Cyberatak na placówkę medyczną: obowiązki prawne i rola adwokata

Placówki medyczne stały się jednym z najczęściej atakowanych sektorów w Polsce. Powód jest prosty: szpital, przychodnia czy laboratorium przetwarzają ogromne ilości danych o szczególnej kategorii (danych o zdrowiu w rozumieniu art. 9 RODO), a jednocześnie nie mogą sobie pozwolić na przestój systemów ratujących życie. To czyni je atrakcyjnym celem ataków ransomware, w których przestępcy szyfrują dane i żądają okupu. Po incydencie placówka funkcjonuje równolegle na kilku polach prawnych: jest ofiarą przestępstwa komputerowego (Kodeks karny), administratorem danych odpowiedzialnym przed Prezesem UODO (RODO), a często także podmiotem objętym ustawą o krajowym systemie cyberbezpieczeństwa. Ten artykuł porządkuje te obowiązki i pokazuje, w czym realnie pomaga adwokat lub radca prawny specjalizujący się w cyberbezpieczeństwie i ochronie danych.

Cyberatak na placówkę medyczną w świetle Kodeksu karnego

Sam atak na system informatyczny szpitala to przestępstwo ścigane z urzędu lub na wniosek pokrzywdzonego. Najważniejsze przepisy to: nielegalne uzyskanie dostępu do systemu lub danych (art. 267 Kodeksu karnego — kara grzywny, ograniczenia wolności albo pozbawienia wolności do 2 lat), niszczenie, uszkadzanie lub zmiana danych informatycznych (art. 268 i 268a k.k.), oraz zakłócanie pracy systemu, w tym przez ataki typu ransomware i DDoS (art. 269 i 269a k.k. — pozbawienie wolności od 3 miesięcy do 5 lat). Tworzenie i udostępnianie złośliwego oprogramowania lub haseł umożliwiających włamanie sankcjonuje art. 269b k.k. Jeżeli sprawcy żądają okupu za odszyfrowanie danych, dochodzi do tego kwalifikacja z art. 282 k.k. (wymuszenie rozbójnicze). Placówka jako pokrzywdzony ma prawo złożyć zawiadomienie o przestępstwie i uczestniczyć w postępowaniu, a adwokat reprezentuje ją na etapie postępowania przygotowawczego i ewentualnie jako pełnomocnik oskarżyciela posiłkowego.

Obowiązek zgłoszenia naruszenia ochrony danych do UODO (72 godziny)

Wyciek lub zaszyfrowanie danych pacjentów to niemal zawsze naruszenie ochrony danych osobowych. Zgodnie z art. 33 RODO administrator (placówka) ma obowiązek zgłosić naruszenie Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Przy danych o zdrowiu, które są danymi szczególnej kategorii, ryzyko jest zwykle wysokie. Wtedy z art. 34 RODO wynika dodatkowy obowiązek: zawiadomienia samych pacjentów bez zbędnej zwłoki. Adwokat pomaga ocenić, czy próg ryzyka został przekroczony, przygotować treść zgłoszenia i zawiadomień oraz udokumentować cały proces decyzyjny — to dokumentacja, której UODO żąda w razie kontroli. Uwaga praktyczna: nie istnieje w Polsce obowiązek uzyskania zgody pacjenta na zawiadomienie go o naruszeniu jego danych — to obowiązek administratora, a nie czynność wymagająca zgody.

Ustawa o krajowym systemie cyberbezpieczeństwa — kto i komu zgłasza incydent

Część placówek medycznych (zwłaszcza większe szpitale uznane za operatorów usług kluczowych w sektorze ochrony zdrowia decyzją organu właściwego) podlega ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Operator usługi kluczowej ma obowiązek zgłosić poważny incydent niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego zespołu CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV lub CSIRT MON — dla większości placówek będzie to CSIRT NASK, czyli zespół działający w NASK, znany operacyjnie jako CERT Polska). Termin 24 godzin to wymóg ustawy o KSC i dotyczy on wyłącznie podmiotów objętych tą ustawą — nie należy go mylić z 72-godzinnym terminem z RODO, który obowiązuje każdego administratora danych. Adwokat ustala, którym reżimom podlega dana placówka, i koordynuje obie ścieżki zgłoszeń, aby terminy nie zostały przekroczone.

