Kradzież danych osobowych ze szpitala. Co mogą zrobić pacjenci?

Po tym, gdy we włocławskim szpitalu doszło do włamania do skrzynki mailowej sekretariatu, pytamy ekspertów, co mogą teraz zrobić pacjenci i jak ochronić się przed takimi zdarzeniami w przyszłości. Pierwszym krokiem może być zastrzeżenie numeru PESEL.

Publikacja: 02.12.2024 14:18

Kradzież danych osobowych ze szpitala. Co mogą zrobić pacjenci?

Foto: Chinnapong

Karina Knorps-Tuszyńska

W przypadku Wojewódzkiego Szpitala Specjalistycznego we Włocławku nie ma pewności, jakie dane osobowe mogły wyciec w wyniku ataku, do którego doszło w listopadzie. Z pewnością w niektórych przypadkach ujawniono imię i nazwisko, numer PESEL, adres zamieszkania.

Jakie mogą być skutki kradzieży danych osobowych ze szpitala?

– Wieloletnie zaniedbania w ochronie danych osobowych w placówkach medycznych powodują, że są one łatwo dostępnym celem. Wskutek kradzieży danych osobowych w takiej jednostce może dojść do naruszenia dóbr osobistych pacjentów, jeśli ujawnione czy opublikowane zostałyby dane dotyczące stanu zdrowia. Możliwa jest także próba szantażowania pacjentów przez osoby nieuprawnione, które uzyskały dostęp do danych zostawionych w lecznicy. Dane mogą także posłużyć do zakładania różnego rodzaju kont internetowych lub skorzystania z pożyczek przez telefon – mówi prawniczka Aneta Sieradzka, członkini Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych. Jak dodaje, skutki kradzieży mogą także odczuć osoby bliskie pacjenta, np. jego dzieci, jeśli ich dane zostały udostępnione w placówce.

Czytaj więcej

E-receptę można wykupić bez konieczności podawania numeru PESEL

Zdrowie

Nie trzeba podawać numeru PESEL w aptece. Można to obejść na cztery sposoby

Wraz z e-receptami pojawiło się nowe zagrożenie dotyczące danych osobowych. Można je jednak ominąć m.in. dzięki aplikacji mObywatel. Jak zrealizować receptę w aptece bez podawania wrażliwych danych osobowych?

Co robić, gdy skradziono nasze dane osobowe?

– Gdy już dojdzie do kradzieży danych, w pierwszej kolejności rekomendowałbym zastrzeżenie numeru PESEL. Ważne jest także udokumentowanie tego incydentu, żeby w przyszłości mieć możliwość wykazania, że do danego działania doszło wskutek kradzieży danych. Nie wiadomo, kiedy te dane zostaną użyte – mówi adwokat Paweł Zawartka, członek zarządu Fundacji Entropia, podejmującej działania na rzecz ochrony praw i wolności obywateli w społeczeństwie cyfrowym.

– Poszkodowani pacjenci powinni zmienić hasła i loginy do wszelkich kont, z których korzystają, zwłaszcza gdy loginem był numer PESEL. Mogą także złożyć skargę do Urzędu Ochrony Danych Osobowych, skontaktować się z inspektorem ochrony danych osobowych w tym szpitalu, aby dowiedzieć się, czy po ataku zaktualizowano procedury i przeszkolono personel, a w uzasadnionych przypadkach mogą także złożyć do organów ścigania zawiadomienie o możliwości popełnienia przestępstwa z uwagi na naruszenie danych osobowych. Pacjenci mogą też wystąpić przeciwko placówce medycznej na drogę cywilną – tłumaczy mec. Aneta Sieradzka. Zwraca jednak uwagę, że sprawy sądowe są czasochłonne, kosztowne oraz stresujące, a zasądzane kwoty zadośćuczynienia w stosunku do wydatków są dość niskie – najczęściej wynoszą od kilku do kilkunastu tysięcy złotych. Najwyższe dotychczas zadośćuczynienie w związku z naruszeniem przepisów m.in. o ochronie danych osobowych zasądził Sąd Okręgowy w Warszawie – w wysokości 20 tys. zł (oraz obowiązek zwrotu kosztów postępowania na rzecz powódki). Uwidacznia to, jak symboliczne kwoty zasądzają sądy.

Kiedy i za co dochodzić odszkodowania za wyciek danych?

– Rozporządzenie o ochronie danych osobowych (RODO) umożliwia dochodzenie odszkodowania i zadośćuczynienia od administratora, który przetwarzał dane osobowe, a te dane wyciekły. Zgodnie z RODO szkoda może być zarówno majątkowa, jak i niemajątkowa, chodzi zatem zarówno o straty materialne, jak i niematerialne. Osoba, której dane wykradziono, nie zazna już spokoju, ponieważ wykradzione dane osobowe mogą zostać wykorzystane nie tylko wkrótce po kradzieży, ale też wiele lat później. Raz skradzione dane mogą krążyć po internecie już w nieskończoność – podkreśla adwokat Paweł Zawartka.

