiot leczniczy dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, w taki sposób, aby dokumentacja ta pozwoliła organowi nadzorczemu zweryfikowanie przestrzegania podjętych działań wymaganych przez prawo.

Kolejnym bardzo ważnym krokiem jest poinformowanie samych pacjentów o takim naruszeniu bez zbędnej zwłoki.

Co istotne zawiadomienie to musi być przekazane jasnym i prostym językiem.

Poza opisaniem charakteru naruszenia, powinno zawierać przynajmniej:

dane inspektora danych osobowych lub innego punktu do kontaktu
informację o możliwych konsekwencjach naruszenia
opis podjętych środków zaradczych i tych proponowanych pacjentom w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

UWAGA

Jeśli takie zawiadomienie pacjentów wymagałoby niewspółmiernie dużego wysiłku, wówczas należy wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.

A co powinniście zrobić w takiej sytuacji wy, lekarze jako pacjenci (bo chyba i wam zdarza się być pacjentem)? Czy przysługują wam jakieś roszczenia? Jakich konsekwencji prawnych może obawiać się podmiot leczniczy w związku z atakiem hakerskim na dane osobowe pacjentów?

O tym w kolejnym wpisie.

Kancelaria prawa medycznego

Nasza kancelaria prawa medycznego powstała przede wszystkim w celu niesienia pomocy tym, którzy sami zajmują się jej świadczeniem. Niestety na przestrzeni ostatnich lat można zaobserwować znaczny wzrost ilości pozwów w sprawach o odszkodowania i zadośćuczynienia z tytułu zdarzeń medycznych oraz w związku z naruszeniem praw pacjenta.

Jako prawniczki mające długoletnie doświadczenie w tej branży, doskonale zdajemy sobie sprawę z tego, że nie należą one do najłatwiejszych. W końcu każdemu pracownikowi służby zdrowia zależy przede wszystkim na zdrowiu swojego pacjenta.

Oczywiście poza przekazywaniem wiedzy, pomagamy każdemu, kto się do nas zgłosi. Zarzut o błąd medyczny? Zarzut naruszenia praw pacjenta? A może nic z tych rzeczy, bo interesuje Cię założenie podmiotu leczniczego? Nasza kancelaria prawa medycznego służy wsparciem, pomocą i profesjonalną obsługą w każdej z tych kwestii (i nie tylko).

Jakie tematy poruszamy na naszym blogu?

W związku z dynamicznymi zmianami jakie zachodzą na rynku usług medycznych, w swoich działaniach koncentrujemy się przede wszystkim na tworzeniu treści dostosowanych do sytuacji, które mają miejsce TERAZ.

W związku z pandemią koronawirusa, ostatnio pojawia się znaczna ilość artykułów związanych z właśnie tym tematem. Jednak na blogu poruszamy także tematy z zakresu dokumentacji medycznej, praw lekarza i pacjenta oraz odpowiedzialności cywilnej w zawodzie lekarza.

Oczywiście to tylko część tematów, z jakimi możesz się zapoznać na naszej stronie. Wybierając temat artykułu, szczególną uwagę zwracamy na znaczenie praktyczne. Czy będzie on przydatny dla pracowników medycznych? Czy rozwieje ich wszelkie wątpliwości? Całe szczęście nie mamy z tym problemu. Wasze regularne pytania sprawiają, że wciąż mamy ręce pełne roboty. Oczywiście nie narzekamy. Bardzo dziękujemy za Wasze zaufanie i zapraszamy do kontaktu z naszą kancelarią prawa medycznego.

Dodaj komentarz Anuluj pisanie odpowiedzi

PRAWNIK LEKARZA NA FACEBOOKU

ZNAJDŹ NAS NA INSTAGRAMIE

prawniklekarza

TAGI GŁÓWNE

HISTORIA

Polityka prywatności

NOTA PRAWNA

REGULAMIN SKLEPU

Kancelaria Prawa Medycznego

Kancelaria prawa medycznego

Jakie tematy poruszamy na naszym blogu?

Jakie kroki prawne może podjąć placówka medyczna, jeśli doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów?

Co może lekarz w POZ i NŚPL po zmianie przepisów?

Co każdy Pacjent może zrobić, jeśli obawia się, że jego dane medyczne stały się przedmiotem ataku hakerskiego?

Dodaj komentarz Anuluj pisanie odpowiedzi

PRAWNIK LEKARZA NA FACEBOOKU

ZNAJDŹ NAS NA INSTAGRAMIE

prawniklekarza

Zapisz się na nasz newsletter!

Dziękujemy!

NAJCZĘŚCIEJ CZYTANE

TAGI GŁÓWNE

HISTORIA

Polityka prywatności

NOTA PRAWNA

REGULAMIN SKLEPU

Kancelaria Prawa Medycznego

Kancelaria prawa medycznego

Jakie tematy poruszamy na naszym blogu?