Współpraca z biegłymi i informatyką śledczą

Skuteczna reakcja prawna wymaga ustalenia faktów technicznych. Adwokat współpracuje z biegłymi z zakresu informatyki śledczej, którzy zabezpieczają materiał dowodowy (logi, obrazy dysków, ślady w systemach) w sposób pozwalający wykorzystać go później w postępowaniu karnym i cywilnym. Najczęstsze wektory ataku na placówki to: phishing wymierzony w personel i przejęcie danych logowania, wykorzystanie nieaktualizowanego oprogramowania, słabe lub współdzielone hasła oraz zagrożenia wewnętrzne (nadużycie uprawnień przez pracownika). Rzetelne ustalenie wektora ma podwójne znaczenie prawne: po pierwsze, wspiera ściganie sprawcy; po drugie, pozwala wykazać przed UODO, jakie zabezpieczenia placówka stosowała i czy dochowała należytej staranności wymaganej art. 32 RODO (zapewnienie bezpieczeństwa przetwarzania). To rozróżnienie często decyduje o wysokości ewentualnej kary administracyjnej.

Odpowiedzialność placówki i kary administracyjne

Placówka może odpowiadać na trzech poziomach. Po pierwsze, administracyjnie wobec UODO — za naruszenie zasad RODO grożą administracyjne kary pieniężne do 20 mln euro lub do 4% rocznego światowego obrotu (w przypadku podmiotów publicznych ustawa o ochronie danych osobowych z 10 maja 2018 r. ogranicza karę do 100 000 zł). Po drugie, cywilnie wobec pacjentów — na podstawie art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo do odszkodowania od administratora. Po trzecie, za naruszenie obowiązków z ustawy o KSC organ właściwy może nałożyć kary pieniężne na operatora usługi kluczowej. Rolą adwokata jest minimalizacja tej odpowiedzialności przez wykazanie, że placówka działała z należytą starannością, prawidłowo i terminowo zgłosiła incydent oraz podjęła działania naprawcze. Warto pamiętać, że szybkie i transparentne zgłoszenie jest okolicznością łagodzącą braną pod uwagę przy wymiarze kary.

Roszczenia pacjentów i dochodzenie odszkodowania przez placówkę

Pacjenci, których dane wyciekły, mogą dochodzić zadośćuczynienia i odszkodowania na podstawie art. 82 RODO oraz przepisów Kodeksu cywilnego o ochronie dóbr osobistych (art. 23 i 24 k.c. w związku z art. 448 k.c.). Sąd Najwyższy i TSUE potwierdziły, że samo naruszenie nie wystarcza — poszkodowany musi wykazać szkodę i związek przyczynowy, ale szkodą może być także uzasadniona obawa nadużycia danych. Z drugiej strony placówka, jako ofiara przestępstwa, sama może dochodzić naprawienia szkody od sprawców (jeśli zostaną wykryci) oraz świadczenia z polisy cyberubezpieczenia. Adwokat ocenia realność roszczeń regresowych, analizuje umowy z dostawcami systemów IT pod kątem odpowiedzialności kontraktowej za luki w zabezpieczeniach oraz wspiera proces likwidacji szkody u ubezpieczyciela. Czas trwania takich postępowań bywa różny — od kilku miesięcy w sprawach ugodowych do kilku lat w sporach sądowych.

Działania zapobiegawcze, które chronią także prawnie

Najlepszą obroną prawną jest udokumentowana prewencja. Placówka powinna: prowadzić regularne audyty bezpieczeństwa systemów IT i oceny ryzyka (wymóg art. 32 RODO oraz dobrych praktyk KSC), szkolić personel z rozpoznawania phishingu i zasad ochrony danych, wdrożyć szyfrowanie danych, kopie zapasowe odłączone od sieci oraz uwierzytelnianie wieloskładnikowe, a także posiadać pisemny plan reagowania na incydenty z jasnym podziałem ról. Każde z tych działań, gdy jest udokumentowane, stanowi dowód należytej staranności, który adwokat wykorzysta w razie kontroli UODO lub postępowania. Warto też zawczasu ustalić ścieżkę kontaktu z CSIRT NASK i z kancelarią, aby w pierwszych 24-72 godzinach po incydencie nie tracić czasu na decyzje organizacyjne, lecz działać według gotowego schematu.