Co robi prawnik zajmujący się cyberatakami na placówki medyczne?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Placówki medyczne przetwarzają szczególnie wrażliwe dane: informacje o zdrowiu pacjentów. To czyni je atrakcyjnym celem cyberataków, a jednocześnie nakłada na nie surowe obowiązki prawne. Prawnik specjalizujący się w cyberbezpieczeństwie pomaga przejść przez obowiązki zgłoszeniowe, ocenić odpowiedzialność i ograniczyć ryzyko sankcji oraz roszczeń pacjentów.
Jakie przepisy obowiązują placówkę medyczną po cyberataku
Najważniejsze ramy to RODO (rozporządzenie 2016/679) oraz ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dane o zdrowiu to dane szczególnej kategorii (art. 9 RODO), objęte podwyższoną ochroną. Jeśli dochodzi do naruszenia ochrony danych osobowych, administrator co do zasady ma obowiązek zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), a w razie wysokiego ryzyka również zawiadomić osoby, których dane dotyczą (art. 34 RODO). Niezależnie od tego incydenty cyberbezpieczeństwa zgłasza się właściwemu zespołowi CSIRT (np. CSIRT NASK), zgodnie z terminami ustawy o KSC.
Ocena odpowiedzialności i ryzyka kar
Prawnik przeprowadza ocenę, czy placówka dochowała wymaganych środków technicznych i organizacyjnych (art. 32 RODO). Za naruszenie przepisów RODO grożą administracyjne kary pieniężne sięgające 20 mln euro lub 4 proc. rocznego światowego obrotu. Warto jednak doprecyzować częsty błąd: polska ustawa o ochronie danych osobowych ogranicza kary dla podmiotów sektora publicznego do 100 000 zł (art. 102), a nie 1 mln zł. Obok kar administracyjnych pacjenci mogą dochodzić odszkodowania na podstawie art. 82 RODO, a w grę wchodzi też odpowiedzialność cywilna z Kodeksu cywilnego.
Współpraca z ekspertami IT i obowiązki zgłoszeniowe
Prawnik koordynuje działania z zespołem bezpieczeństwa IT i biegłymi z zakresu informatyki śledczej, aby ustalić wektor ataku (np. phishing, ransomware, słabe hasła), zakres naruszenia i jego skutki. Ta analiza jest podstawą prawidłowego zgłoszenia do UODO i CSIRT oraz ewentualnego zawiadomienia organów ścigania o podejrzeniu przestępstwa (np. z art. 267 KK, nieuprawniony dostęp do informacji, lub art. 268a KK, niszczenie danych). Dokumentacja incydentu chroni placówkę w razie kontroli i sporu.
Działania naprawcze i zapobieganie kolejnym incydentom
Po opanowaniu sytuacji prawnik doradza przy odzyskiwaniu strat (np. roszczenia z polis cyberubezpieczenia, analiza umów z dostawcami IT pod kątem odpowiedzialności) oraz przy wdrożeniu rozwiązań ograniczających ryzyko: szyfrowania, polityk dostępu, szkoleń personelu, planów reagowania na incydenty i regularnych audytów bezpieczeństwa. Cel to nie tylko zgodność z prawem, ale realne zmniejszenie prawdopodobieństwa kolejnego ataku.
Najczęstsze pytania
Ile czasu ma placówka na zgłoszenie naruszenia danych?
Co do zasady 72 godziny od stwierdzenia naruszenia ochrony danych osobowych, zgodnie z art. 33 RODO. Zgłoszenie kieruje się do Prezesa UODO. Incydenty cyberbezpieczeństwa zgłasza się dodatkowo właściwemu CSIRT w terminach z ustawy o KSC.
Czy pacjent może pozwać placówkę po wycieku danych?
Tak. Art. 82 RODO daje osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Roszczenia można dochodzić przed sądem cywilnym.
Jakie kary grożą za naruszenie ochrony danych zdrowotnych?
Administracyjne kary pieniężne z RODO sięgają 20 mln euro lub 4 proc. rocznego obrotu. W Polsce kary dla podmiotów publicznych są ograniczone do 100 000 zł. Możliwa jest też odpowiedzialność cywilna i, w razie przestępstwa, karna.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę