Ochrona danych osobowych w placówkach medycznych nie może ograniczać się jedynie do przestrzeni gabinetów czy elektronicznych systemów informatycznych. Kluczowym elementem zgodności z RODO jest kompleksowa analiza ryzyka – obejmująca również mniej oczywiste, ale realne scenariusze, takie jak transport dokumentacji medycznej przez lekarzy podczas wizyt domowych. Przykład z Pyskowic pokazuje, że zaniedbanie tego obowiązku może skutkować nie tylko utratą danych, lecz także poważnymi konsekwencjami finansowymi.
Z tego artykułu dowiesz się…
- Dlaczego analiza ryzyka musi obejmować również nietypowe sytuacje, takie jak transport dokumentacji medycznej przez lekarzy.
- Jakie błędy proceduralne doprowadziły do nałożenia kary na niepubliczny ZOZ w Pyskowicach.
- Jakie działania naprawcze wdrożono po incydencie i dlaczego było to zbyt późno.
- Jakie obowiązki ciążą na administratorze danych w kontekście RODO i świadczeń zdrowotnych realizowanych poza placówką.
Kradzież samochodu, utrata danych i niedopatrzenia proceduralne
Do incydentu doszło, gdy lekarz zatrudniony w niepublicznym zakładzie opieki zdrowotnej (ZOZ) w Pyskowicach udał się z wizytą domową do pacjenta. W prywatnym samochodzie, który został skradziony, znajdowała się niezabezpieczona dokumentacja medyczna ośmiu pacjentów. Zawierała ona m.in. nazwiska, imiona, daty urodzenia, adresy, numery PESEL oraz dane o stanie zdrowia.
Sprawa została zgłoszona Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). Jak wykazała kontrola, problem nie tkwił wyłącznie w samym incydencie, lecz w braku systemowego podejścia do ochrony danych w nietypowych sytuacjach, takich jak wizyty domowe.
Brak identyfikacji obszaru przetwarzania danych
ZOZ nie uwzględnił w swojej analizie ryzyka faktu, że prywatne samochody lekarzy – na mocy zawartych umów – stają się miejscem przetwarzania danych osobowych. Nie zostały więc objęte zasadami wynikającymi z polityki bezpieczeństwa. Co więcej, same procedury odnoszące się do ochrony danych poza siedzibą placówki były ogólnikowe i nieadekwatne do rzeczywistych zagrożeń, które wcześniej wskazywały audyty bezpieczeństwa.
Co istotne, już w 2017 roku Administrator Bezpieczeństwa Informacji ZOZ alarmował o ryzyku związanym z przewożeniem dokumentacji medycznej przez lekarzy, w tym o konieczności jej codziennego odwożenia do placówki. Zwracano uwagę na to, że przechowywanie dokumentów „na noc” poza placówką jest obarczone ryzykiem kradzieży czy zgubienia.
Niestety, ostrzeżenia te nie przełożyły się na konkretne procedury operacyjne. Jak wykazał PUODO, analiza ryzyka była niekompletna, a placówka nie wdrożyła mechanizmów, które mogłyby uchronić ją przed skutkami kradzieży.
Kara za niedopełnienie obowiązku analizy ryzyka
W wyniku przeprowadzonego postępowania Prezes UODO Mirosław Wróblewski nałożył na ZOZ karę finansową w wysokości 32 832 zł. Sankcja nie dotyczyła samego incydentu kradzieży, lecz faktu, że administrator danych nie wypełnił obowiązku wynikającego z art. 24 RODO – nie wdrożył odpowiednich środków technicznych i organizacyjnych w oparciu o właściwą analizę ryzyka.
To istotny sygnał dla całego sektora medycznego: odpowiedzialność administratora danych obejmuje nie tylko reaktywne działania po incydencie, ale przede wszystkim proaktywne zapobieganie zagrożeniom.
Działania naprawcze podjęte dopiero po incydencie
Po kradzieży samochodu ZOZ zaktualizował załącznik do polityki bezpieczeństwa, wprowadzając konkretne zasady dotyczące transportu dokumentacji medycznej poza siedzibą placówki. Pracownicy przeszli szkolenia z zakresu zabezpieczania danych w terenie, a lekarze otrzymali specjalne teczki z zamkiem szyfrowym.
Dopiero wtedy organizacja uznała konieczność traktowania prywatnych pojazdów jako przestrzeni przetwarzania danych osobowych i objęła je procedurami zgodnymi z wymogami RODO. Tego rodzaju działania powinny jednak być wdrażane z wyprzedzeniem – zanim dojdzie do incydentu.
Wnioski dla placówek medycznych
Przypadek ZOZ w Pyskowicach powinien stanowić przestrogę dla wszystkich podmiotów leczniczych, które wykonują świadczenia zdrowotne poza siedzibą placówki – nie tylko w kontekście wizyt domowych, ale również transportu dokumentacji, udziału w akcjach profilaktycznych czy wyjazdach zespołów ratownictwa medycznego.
Analiza ryzyka musi uwzględniać każdy scenariusz, w którym dochodzi do przetwarzania danych osobowych – niezależnie od tego, czy odbywa się ono w placówce, w domu pacjenta, czy w drodze. Tylko wtedy możliwe jest skuteczne wdrożenie środków organizacyjnych i technicznych, które zapewnią zgodność z przepisami i zminimalizują ryzyko naruszeń.
Główne wnioski
- Brak pełnej analizy ryzyka był przyczyną nałożenia na ZOZ kary w wysokości 32 832 zł – nie samo zdarzenie kradzieży.
- Prywatne samochody lekarzy nie zostały uwzględnione jako obszary przetwarzania danych, mimo że służyły do transportu dokumentacji medycznej.
- Ostrzeżenia ABI z 2017 roku nie zostały wdrożone w formie procedur, co świadczy o zaniedbaniach systemowych w ochronie danych.
- Dopiero po incydencie zaktualizowano politykę bezpieczeństwa i wdrożono zabezpieczenia fizyczne, jak szyfrowane teczki oraz szkolenia dla pracowników.
Źródło:
- UODO
