Subskrypcja - Gazety Lekarskiej
27 czerwca 2025

Polecamy

Paweł Litwiński: największe ryzyko powoduje człowiek

Bardzo często dane są źle zabezpieczane, a nawet wcale się tego nie robi. Placówka medyczna lub lekarz, który prowadzi prywatny gabinet, kupuje system informatyczny do obsługi i… na tym się kończy – mówi Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, w rozmowie z Antoniną Kryńską.

Fot. arch. prywatne

Jakie przepisy regulują ochronę danych osobowych pacjentów?

To nie tylko RODO, jak czasem nam się wydaje, ale także szereg aktów prawnych, taka prawna matrioszka. Mamy więc unijne rozporządzenie o ochronie danych osobowych (RODO), następne są przepisy sektorowe (szczególne), dotyczące tajemnicy zawodowej oraz dokumentacji medycznej.

I wreszcie przepisy ograniczające konkretne operacje na danych, np. określające katalog danych, jakie lekarze i podmioty lecznicze mogą przetwarzać. A wisienką na torcie są kodeksy branżowe.

Jak stosowanie przepisów wygląda w praktyce? Z rocznych raportów prezesa UODO wynika, że lekarze dopuszczają się naruszeń przepisów o ochronie danych osobowych. Zaglądają np. na PUE ZUS w celach czysto prywatnych, np., by uzyskać dostęp do danych eksmałżonka, albo gubią pendrive z danymi pacjentów.

Ja bym nie demonizował. Te przypadki, o których pani mówi, wynikają z masowego korzystania z usług medyków. Z usług adwokata czy notariusza nie każdy korzysta, a z usług lekarza czy pielęgniarki – już tak. Dane przetwarzane przez placówki medyczne są liczone w dziesiątkach milionów rekordów, stąd też bierze się efekt skali.

Wykorzystywanie danych do celów prywatnych to zresztą nie tylko polska przypadłość. Mogę wymienić wiele przykładów z innych państw. Przodują w tym Niemcy. Tam dużym problemem jest wykorzystywanie systemów policyjnych do prywatnych celów przez szeregowych policjantów.

Oczywiście, w pełni się zgadzam, że zawsze najsłabszym ogniwem będzie człowiek. Przy czym przypadki, o których pani powiedziała, są tymi, które są po prostu medialne. Proszę spojrzeć na ten problem z innej strony: do mediów przebijają się przypadki, w których lekarze przeglądają dane osobowe przetwarzane w systemie informacji medycznej, podczas gdy nie powinni tego robić, bo sprawdzają np. dane swojej byłej żony. Czy więc powinniśmy drastycznie ograniczyć dostęp lekarzy do danych osobowych?

Jeżeli zostanie pani – uchowaj Boże – znaleziona nieprzytomna na przystanku autobusowym, lekarz ratujący życie nie będzie miał szybkiego dostępu do pani danych, a w efekcie, nie będzie mógł zastosować odpowiedniej terapii. Czy tego chcemy?

Dobrą analogią może być też słynny rejestr ciąż. Sam w sobie nie jest niczym złym. Zawiera ważne informacje, bo przecież zastosowanie konkretnej terapii może doprowadzić do utraty ciąży albo zaszkodzić matce lub dziecku. Dzięki rejestrowi można tego uniknąć.

Problemem nie było więc, że dane o ciąży są widoczne w systemie, ale to, że wprowadza się je do niego przymusowo. Ponadto bardzo go upolityczniono. Karygodne było również to, że nie utworzono go na podstawie ustawy, tylko rozporządzenia. Czyli znowu zawiódł człowiek.

A cyberbezpieczeństwo? Zgodzi się Pan chyba, że mocno kuleje?

Nie do końca można je utożsamiać z ochroną danych osobowych. Cyberbezpieczeństwo to m.in. odporność szpitali na ataki pochodzące z zewnątrz. Całkiem niedawno w Krakowie jednemu ze szpitali zaszyfrowano dane. To niestety zdarza się, a cyberbezpieczeństwo faktycznie jest piętą achillesową służby zdrowia.

Bardzo często dane są źle zabezpieczane, a nawet w ogóle się tego nie robi. Z reguły wygląda to tak: placówka lub lekarz, który prowadzi prywatny gabinet, kupuje system informatyczny do obsługi i… na tym się kończy. Pracownicy przychodni, szpitala czy wreszcie lekarz korzystają z systemu, ale nie dbają o właściwe zabezpieczenie danych, nie aktualizują go, nie szkolą się, nie reagują na to, co dzieje się wokół. I w ten sposób placówka wystawia się na wysokie ryzyko ataku z zewnątrz.

