Informacje o chorych na otwartym serwerze

Wystarczyło znać adres IP serwera Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole, by mieć niczym nieskrępowany dostęp do przechowywanych na nim plików, w tym bazy danych osobowych 50 tys. pacjentów. Każdy mógł poznać ich imiona i nazwiska, adresy zamieszkania, numery PESEL i ubezpieczenia, a także grupę krwi. Ale to nie koniec. W jednym z plików zapisano dane dzieci wraz z informacjami na temat chorób zakaźnych, jakie przeszły. W innym katalogu były personalia 600 pracowników szpitala, a w kolejnym – numery ich rachunków bankowych.

Będzie kontrola

Bulwersującą sprawę opisał w poniedziałek serwis Zaufana Trzecia Strona, który o niezabezpieczonym serwerze dowiedział się od jednego z czytelników. Sprawdził doniesienie i na dowód tego, że jest prawdziwe, zamieścił w sieci zrzuty ekranowe plików z zamazanymi danymi pacjentów.

– Wszystko wskazuje na to, że mieliśmy do czynienia z błędem człowieka, który pozostawił serwer niezabezpieczony. Nie wiadomo, jak długo dane były na nim przechowywane ani kto miał do nich dostęp. Wiadomo natomiast, że w ogóle nie powinny się znaleźć na serwerze udostępnionym w internecie, nawet prawidłowo zabezpieczonym. To dane wrażliwe, należy je trzymać w systemie medycznym – mówi proszący o zachowanie anonimowości redaktor serwisu Zaufana Trzecia Strona. Poinformował on szpital o braku zabezpieczeń i związanym z tym zagrożeniem. Po tym powiadomieniu dane zostały zabezpieczone, ale… jeszcze przez kilka dni możliwy był dostęp do podglądu folderów.

DGP zapytał dyrekcję szpitala, w jaki sposób doszło do udostępnienia plików z wrażliwymi danymi w internecie, ale do zamknięcia wydania nikt nie udzielił nam odpowiedzi.

Głos zabrało za to Biuro Generalnego Inspektora Ochrony Danych Osobowych. – Choć sprawę znamy jedynie z doniesień medialnych, to biorąc pod uwagę skalę wycieku i charakter danych, które były publicznie dostępne, GIODO postanowił zająć się nią z urzędu – informuje rzecznik prasowa Agnieszka Świątek-Druś.

Zwraca ona uwagę, że w przypadku ujawnienia dokumentacji medycznej w grę wchodzi nie tylko naruszenie ustawy o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.), ale także przepisów regulujących funkcjonowanie placówek opieki zdrowotnej. Chodzi m.in. o ustawy o: prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U. z 2016 r. poz. 186 ze zm.), systemie informacji w ochronie zdrowia (t.j. Dz.U. z 2016 r. poz. 1535 ze zm.) czy wreszcie zawodach lekarza i lekarza dentysty (t.j. Dz.U. z 2017 r. poz. 125 ze zm.). Ta ostatnia ustanawia tajemnicę lekarską, z której złamaniem mogliśmy mieć do czynienia w tym przypadku.

Możliwe zadośćuczynienie

Postępowanie prowadzone przez GIODO może skończyć się skierowaniem do prokuratury zawiadomienia o złamaniu prawa przez administratora, za co grozi kara do dwóch lat więzienia. Szpital musi też liczyć się z odpowiedzialnością cywilną.

– Osoby, których dane zostały udostępnione, mogą domagać się zadośćuczynienia za naruszenie dóbr osobistych. W praktyce sądy w tego typu sprawach nie zasądzają zbyt wysokich kwot, co do zasady mieszczą się one w przedziale od 7 tys. do 10 tys. zł. Tu jednak mamy do czynienia z informacjami wrażliwymi, a więc dotyczącymi sfery najbardziej intymnej, co pewnie mogłoby wpłynąć na wysokość orzeczonej rekompensaty – wyjaśnia Marcin Cwener, ekspert prawny z Omni Modo.

Sytuacja prawna zmieni się w maju 2018 r., gdy zacznie obowiązywać nowe unijne rozporządzenie 2016/679 o ochronie danych osobowych. Wówczas poszkodowany będzie miał dwie drogi dochodzenia roszczeń. Jedna to wspomniane już przepisy cywilne dotyczące naruszenia dóbr osobistych, zaś drugą podstawę będzie dawać wprost unijne rozporządzenie.

– Nie wykluczam, że pójście tą drugą ścieżką może być korzystniejsze dla osoby, której dane wyciekły. Ponieważ rozporządzenie przewiduje milionowe kary finansowe, sąd poprzez analogię może uznać, że zadośćuczynienie powinno być wyższe niż na zwykłej drodze cywilnoprawnej – tłumaczy Marcin Cwener.

Szpitale poza ustawą

Maksymalna wysokość kar za wyciek danych wyniesie 10 mln euro. Jak wynika jednak z projektu polskiej ustawy wdrażającej te przepisy, nie zostaną nią objęte publiczne szpitale (ale prywatne już tak). Wszystkie natomiast będą musiały jak najszybciej informować osoby, których dane wyciekły. Dzisiaj przepisy nie nakładają takiego obowiązku.

– W ocenie GIODO powiadomienie osób, które na skutek wycieku danych zostały poszkodowane, byłoby dobrą praktyką, jako że byłyby one poinformowane o samym incydencie i pouczone, jak mogą w tej sytuacji postąpić – komentuje Agnieszka Świątek-Druś. 

Więcej informacji

Prawo

Podział prawa ze względu na metodę regulacji:
1) Prawo wewnętrzne: Prawo konstytucyjne, Prawo cywilne - reguluje relacje między podmiotami prawa w relacji poziomej, czyli żaden z podmiotów pozostających w stosunku prawnym nie jest władny narzucić swojej woli drugiej stronie (cywilnoprawna metoda regulacji).
Prawo pracy - reguluje stosunki między pracodawcą a pracownikiem, a także organizacjami pracowników (związki zawodowe) metodą w zasadzie cywilnoprawną, jednak z dużym zakresem norm semiimperatywnych służących wyznaczeniu minimalnego poziomu ochrony pracownika.
Prawo karne - jest zbiorem norm mających na celu eliminację zachowań aspołecznych najcięższej wagi poprzez zastosowanie sankcji kary. (karnoprawna metoda regulacji).
Prawo administracyjne - reguluje relacje między podmiotami w stosunku pionowym, tj. wówczas gdy jeden z podmiotów może władczo kształtować sytuację prawną drugiego podmiotu. (administracyjnoprawna metoda regulacji).
Prawo rodzinne i opiekuńcze
Prawo finansowe
2) Prawo międzynarodowe

Podział prawa ze względu na przedmiot regulacji:
prawo autorskie, prawo bankowe, prawo budowlane, prawo celne, prawo człowieka, prawo dziecka, prawo energetyczne, prawo kanoniczne, prawo konstytucyjne, prawo konfliktów zbrojnych, prawo lotnicze, prawo medyczne, prawo międzynarodowe, prawo naukowe, prawo o ruchu drogowym, prawo o szkolnictwie wyższym, prawo ochrony środowiska, prawo podatkowe, prawo prasowe, prawo rolne, prawo upadłościowe, prawo wyznaniowe.

Prawo jest wyrazem konieczności uporządkowania życia społecznego i poddania go pewnym regułom, by umożliwiało istnienie i możliwie należyte funkcjonowanie społeczności państwowej, bardzo zróżnicowanej, której członkowie mają odmienne potrze-by i aspiracje, w których dochodzi do rozmaitych konfliktów i zagrożeń, zarówno biologicznej jak i społecznej egzystencji grupy. Różne systemy norm prawnych wprowadzają element ładu we wzajemnych stosunkach między ludźmi. Normy prawne, podobnie jak powszechnie uznawane i akceptowane normy moralne, normy religijne czy nor-my obyczajowe nie mają jednak wyłączności na regulowanie ludzkich zachowań. Nie-mniej jednak prawo normuje dziś niemal wszystkie dziedziny życia społecznego.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *