Naruszenie bezpieczeństwa danych medycznych - czym zajmuje się prawnik i co grozi placówce?

Dane o stanie zdrowia należą do tzw. szczególnych kategorii danych osobowych (art. 9 RODO) i podlegają najsilniejszej ochronie. Placówki medyczne - szpitale, przychodnie, gabinety, laboratoria - przetwarzają ogromne ilości takich danych w elektronicznej dokumentacji medycznej, dlatego są częstym celem ataków i miejscem poważnych naruszeń. Prawnik specjalizujący się w bezpieczeństwie informacji w sektorze medycznym pomaga zarówno placówkom (w zgodności z prawem i obronie przed odpowiedzialnością), jak i pacjentom, których dane wyciekły. Poniżej wyjaśniamy, jakie konkretnie przepisy obowiązują w Polsce, co grozi za naruszenie ochrony danych medycznych, jak wygląda procedura zgłoszenia wycieku oraz jakich roszczeń mogą dochodzić poszkodowani pacjenci. Uwaga: w polskim porządku prawnym nie obowiązuje amerykańska ustawa HIPAA - ramą prawną są RODO i przepisy krajowe.

Jakie prawo chroni dane medyczne w Polsce

Ochronę danych medycznych w Polsce tworzy kilka aktów. Podstawą jest RODO (rozporządzenie 2016/679), które dane o zdrowiu zalicza do szczególnej kategorii (art. 9) i wymaga wdrożenia adekwatnych środków technicznych i organizacyjnych (art. 32). Uzupełnia je ustawa z 10 maja 2018 r. o ochronie danych osobowych, która wprowadza m.in. odpowiedzialność karną za nielegalne przetwarzanie (art. 107) i udaremnianie kontroli (art. 108). Sektorowo obowiązuje ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, gwarantująca prawo do ochrony danych zawartych w dokumentacji medycznej i tajemnicy informacji o pacjencie, oraz przepisy o tajemnicy lekarskiej (art. 40 ustawy o zawodach lekarza i lekarza dentysty). Do tego dochodzą przepisy Kodeksu karnego o przestępstwach przeciwko ochronie informacji (m.in. art. 267 - nielegalny dostęp do informacji). Mit o HIPAA czy karach w dolarach nie ma w Polsce zastosowania - liczą się powyższe akty.

Co grozi za naruszenie ochrony danych pacjentów

Odpowiedzialność jest wielotorowa. (1) Administracyjna: Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć administracyjną karę pieniężną do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa (art. 83 RODO), a wobec podmiotów publicznych - do 100 tys. zł na podstawie art. 102 ustawy o ochronie danych osobowych. UODO realnie karze placówki medyczne za wycieki i niewystarczające zabezpieczenia. (2) Karna: art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat za przetwarzanie danych bez uprawnienia, a do 3 lat, gdy dotyczy to danych szczególnej kategorii (jak dane o zdrowiu); art. 267 KK karze do 2 lat osobę, która bezprawnie uzyskuje dostęp do informacji. (3) Cywilna: każdy, kto poniósł szkodę majątkową lub niemajątkową wskutek naruszenia RODO, ma prawo do odszkodowania (art. 82 RODO). (4) Zawodowa: lekarz lub pielęgniarka odpowiadają dodatkowo dyscyplinarnie za naruszenie tajemnicy. Te tory mogą biec równolegle.

Rola prawnika przy naruszeniu danych - reakcja na incydent

Gdy dojdzie do wycieku lub nieuprawnionego dostępu, liczy się czas i prawidłowa kwalifikacja zdarzenia. Prawnik prowadzi placówkę przez procedurę reakcji na incydent: (1) ocenia, czy doszło do naruszenia ochrony danych w rozumieniu art. 4 pkt 12 RODO i jakie kategorie danych objęło; (2) doradza w sprawie zgłoszenia naruszenia do Prezesa UODO w ciągu 72 godzin (art. 33 RODO), jeśli naruszenie może powodować ryzyko dla praw i wolności osób; (3) ocenia, czy konieczne jest zawiadomienie samych pacjentów (art. 34 RODO - przy wysokim ryzyku, np. wycieku danych o zdrowiu); (4) pomaga sporządzić rejestr naruszeń, który jest obowiązkowy nawet gdy zgłoszenie do UODO nie jest wymagane. Prawidłowo i terminowo przeprowadzona procedura często łagodzi odpowiedzialność, bo świadczy o staranności administratora - a jej brak zwykle obciąża placówkę.

Nieuprawniony dostęp do dokumentacji i wyciek danych

Najczęstsze naruszenia w placówkach to przeglądanie dokumentacji pacjentów bez podstawy (np. pracownik sprawdzający dane znajomego), zgubienie nośnika lub laptopa, błędne wysłanie wyników do niewłaściwego adresata, atak hakerski lub ransomware oraz udostępnienie danych osobie nieuprawnionej. Każde z tych zdarzeń może rodzić odpowiedzialność placówki jako administratora, a w przypadku umyślnego działania także odpowiedzialność karną konkretnej osoby (art. 107 ustawy o ochronie danych, art. 267 KK). Aby ograniczyć ryzyko, placówka powinna wdrożyć kontrolę dostępu opartą na rolach, logowanie i monitorowanie operacji na dokumentacji, szyfrowanie nośników i transmisji, politykę czystego biurka i ekranu, a przede wszystkim regularne szkolenia personelu - bo to błąd ludzki jest najczęstszą przyczyną naruszeń. Prawnik pomaga ustalić odpowiedzialność, zabezpieczyć dowody (logi systemowe) i przygotować placówkę do ewentualnej kontroli UODO.

Zgodność z prawem - audyty, polityki i Inspektor Ochrony Danych

Profilaktyka jest tańsza niż obrona po incydencie. Prawnik wspiera placówkę w zbudowaniu zgodnego z RODO systemu ochrony danych: opracowuje politykę ochrony danych i procedury bezpieczeństwa, sporządza i aktualizuje rejestr czynności przetwarzania (art. 30 RODO), prowadzi ocenę skutków dla ochrony danych (DPIA, art. 35 RODO - obowiązkową przy przetwarzaniu danych o zdrowiu na dużą skalę), przygotowuje umowy powierzenia przetwarzania (art. 28 RODO) z podmiotami zewnętrznymi (laboratoria, dostawcy IT, hosting dokumentacji). Placówka medyczna co do zasady musi wyznaczyć Inspektora Ochrony Danych (art. 37 RODO), bo przetwarza dane szczególnej kategorii na dużą skalę. Prawnik doradza też przy elektronicznej dokumentacji medycznej, której zasady prowadzenia określa rozporządzenie Ministra Zdrowia. Regularne audyty zgodności pozwalają wcześnie wykryć luki i je usunąć.

Oszustwa, kradzież tożsamości i ataki na sektor medyczny

Dane medyczne i osobowe pacjentów bywają wykorzystywane do oszustw i kradzieży tożsamości - np. do wyłudzenia świadczeń, kredytów lub leków na cudze dane. Sprawca podszywający się pod inną osobę odpowiada m.in. z art. 190a § 2 KK (kradzież tożsamości - wykorzystanie danych osobowych lub wizerunku w celu wyrządzenia szkody majątkowej lub osobistej), a w razie wyłudzenia mienia z art. 286 KK (oszustwo, do 8 lat). Ataki ransomware blokujące dostęp do systemów szpitalnych mogą wyczerpywać znamiona przestępstw przeciwko ochronie informacji (art. 267-269b KK). Prawnik reprezentuje placówkę i poszkodowanych pacjentów: składa zawiadomienie o przestępstwie, dochodzi naprawienia szkody (art. 46 KK) oraz, na drodze cywilnej, odszkodowania i zadośćuczynienia z RODO (art. 82) i z tytułu naruszenia dóbr osobistych (art. 23, 24 i 448 Kodeksu cywilnego).

Prawa pacjenta, którego dane wyciekły

Pacjent dotknięty naruszeniem nie jest bezbronny. Ma prawo: uzyskać od administratora informację o naruszeniu (art. 34 RODO przy wysokim ryzyku); wnieść skargę do Prezesa UODO (art. 77 RODO), który może wszcząć kontrolę i nałożyć karę na placówkę; żądać odszkodowania za szkodę majątkową oraz zadośćuczynienia za szkodę niemajątkową, np. stres czy naruszenie prywatności (art. 82 RODO i orzecznictwo TSUE, które potwierdza, że samo naruszenie nie wystarcza - trzeba wykazać szkodę, lecz może nią być również obawa nadużycia danych); skorzystać z dróg cywilnej ochrony dóbr osobistych (art. 24 KC). Pacjent może też zwrócić się do Rzecznika Praw Pacjenta. Prawnik pomaga zgromadzić dowody naruszenia i poniesionej szkody, sformułować roszczenie i wybrać najskuteczniejszą ścieżkę - administracyjną, cywilną lub karną - często łącząc je.