Dodatkowo zdarza się, że jej pracownicy bezrefleksyjne klikają w linki zawarte w dziwnych mailach, gubią pendrive’y z danymi, a nawet całe laptopy. Niedawno miałem taką sytuację: pracownik przychodni zostawił laptopa z danymi wszystkich pacjentów na przystanku autobusowym. Na szczęście osoba, która znalazła laptop, okazała się uczciwa i odniosła go na posterunek policji. Skończyło się na strachu.

Zdarza się również, że do wycieków danych dochodzi celowo, a to w istocie nie wycieki, ale kradzieże danych. Na szczęście w sektorze medycznym to zupełny margines.

Jakich kar może się spodziewać lekarz albo placówka ochrony zdrowia, która naruszyła przepisy o ochronie danych osobowych?

Przede wszystkim grożą im administracyjne kary pieniężne, czyli kary nakładane przez prezesa Urzędu Ochrony Danych Osobowych. Jeżeli jest to podmiot z sektora finansów publicznych, czyli np. szpital, którego organem prowadzącym jest powiat, kara wynosi maksymalnie do 100 tys. zł.

Tak było w przypadku byłego ministra zdrowia Adama Niedzielskiego: prezes UODO nałożył na niego jako ministra zdrowia karę w wysokości 100 tys. zł za ujawnienie w komunikatorze WhatsApp informacji o lekarzu, który wystawił sobie receptę na lek z grupy psychotropowych.

Postępowanie UODO dotyczyło naruszenia zasad ochrony danych osobowych nie tylko w związku z ujawnieniem danych z jednego z rejestrów, ale także w kontekście naruszenia zasad bezpieczeństwa związanych z pozyskaniem danych z systemu oraz sposobu ich przekazania ministrowi zdrowia. UODO w swojej decyzji zwrócił uwagę m.in. na fakt, że przekazanie danych pozyskanych z rejestru nastąpiło za pomocą komunikatora WhatsApp, co stworzyło też możliwość utraty kontroli nad tymi danymi, w tym ich bezpieczeństwem.

Prezes UODO nałożył też karę w wysokości 40 tys. zł na Samodzielny Publiczny ZOZ w Pajęcznie. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników, a działania związane z zabezpieczeniem danych osobowych podjęła po fakcie. ZOZ dopiero po ataku wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany.

Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych. W efekcie tego naruszenia prezes UODO doszedł do wniosku, że placówka nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych. Stąd kara.

A jeśli chodzi o podmioty prywatne?

W tym przypadku kara może sięgnąć aż do 4 proc. obrotów za ubiegły rok, czyli w grę mogą wchodzić miliony złotych. Na początku tego roku prezes UODO nałożył na Centrum Medyczne Ujastek w Krakowie kary w łącznej kwocie powyżej 1,1 mln zł za ukryty monitoring na oddziale neonatologii i za niewdrożenie odpowiednich środków bezpieczeństwa, które zapobiegłyby ryzyku wycieku danych z kart pamięci urządzeń monitorujących.

Zdaniem urzędu matki i noworodki oraz pracownicy mieli być nagrywani bez ich zgody. W ślad za odpowiedzialnością administracyjną może pojawić się odpowiedzialność cywilna.

Z roszczeniami do sądów cywilnych mogą występować pacjenci oraz inne osoby, których prawo do ochrony danych zostało naruszone np. na skutek wycieku danych z podmiotu medycznego. Zasądzane kwoty mogą być wówczas stosunkowo wysokie, bo to są przecież bardzo wrażliwe dane. Do tego dochodzą koszty postępowania sądowego.

Skoro z naruszeniem danych osobowych wiąże się tak duża odpowiedzialność oraz ryzyko kar, to co powinna zrobić placówka medyczna albo lekarz, żeby uniknąć ich w przyszłości?

Przede wszystkim powinno się korzystać z usług renomowanych dostawców oprogramowania lub usług informatycznych. Ryzyko wycieków danych jest w takim przypadku znacznie mniejsze. Nigdy też nie powinno się ograniczać do wdrożenia konkretnego rozwiązania – ochrona danych osobowych to proces ciągły, wymagający reagowania na to, co się dzieje w otoczeniu, na pojawiające się nowe zagrożenia i ryzyka.

