Nielegalne pozyskanie danych medycznych - odpowiedzialność i obrona

Dane medyczne należą w polskim i unijnym porządku prawnym do kategorii najściślej chronionej. RODO zalicza informacje o zdrowiu do tzw. szczególnych kategorii danych osobowych (art. 9 RODO), których przetwarzanie jest co do zasady zakazane, chyba że zachodzi jeden z wyjątków, np. zgoda pacjenta lub świadczenie opieki zdrowotnej. Nielegalne pozyskanie takich danych, czyli wgląd do dokumentacji medycznej bez podstawy prawnej, skopiowanie kartoteki pacjenta, przeglądanie systemu szpitalnego z ciekawości czy przekazanie danych osobom trzecim, może oznaczać jednocześnie odpowiedzialność karną, cywilną, administracyjną i zawodową. Sprawą bywają objęci nie tylko hakerzy z zewnątrz, ale przede wszystkim pracownicy placówek medycznych, recepcjonistki, technicy IT czy byli pracownicy. W tym artykule wyjaśniamy, jakie przepisy polskiego prawa mają zastosowanie, jaka odpowiedzialność realnie grozi oraz jak wygląda skuteczna linia obrony, gdy ktoś usłyszał taki zarzut.

Dane medyczne jako dane szczególnej kategorii (art. 9 RODO)

Punktem wyjścia jest art. 9 ust. 1 RODO, który zakazuje przetwarzania danych dotyczących zdrowia, chyba że spełniona jest jedna z przesłanek z ust. 2, np. wyraźna zgoda osoby (art. 9 ust. 2 lit. a), niezbędność do celów profilaktyki zdrowotnej lub świadczenia opieki zdrowotnej przez podmiot zobowiązany do tajemnicy zawodowej (art. 9 ust. 2 lit. h). Pojęcie pozyskania danych obejmuje już samo uzyskanie do nich dostępu, a nie dopiero ich dalsze wykorzystanie. Dlatego pielęgniarka, która z ciekawości otwiera w systemie kartę pacjenta będącego jej sąsiadem, albo pracownik rejestracji, który sprawdza wyniki badań znanej osoby, przetwarza dane bez podstawy prawnej, nawet jeśli nikomu ich nie ujawnił. To zasadnicza różnica wobec potocznego rozumienia naruszenia: liczy się sam nieuprawniony wgląd. Każdy podmiot leczniczy działa też w oparciu o ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta, która gwarantuje pacjentowi prawo do zachowania w tajemnicy informacji z nim związanych.

Odpowiedzialność karna za nielegalny dostęp i ujawnienie danych

Nielegalne pozyskanie danych medycznych może wypełniać znamiona kilku przestępstw z Kodeksu karnego. Jeśli sprawca uzyskał dostęp do informacji nieprzeznaczonej dla niego przez przełamanie lub ominięcie zabezpieczeń elektronicznych albo informatycznych, odpowiada z art. 267 § 1 KK (do 2 lat pozbawienia wolności). Ten sam przepis (art. 267 § 3 KK) karze założenie podsłuchu lub innego urządzenia do pozyskania informacji. Jeżeli dane uzyskała osoba zobowiązana do tajemnicy, np. lekarz, pielęgniarka, pracownik administracji szpitala, i ujawniła je lub wykorzystała wbrew przepisom, w grę wchodzi art. 266 § 1 KK (ujawnienie tajemnicy zawodowej), zagrożony grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. Dodatkowo ustawa o ochronie danych osobowych z 10 maja 2018 r. przewiduje w art. 107 odpowiedzialność karną za przetwarzanie danych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy sprawca nie jest do tego uprawniony; w przypadku danych szczególnej kategorii (zdrowotnych) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 3. Przestępstwa te są umyślne, co ma kluczowe znaczenie dla obrony.

Odpowiedzialność administracyjna i cywilna z RODO

Poza odpowiedzialnością karną nielegalne pozyskanie danych medycznych rodzi konsekwencje administracyjne. Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć na administratora, czyli zwykle placówkę medyczną, administracyjną karę pieniężną na podstawie art. 83 RODO, sięgającą w przypadku naruszeń dotyczących danych szczególnej kategorii do 20 mln euro lub 4% rocznego światowego obrotu. Sama osoba fizyczna, która dopuściła się naruszenia jako pracownik, odpowiada zaś najczęściej dyscyplinarnie i karnie. Pacjent, którego dane wyciekły lub zostały bezprawnie przejrzane, ma własne roszczenie cywilne: art. 82 RODO przyznaje mu prawo do odszkodowania za szkodę majątkową i niemajątkową (zadośćuczynienie za naruszenie prywatności). Podstawą roszczeń o naruszenie dóbr osobistych są też art. 23 i 24 oraz art. 448 Kodeksu cywilnego. Placówka ma ponadto obowiązek zgłosić naruszenie ochrony danych do UODO w ciągu 72 godzin (art. 33 RODO) i, gdy ryzyko dla pacjentów jest wysokie, zawiadomić same osoby, których dane dotyczą (art. 34 RODO).