Czytaj więcej

Dane osobowe

Czy banki mogą kserować dowody osobiste klientów? Eksperci odpowiadają

Do "Rzeczpospolitej" zgłaszają się czytelnicy zaniepokojeni praktyką kserowania dowodów osobistych przez banki. Jednak w odróżnieniu od np. wypożyczalni sprzętu sportowego, w tym przypadku praktyka taka jest zupełnie legalna.

W grudniu 2023 r. Trybunał Sprawiedliwości Unii Europejskiej (sygn. akt C-340/21) orzekł, że szkodą jest także obawa osoby, której dane wyciekły przed ewentualnym wykorzystaniem jej danych osobowych (zgodnie z art. 82 RODO, który reguluje odpowiedzialność odszkodowawczą w wyniku naruszenia tego rozporządzenia). Oznacza to, że nie musi dojść do nieuprawnionego wykorzystania danych przez tego, kto je wykradł, aby żądać poniesienia odpowiedzialności odszkodowawczej od placówki medycznej. Wystarczy sam fakt, że pacjent od chwili kradzieży danych żyje z obawą, co stanie się z jego danymi.

Jeśli dojdzie do sytuacji, że wskutek kradzieży danych osobowych wzięto na nas pożyczkę w określonej kwocie, to możemy domagać się odszkodowania w takiej wysokości. Mecenas podkreśla, że sprawa komplikuje się przy stratach niematerialnych, które bardzo trudno wycenić, a które w dodatku w Polsce są szacowane na niskie kwoty. – W większości przypadków, które analizowałem, zakończyły się zasądzeniem odszkodowania na poziomie 3–5 tys. zł. Zdarzyło się wyjątkowo 19 tys. zł za ujawnienie wyroku bez anonimizacji. Nie są to zawrotne sumy po kilku latach procesu, zwłaszcza porównując z karami nakładanymi przez prezesa Urzędu Ochrony Danych Osobowych, które sięgają milionów złotych – podkreśla adwokat Paweł Zawartka.

Jaka kara za wyciek danych osobowych?

Maksymalna kara za wyciek danych, jaką UODO może nałożyć, wynosi 100 tys. zł w przypadku placówek medycznych publicznych i do 20 mln euro lub 4 proc. rocznego obrotu w przypadku jednostek prywatnych.

– Szpital jest jednak wtedy podwójnie karany, ponieważ nie dość, że sam został pokrzywdzony wskutek tego, że ktoś wkradł się na jego skrzynkę mailową i ukradł dane, to jeszcze musi zapłacić karę nałożoną przez prezesa UODO. Oczywiście, wysokość kary zależy także od stosowanych środków ostrożności, czyli np. od tego, czy stosowano zabezpieczenia wysłanych mailowo dokumentów hasłem, które jest przekazywane inną formą komunikacji. Zgodnie ze wspomnianym wyrokiem TSUE administrator danych osobowych nie ponosiłby odpowiedzialności, gdyby udowodnił, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Odpowiedzialność będzie zatem ponosił, jeśli nie próbował odpowiednio zapobiec takiemu zdarzeniu – zauważa mec. Zawartka.

Nakładając na podmiot medyczny karę, UODO wskaże także zalecenia, do których placówka będzie musiała się dostosować, a które wygenerują dodatkowe koszty. Chodzi np. o inwestycje w oprogramowanie, w tym antywirusowe, w proces szkolenia pracowników, wdrożenie nowych procedur. – Wszystkie obowiązki z tym związane będą spoczywać na administratorze danych osobowych placówki. Urząd Ochrony Danych Osobowych nie wyręczy w obowiązkach żadnego z administratorów – zauważa Aneta Sieradzka.

Czytaj więcej:

Biznes

Jak ograniczyć wyciek danych w firmie?

Pro

Jak uniknąć ataku hakerskiego w szpitalu?

Ekspertka podkreśla jednocześnie, że nie istnieją stuprocentowe zabezpieczenia, dlatego nigdy nie ma pewności, że nie dojdzie do skutecznego cyberataku. Można jednak próbować ich uniknąć, stosując aktualizowane i weryfikowane zabezpieczenia. Ważne jest także podnoszenie świadomości pracowników w obszarze ochrony danych, zarówno personelu administracyjnego, jak i pracowników medycznych. – Najlepszym rozwiązaniem są w mojej ocenie regularne szkolenia dopasowane do potrzeb danej jednostki organizacyjnej. Pamiętajmy przecież, że z innymi problemami w obszarze ochrony danych osobowych mierzą się lekarze w szpitalnym oddziale ratunkowym, a z innymi pracownicy w dziale kadr szpitala. Warto, aby te szkolenia były krótkie, treściwe, przekazywały rzetelną wiedzę, konkretną, ale też aby były oparte na case studies, czyli przykładach z życia wziętych, które najczęściej się powtarzają – podkreśla Aneta Sieradzka. Jak dodaje, bezpłatne i ogólnodostępne konferencje i seminaria organizuje Urząd Ochrony Danych Osobowych. Ponadto ważne, aby podmioty lecznicze przynajmniej raz w roku korzystały z opinii obiektywnych zewnętrznych audytorów.

– Ważne jest budowanie w społeczeństwie świadomości, że dane osobowe są istotne i powinniśmy je chronić. Uczestnictwo w szkoleniach czy akcje edukacyjne powodują, że zastanawiamy się nad tym, komu udostępniamy dane i w jakiej formie to robimy. Dobrym rozwiązaniem jest także zastrzeżenie numeru PESEL, zanim dojdzie do kradzieży danych osobowych, co ogranicza możliwość zaciągania zobowiązań – mówi mec. Zawartka.

Do 8 grudnia za pośrednictwem strony internetowej Centrum e-Zdrowia szpitale mogą wziąć udział w badaniu ankietowym dotyczącym określenia poziomu bezpieczeństwa danych medycznych. Wyniki badania mają zostać wykorzystane przy decydowaniu o podziale środków z KPO, w ramach którego szpitale mogą zyskać dofinansowanie zadań związanych z cyberbezpieczeństwem.

Milionowe kary od UODO za wyciek danych

W 2023 r. administratorzy danych zgłosili prezesowi UODO 14 069 naruszeń ochrony danych osobowych. UODO nie prowadzi jednak statystyk dotyczących naruszeń ochrony danych w podziale na poszczególne ich rodzaje, sektory, jak i liczbę osób dotkniętych takimi zdarzeniami. Jak dotąd w 2024 r. administratorzy zgłosili do prezesa UODO ponad 13 tys. naruszeń.

W 2024 r. prezes UODO dwukrotnie nałożył kary na administratorów danych z sektora zdrowia: na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. zł oraz na spółkę American Heart of Poland SA w wysokości 1 mln 440 tys. zł.

Zdrowie Dane Osobowe Medycyna RODO

Jakie mogą być skutki kradzieży danych osobowych ze szpitala?

Pozostało 97% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Prezes Trybunału Konstytucyjnego Julia Przyłębska podczas transmisji z posiedzenia Trybunału Konstyt

Sądy i trybunały

Julia Przyłębska nie jest już szefową Trybunału Konstytucyjnego?

Trybunał Konstytucyjny 6 grudnia ma wybierać kandydatów na nowego prezesa – informuje „Gazeta Wyborcza”, powołując się na źródła związane z TK. To oznaczałoby, że dotychczasowa prezes TK Julia Przyłębska musiała zrezygnować ze stanowiska, gdyż bez tego zwołanie zgromadzenia wyborczego byłoby niemożliwe.

Praca, Emerytury i renty

Wigilia wolna od nowego roku. Ale nie to oburza biznes

Przedsiębiorcy krytykują przede wszystkim sposób procedowania propozycji wprowadzenia wolnej Wigilii – szybki i z pominięciem rzetelnych analiz ekonomicznych.

W przyszłym roku znacząco wzrośnie min. akcyza na papierosy i inne wyroby tytoniowe

Prawo dla Ciebie

Na te podwyżki trzeba się szykować w 2025 r. Dla kogo będą najbardziej odczuwalne?

Wzrost cen papierosów i innych wyrobów tytoniowych oraz alkoholu. Podniesienie składki ZUS oraz wyższe stawki podatku od nieruchomości – na te m.in. podwyżki w 2025 r. powinniśmy się przygotować.

Konsumenci

Jak otrzymać ulgę na prąd? Kto może mniej zapłacić za energię? Ekspert odpowiada

Po przyjęciu przez rząd nowelizacji mrożącej ceny energii adwokat Artur Pięta z Kancelarii Adwokackiej Sieńko Pięta i Partnerzy s.c. tłumaczy, jakie dokumenty złożyć i gdzie, aby zapłacić mniej za prąd.

Materiał Promocyjny

Przewaga technologii sprawdza się na drodze

Obecnie klienci mogą sprawdzić opony niczym smartfony, mając dostęp do wnikliwych testów opon, co pozwala im porównywać i analizować konkretne modele i ich parametry w różnych warunkach.

Sądy i trybunały

Sądy dostaną więcej pieniędzy. Jakie podwyżki planuje resort sprawiedliwości?

W przyszłorocznym budżecie ma się znaleźć więcej pieniędzy na sądy, prokuraturę i więziennictwo. Na co zostaną przeznaczone dodatkowe środki?

Walka o Klimat

„Rzeczpospolita” nagrodziła zasłużonych dla środowiska

Zielone Orły „Rzeczpospolitej” to nagroda dla tych, którzy chcą dbać o czyste środowisko i zieloną transformację na różnych poziomach – na poziomie gospodarczym, samorządowym, organizacji pozarządowych – mówił Michał Szułdrzyński, redaktor naczelny „Rzeczpospolitej”, podczas rozdania nagród dla najbardziej zasłużonych w obszarze ekologii osób, organizacji i firm.

To lek skuteczniejszy od chemioterapii? Naukowcy znaleźli „złoty środek” w walce z nowotworami. Dosł

Technologie

Zaskakujące właściwości złota. To może być przełomowy lek na raka

Badanie przeprowadzone przez naukowców z australijskiego uniwersytetu RMIT oraz grupę laboratoriów z Indii doprowadziło do przełomowego odkrycia – udało się wynaleźć nowy lek na bazie złota, który może wykazać się dużą skutecznością w walce z rakiem.

O tym, że bardzo niewielu Polaków robi badania pozwalające wykryć obecność HIV, decyduje m.in. to, ż

Zdrowie

Światowy Dzień AIDS. Epidemia zbiera ostatnio w Polsce wyjątkowo obfite żniwo

Z punktu widzenia pacjenta i w kontekście profilaktyki polski system leczenia HIV/AIDS działa bardzo dobrze, bo obecnie terapią są objęte również osoby nieubezpieczone. Dla placówek medycznych to wyzwanie, rodzące wiele pytań – także natury etycznej.

Obecnie jedną piątą wszystkich przypadków nowotworów u mężczyzn stanowi rak prostaty.

Diagnostyka i terapie

Rak prostaty. Komu jeszcze grozi seryjny zabójca?

Obecnie jedną piątą wszystkich przypadków nowotworów u mężczyzn stanowi rak prostaty. Interesować powinni się nim również synowie i bracia kobiet chorujących na raka piersi i jajnika – wynika z badań naukowych.

I Prezes Sądu Najwyższego Małgorzata Manowska

Sądy i trybunały

UODO odpowiada Manowskiej. Chodzi o ujawnianie danych osobowych sędziów

Czy dane sędziów poddawanych testowi niezawisłości i bezstronności mogą być publikowane? Z takim pytaniem do Prezesa Urzędu Ochrony Danych Osobowych zwróciła się I Prezes Sądu Najwyższego, Małgorzata Manowska.

Od 15 października funkcjonariusze CBA prowadzą kontrolę w sprawie konkursu na onkologię w ramach Fu

Obszary medyczne

CBA kontroluje konkurs na onkologię w ramach Funduszu Medycznego

W 2025 roku do szpitali onkologicznych wyłonionych w konkursie na dofinansowanie inwestycji z Funduszu Medycznego miało popłynąć 900 mln zł. Losy samego konkursu stoją jednak pod znakiem zapytania, bo od półtora miesiąca w sprawie trwa kontrola CBA.

Nieregularny rytm snu szkodzi zdrowiu. Zwiększa ryzyko zawału i udaru

Zdrowy styl życia

Nieregularny rytm snu zwiększa ryzyko poważnych chorób. Potwierdzają to badania

Zdrowe nawyki dotyczące snu mają duży wpływ na nasze samopoczucie i funkcjonowanie całego organizmu. Najnowsze badania naukowców potwierdzają, że nieregularny rytm snu może poważnie zaszkodzić naszemu zdrowiu. Znacząco zwiększa ryzyko zawału i udaru.

Demencja, nazywana też „zespołem otępiennym”, to grupa schorzeń, które łączy utrata funkcji poznawcz

Nauka

Jak aktywność fizyczna wpływa na ryzyko demencji? Najnowsze wyniki badań

Nowe badanie dotyczące osób w wieku średnim i podeszłym pokazało związek wysokiej formy fizycznej z niższym ryzykiem wystąpienia demencji. Zdaniem badaczy kluczem do zmniejszenia ryzyka schorzeń z tej grupy może okazać się wysoka sprawność sercowo-oddechowa.

Diagnostyka i terapie

Cyfrowe narzędzia w patomorfologii przyspieszają diagnozowanie raka

Przejście z pracy przy tradycyjnym mikroskopie na analizę obrazu cyfrowego to przeskok, który umożliwia szybsze i dokładniejsze diagnozowanie nowotworów.