To wymaga stałego monitorowania stosowanych zabezpieczeń. Niezwykle ważne są szkolenia wewnętrzne personelu, bo przecież to człowiek powoduje największe ryzyko. Jestem też ogromnym fanem kodeksów, o których wspominałem na początku rozmowy.

Może Pan powiedzieć więcej? Jakie mają zalety?

Mamy dwa kodeksy: Kodeks postępowania dla sektora ochrony zdrowia (Polska Federacja Szpitali) oraz Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie). Oba kodeksy zatwierdził prezes Urzędu Ochrony Danych Osobowych. Pierwszy jest przeznaczony dla dużych podmiotów, drugi dla mniejszych.

Podmiot leczniczy zainteresowany przystąpieniem do kodeksu zgłasza się – odpowiednio – do Polskiej Federacji Szpitali albo do Federacji Porozumienie Zielonogórskie, aby rozpocząć procedurę przystąpienia. Kończy ją otrzymanie dokumentu potwierdzającego stosowanie kodeksu. Stosowanie kodeksu wiąże się z koniecznością ponoszenia pewnych opłat – w przypadku Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych są to kwoty od 710 zł do 1400 zł rocznie.

Sam kodeks to nic innego jak rodzaj ściągi z zasad ochrony danych osobowych – szczegółowo rozpisane zasady postępowania w konkretnych przypadkach, gdy dochodzi do przetwarzania danych osobowych. A korzyści ze stosowania kodeksu są wymierne, na czele ze zmniejszeniem administracyjnej kary pieniężnej w razie naruszenia przepisów o ochronie danych osobowych.

Źródło: „Gazeta Lekarska” nr 5/2025

Zobacz także

Agnieszka Gorgoń-Komor: czas odchudzić system, nie pacjenta

Pierwsze posiedzenie zespołu, który zajmie się klauzulą wyższego dobra 

Nie tak powinien wyglądać dyżur lekarza

Dr Hanna Stolińska: dieta to nie magia z Instagrama

Zamki Dolnego Śląska: historia i relaks. Czas spędzić urlop w Polsce

Ogłoszono 3. edycję konkursu „Wdrożenie innowacji w opiece zdrowotnej”

Dr hab. Ewa Gulczyńska: mleko mamy na wagę złota

Gorąca dyskusja o pieniądzach w ochronie zdrowia

Wyższe kary na rynku suplementów diety

Agnieszka Gorgoń-Komor: czas odchudzić system, nie pacjenta

Pierwsze posiedzenie zespołu, który zajmie się klauzulą wyższego dobra 

Nie tak powinien wyglądać dyżur lekarza

Dr Hanna Stolińska: dieta to nie magia z Instagrama

Paweł Litwiński: największe ryzyko powoduje człowiek

Zamki Dolnego Śląska: historia i relaks. Czas spędzić urlop w Polsce

Ogłoszono 3. edycję konkursu „Wdrożenie innowacji w opiece zdrowotnej”

Dr hab. Ewa Gulczyńska: mleko mamy na wagę złota

Gorąca dyskusja o pieniądzach w ochronie zdrowia

Wyższe kary na rynku suplementów diety

Agnieszka Piątkowska: banki białej krwi

Okrągły stół dla stomatologii

Zmiana w prawie farmaceutycznym przegłosowana przez Sejm

Choroba alkoholowa: bilans zysków i strat jest oczywisty

„Anioł przed sklepem mięsnym” i „Życzenia noworoczne”

Lekarze z Ukrainy dłużej w Polsce na specjalnych zasadach

Fałszowanie leków bardziej dochodowe niż narkotyki

Wspólne działania NIL i prokuratury w sprawie bezpieczeństwa lekarzy

Zmiana rejonu wyborczego: to już ostatni moment

Lekarze i sędziowie o odpowiedzialności w medycynie

Jak zwracać się do lekarza?

Lekarz wojskowy, czyli wszechstronny

Kiedy lekarz może płacić ryczałt

Lekarz z Bytomia, a dyplom z Kijowa

Burza. Prequel

Nie łam się, medyku

Ostatnia tajemnica Marszałka Józefa Piłsudskiego

Lekarz a emerytura. Praca w szczególnym charakterze

Terapia uporczywa czy daremna? Zmiany w Kodeksie Etyki Lekarskiej

39 lat temu przeprowadzono pierwszy udany przeszczep serca w Polsce