Wyciek danych osobowych z ALAB – czy to zagrożenie dla POZ?
ALAB laboratoria sp. z o.o. w dniu 19 listopada 2023 r. padła ofiarą ataku hakerskiego na skutek, którego z serwerów Spółki osoby nieuprawnione uzyskały dostęp do danych osobowych pacjentów. Mowa m.in. o: imionach i nazwiskach, numerach PESEL, danych adresowych oraz wynikach badań laboratoryjnych. Skala zagrożenia jest zatem ogromna, podobnie jak ryzyko dla pacjentów, których dane zostały bezprawnie opublikowane. Jak w tej sytuacji wygląda sytuacja POZ, które zlecały wykonanie badań w ALAB?
Administratorzy czy podmioty przetwarzające?
Niewątpliwie POZ jest administratorem danych osobowych. Zgodnie z art. 4 pkt 7) RODO administrator jest to:
podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Z kolei pod pojęciem „przetwarzania” danych osobowych unijny ustawodawca rozumie operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Mowa tu zatem o szerokim katalogu różnorodnych działań na danych.
Problem jakiego dotyczy powyższe zagadnienie zawiera się w odpowiedzi na pytania:
- jaki stosunek prawny występował będzie pomiędzy placówką POZ a laboratorium; oraz
- jaki charakter w świetle przepisów RODO ma zlecenie wykonania badań?
Odpowiedź jest prosta, a jednocześnie niekonkretna: to zależy. Każdy przypadek trzeba traktować i interpretować indywidualnie. Należy ustalić czy do przetwarzania danych pacjenta dochodzi w imieniu POZ (administratora). Jednakże w klasycznej sytuacji, gdy lekarz POZ decyduje się na wystawienie pacjentowi skierowania na wykonanie badań laboratoryjnych, dojdzie do udostępnienia a nie powierzenia danych osobowych.
W doktrynie przyjmuje się, że ze względu na prawne uregulowanie działalności laboratoriów medycznych, będą one przetwarzały dane do własnych celów, a zatem laboratoria będą odrębnymi administratorami. Tym samym, istotnym obowiązkiem każdego z podmiotów będzie spełnienie obowiązków informacyjnych
Jak POZ powinno zachować się w związku z wyciekiem?
Wydaje się, że POZ – chcąc zapewnić sobie i zatrudnionym lekarzom bezpieczeństwo prawne – powinny rozważyć podjęcie dwutorowych działań.
Po pierwsze: poinformować pacjentów o zaistniałym incydencie i o możliwościach, jakie mogą oni podjąć w celu zabezpieczenia swojej sytuacji (m.in. poprzez założenie konta w BIK lub zastrzeżenie numeru PESEL).
Po drugie, przychodnie powinny potraktować sytuację ALAB jako ostrzeżenie. Weryfikacja i aktualizacja procedur RODO stosowanych w placówkach, audyt stosowanych zabezpieczeń oraz zapewnienie pracownikom odpowiedniego przeszkolenia w zakresie cyberbezpieczeństwa to prosta gwarancja na znaczne podniesienie poziomu bezpieczeństwa danych.
Zespół Kancelarii Radców Prawnych MK w Krakowie zapewni profesjonalne i kompleksowe wsparcie w zakresie weryfikacji RODO w POZ oraz prywatnych gabinetach lekarskich.