Przeszło rok po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO) służba zdrowia zmaga się nadal z poważnymi problemami w zakresie należytej ochrony danych osobowych.
W niniejszym opracowaniu nie będziemy poruszać w ogóle problemów z jakimi zmagają się szpitale – są to duże jednostki, przetwarzające olbrzymie ilości danych osobowych, przy tym poważnie niedofinansowane. Jednostki te starają się niemniej najczęściej wdrożyć przynajmniej podstawy systemu ochrony danych osobowych. Wydaje się przy tym, że są w mniejszym stopniu narażone na kary. Są bowiem jednostkami publicznymi, stąd nałożone na nie mocą RODO kary nie mogą przekroczyć 100 tys. PLN, a ponadto i tak są już najczęściej mocno niedofinansowane i nie wydaje się by priorytetem Prezesa Urzędu Ochrony Danych Osobowych było karanie tych jednostek. Komornik w szpitalu zawsze źle odbierany jest przez społeczeństwo, a utrzymywanie szpitali przy życiu jest przecież w interesie nas wszystkich.
Problemy z prawidłowym przetwarzaniem danych osobowych nie dotyczą jednak jedynie szpitali. Gdy wybierzemy się do prywatnych gabinetów lekarskich, okazuje się, iż bardzo często nie zrobiono w nich absolutnie nic by nasze dane osobowe były bezpieczne. Gabinety takie przetwarzają co prawda znacznie mniej danych niż szpitale, nadal są to jednak spore ilości danych szczególnych kategorii, które – jak sama nazwa wskazuje – podlegają szczególnej ochronie. Bezprawne ujawnienie, modyfikacja, czy utrata takich danych prowadzić mogą do poważnego naruszenia praw pacjenta i poważnych problemów właścicieli gabinetu lekarskiego. Prywatna praktyka lekarska traktowana może być bowiem z mniejszym pobłażaniem niż szpital i wszelkie nieprawidłowości mające w niej miejsce spotkać mogą się z surowymi konsekwencjami. Prywatna praktyka lekarska nie podlega przy tym ustawowemu ograniczeniu wysokości kary pieniężnej wynikającej z RODO do 100.000,00 PLN. Na lekarzy prowadzących prywatny gabinet Prezes Urzędu Ochrony Danych Osobowych nałożyć może karę w pełnej wysokości wynikającej z RODO (mieć należy oczywiście przy tym na względzie, iż wysokość kary będzie najczęściej mniej lub bardziej współmierna do ilości przetwarzanych danych, przychodów placówki, jej wielkości oraz powagi stwierdzonych nieprawidłowości).
Z naszych obserwacji wynika, że najczęściej powtarzającymi się i najbardziej rzucającymi się w oczy nieprawidłowościami w prywatnych gabinetach medycznych są błędy w funkcjonowaniu recepcji. Nie należy mieć tu oczywiście pretensji jedynie do pracowników recepcji – u źródła tych nieprawidłowości najczęściej leży lekceważące podejście ze strony osób zarządzających placówką. Obserwowane przez nas nieprawidłowości polegały m.in. na:
Przechowywaniu dokumentacji pacjentów w niezabezpieczonych miejscach – luzem na biurku recepcji, na otwartych regałach, czy w niezamykanych szafkach. Zdarzało się nawet ustawianie segregatorów z dokumentacją pacjentów na parapecie – „pod ręką” innych pacjentów czekających na przyjęcie przez lekarza.
Długotrwałym pozostawianiu recepcji (i całej poczekalni) bez nadzoru. Poczekalnia nie była monitorowana, dokumentacja pacjentów leżała „wszędzie” – pod ręką pacjentów czekających w poczekalni, na drukarce co chwilę wyskakiwały nowe wydruki a jedyna osoba obsługująca recepcję opuszczała ją na 15-20 minut.
Braku blokowania komputera przed opuszczeniem stanowiska pracy przez pracownika recepcji.
