25 maja 2018 roku skończył się dwuletni okres dostosowawczy do dyrektywy RODO. Mimo to nadal wiele placówek nie wie, jak dbać o prawa pacjenta. Zgodnie z nowymi przepisami za wyciek danych pacjentów placówka może zapłacić nawet do 20 mln euro kary.

Ochrona danych osobowych – jak istotna to kwestia, niech świadczy przykład wycieku danych pacjentów oraz personelu jednego ze szpitali w Wielkopolsce. Informacje zebrane na serwerze obejmowały dane osobowe ponad 50 000 osób, w tym dane wrażliwe. Jak wynikało ze wstępnych ustaleń policji i prokuratury, dane osobowe były przechowywane na niezabezpieczonych hasłem serwerach. Udostępnione informacje obejmowały dane zarówno personelu, jak i 50 000 pacjentów zarejestrowanych w latach 2003-2007. Prawdopodobnie jest to jeden z największych wycieków danych osobowych w historii polskiej ochrony zdrowia. Incydent obejmuje również rejestr chorób zakaźnych z lat 2014-2017 oraz korespondencję służbową osób zatrudnionych w szpitalu. W przypadku ponad 600 pracowników dane mogą być wykorzystane do kradzieży tożsamości, np. w celu zaciągnięcia kredytu.

Odpowiedzialność za udostępnianie danych

Osoby, których dobra osobiste zostały naruszone, mogą się ubiegać o zadośćuczynienie, a winnym wyciekowi danych grozi odpowiedzialność karna. W praktyce sądy w tego typu sprawach jak dotąd nie zasądzały zbyt wysokich kwot, zwykle mieściły się one w przedziale 7000-10 000 zł. W przypadku danych medycznych mamy jednak do czynienia z informacjami wrażliwymi, co wpływa na wysokość orzekanej kary. W świetle art. 52 Ustawy o ochronie danych osobowych (UODO) osobie, która naruszyła choćby nieumyślnie obowiązek zabezpieczenia danych osobowych przed zabraniem przez osobę nieuprawnioną, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Czy RODO jest w stanie zapobiec opisanemu wyżej wydarzeniu? Zdecydowanie tak. Dzięki dobrze przeprowadzonej przez RODO analizie ryzyka i chłodnej ocenie infrastruktury IT możliwe jest niedopuszczenie do powstania problemu. Takie działanie pozwala odkryć słabe strony ochrony danych osobowych. Na podstawie przeprowadzonej analizy można wprowadzić środki zaradcze minimalizujące ryzyko. A w opisanej sytuacji wystarczyło zastosować podstawy najlepszych praktyk.