Odpowiedzialność zawodowa i pracownicza

Dla personelu medycznego nielegalny dostęp do danych pacjenta to także naruszenie tajemnicy lekarskiej lub zawodowej. Lekarzowi grozi odpowiedzialność zawodowa przed sądem lekarskim na podstawie ustawy o izbach lekarskich, z karami od upomnienia, przez naganę i ograniczenie zakresu czynności, aż po zawieszenie albo pozbawienie prawa wykonywania zawodu. Analogiczne reżimy obowiązują pielęgniarki, położne i diagnostów laboratoryjnych. Z perspektywy stosunku pracy bezprawny wgląd do danych jest ciężkim naruszeniem obowiązków pracowniczych i może uzasadniać rozwiązanie umowy bez wypowiedzenia w trybie art. 52 Kodeksu pracy (zwolnienie dyscyplinarne). Te postępowania toczą się niezależnie od sprawy karnej, dlatego jedna osoba może odpowiadać równolegle na kilku płaszczyznach: karnej, dyscyplinarnej i pracowniczej. W obronie istotne jest rozdzielenie tych postępowań i dbranie pod uwagę, że ustalenia jednego z nich nie zawsze automatycznie przesądzają o wyniku pozostałych.

Skuteczna linia obrony przed zarzutem

Obrona w sprawie o nielegalne pozyskanie danych medycznych opiera się przede wszystkim na trzech filarach. Po pierwsze, podstawa prawna dostępu: jeśli pracownik miał uprawnienie wynikające z procesu leczenia (np. uczestniczył w opiece nad pacjentem), jego wgląd nie był nieuprawniony i czyn nie wypełnia znamion. Po drugie, brak umyślności: przestępstwa z art. 266 i 267 KK są umyślne, więc przypadkowe wyświetlenie danych przy obsłudze systemu, błąd w numerze pacjenta czy działanie na wyraźne polecenie przełożonego mogą wyłączać winę. Po trzecie, jakość dowodów elektronicznych: oskarżenie zwykle opiera się na logach dostępu, które trzeba zweryfikować, czy konto nie było współdzielone, czy hasło nie zostało przejęte, czy zapis czasu jest wiarygodny. Pomocne bywa wykazanie, że dane były dostępne dla szerszego kręgu osób lub że zabezpieczenia placówki były wadliwe. Warto też pamiętać o instytucji warunkowego umorzenia postępowania (art. 66 KK) dla sprawcy niekaranego, gdy wina i szkodliwość czynu nie są znaczne, a szkoda została naprawiona.

Co zrobić po otrzymaniu zarzutu lub wykryciu naruszenia

Jeśli usłyszałeś zarzut, nie składaj wyjaśnień bez obrońcy. Przysługuje ci prawo do odmowy składania wyjaśnień (art. 175 KPK) oraz prawo do odmowy odpowiedzi na poszczególne pytania. Zabezpiecz dowody świadczące o legalności swojego dostępu (grafiki dyżurów, przydział pacjentów, polecenia służbowe) i nie modyfikuj żadnych zapisów w systemie, bo mogłoby to zostać uznane za zacieranie śladów. Jeśli jesteś pacjentem, którego dane bezprawnie przejrzano, złóż skargę do Prezesa UODO, zawiadomienie o przestępstwie na policję lub do prokuratury, a wobec placówki rozważ wniosek o odszkodowanie z art. 82 RODO. Jeśli jesteś administratorem (placówką), kluczowe są: niezwłoczne zgłoszenie naruszenia do UODO w ciągu 72 godzin, ocena ryzyka, zawiadomienie pacjentów przy wysokim ryzyku oraz dokumentacja całego incydentu, która później wpływa na wymiar ewentualnej kary. W każdej z tych ról wczesna konsultacja z prawnikiem specjalizującym się w ochronie danych i prawie karnym istotnie poprawia sytuację.