Drukowaniu dokumentów na drukarce umieszczonej w poczekalni podczas nieobecności jakiegokolwiek pracownika placówki.
Pozostawianiu kluczy w drzwiczkach szafek stojących w poczekalni i pozostawianie poczekalni bez nadzoru.
Pozwalaniu pacjentom na samodzielne wyszukiwanie własnej dokumentacji pośród pliku dokumentów dotyczących różnych pacjentów.
Wchodzeniu w „pyskówki” z niezadowolonym, zachowującym anonimowość, pacjentem na portalach social media i ujawnianie (upublicznianie) tożsamości pacjenta i rodzaju usług medycznych, z których pacjent korzystał (!).
Powyższe nieprawidłowości są tak rażące, że świadczą o całkowitym lekceważeniu prywatności pacjentów gabinetu. Biorąc pod uwagę potencjalnie wysokie przychody (i dochody) placówki oraz newralgiczny charakter przetwarzanych danych, placówka naraża się na poważne kary pieniężne, a być może również inne środki – takie jak np. czasowy zakaz przetwarzania danych osobowych (skutkujący de facto wstrzymaniem możliwości prowadzenia działalności).
Do powyższych rażących naruszeń zasad przetwarzania danych osobowych dodać należy kwestie takie jak:
Brak należytego zabezpieczenia systemów informatycznych, przy użyciu których przetwarzane są dane pacjentów.
Wysyłanie dokumentacji zawierającej newralgiczne dane dotyczące zdrowia pacjentów pocztą nierejestrowaną. Prezes Urzędu Ochrony Danych Osobowych stwierdził co prawda nie tak dawno temu, że wysyłka korespondencji pocztą nierejestrowaną sama w sobie nie jest naruszeniem bezpieczeństwa danych osobowych, uważamy jednak, że w przypadku dokumentacji medycznej zachować należy szczególną ostrożność i zastosować szczególne środki bezpieczeństwa danych osobowych – przesyłkę nierejestrowaną każdy może (faktycznie) otworzyć, zapoznać się z jej treścią i następnie zniszczyć lub po prostu zatrzymać, a niezwykle trudno będzie dociec co się z nią stało i czy doszło do naruszenia prywatności pacjenta oraz jakie mogą być jego potencjalne skutki dla pacjenta (np. kradzież tożsamości, utrata zatrudnienia, ostracyzm społeczny.
Nieprawidłowo skalibrowany i skonfigurowany system monitoringu – obejmujący np. zbyt szeroki obszar, z losowym czasem przechowywania nagrań).
Niezależnie od powyższego, nie wolno zapominać o nieprawidłowościach natury formalnej, takich jak:
Brak rejestrów czynności przetwarzania danych osobowych.
Brak upoważnień do przetwarzania danych osobowych.
Brak umów powierzenia przetwarzania danych osobowych.
Brak jakiejkolwiek, najprostszej choćby, analizy ryzyka dla praw i wolności podmiotów, których dane przetwarzane są przez gabinet lekarski.
Brak jakichkolwiek rzetelnych szkoleń personelu.
Brak jakichkolwiek polityk mających na celu ochronę danych osobowych.
Brak realizacji obowiązku informacyjnego względem pacjentów (a także innych osób, których dane przetwarza placówka medyczna).
Podsumowując, rozmiar dostrzeganego problemu jest ogromny, a jego waga znacząca – ze względu na szczególny charakter przetwarzanych danych osobowych. Pamiętać należy, iż do wpędzenia się w problemy wystarczy jeden niezadowolony pacjent, który wniesie skargę do organu nadzorczego lub pozew do sądu i otworzy przysłowiową „puszkę Pandory”. Z całą pewnością warto więc zainwestować w podwyższenie poziomu bezpieczeństwa danych osobowych w placówkach medycznych.
Data publikacji: 14.06.2019.