Proste wyszukiwanie w internecie wystarcza, by dowiedzieć się, u jakiego lekarza, w jakim szpitalu i kiedy leczyła się celebrytka. Urząd ds. ochrony danych i Rzecznik Praw Pacjenta mówią wprost: to naruszenie przepisów. Podejmują działania po ustaleniach portalu Zero.pl. Szpital potwierdza, że doszło do ujawnienia.
- Na stronie internetowej gov.pl dostępne są informacje o leczeniu osoby publicznej w rządowym szpitalu MSWiA. Widnieją tam od 3,5 roku.
- Urząd Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta mówią o złamaniu przepisów i wszczynają postępowania wyjaśniające.
- UODO może nałożyć karę do 100 tys. zł a RPP do 500 tys. zł. Poszkodowana może też dochodzić sprawiedliwości w sądzie cywilnym.
- Za naruszenie może być odpowiedzialny szpital MSWiA lub Ministerstwo Cyfryzacji, obsługujące domenę gov.pl. Lecznica informuje, że po naszych pytaniach podejmuje działania naprawcze.
Wpisanie imienia, nazwiska i frazy „MSWiA” w wyszukiwarce internetowej – tyle wystarcza, by poznać informacje o stanie zdrowia artystki i córki znanego polityka.
Z uwagi na konieczność ochrony danych osobowych, redakcja Zero.pl nie ujawni jej tożsamości. Uzyskaliśmy potwierdzenie, że ta osoba faktycznie leczyła się w szpitalu MSWiA.
Na rządowej stronie internetowej gov.pl (zarządzanej przez Ministerstwo Cyfryzacji) znajduje się informacja o dacie utworzenia karty wypisowej artystki, wewnętrzny numer jej dokumentacji, numer identyfikacyjny pacjentki oraz – prawdopodobnie – informacja o przyjmującym ją lekarzu.
Plik jest publicznie dostępny od 3,5 roku (utworzono go 5 września 2022 r. i edytowano 13 października 2022 r.). Nie wiadomo, ile osób – a także algorytmów sztucznej inteligencji kopiujących dane z internetu – mogło mieć dostęp do tego dokumentu.
– To niewątpliwie naruszenie ochrony danych osobowych – komentuje dla Zero.pl Karol Witowski, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
Dodaje, że z uwagi na ujawnione kategorie danych osobowych oraz fakt, że dotyczą one osoby publicznej, sprawa „może generować wysokie ryzyko dla praw lub wolności” takiej osoby.
Chodzi o to, że informacje o stanie zdrowia są szczególnie chronione przez przepisy. Szczegóły zawarte w pliku mogą zaś umożliwiać dotarcie do kolejnych danych medycznych pacjentki albo przejęcie jej tożsamości przez przestępców.
Maksymalna kara UODO administracyjna dla instytucji publicznej wynosi 100 tys. zł, ale sprawa może mieć dalsze konsekwencje. Osoba, której dane ujawniono, może dochodzić odszkodowania i zadośćuczynienia na drodze cywilnej – w praktyce od Skarbu Państwa.
Postępowanie wszczął również Rzecznik Praw Pacjenta. Według niego możemy mieć do czynienia z przypadkiem udostępniania danych medycznych niezgodnie z prawem. RPP może nakazać zaprzestania stosowania takich praktyk, a w przypadku niewykonania decyzji lub stwierdzenia recydywy – nałożyć karę pieniężną do 500 tys. zł.
Jak doszło do wycieku? Trop prowadzi do dokumentu
Choć naruszenie wygląda jak dzieło przypadku, to przedstawiciel szpitala MSWiA nie wyklucza, że mogło dojść do niesprecyzowanej „ingerencji z zewnątrz”. Dlatego lecznica powiadomiła o sprawie bliżej niesprecyzowane „odpowiednie organy”.
Informacja o tym, że zamieszczony plik jest dawną kartą wypisową celebrytki, znajduje się w nagłówku dokumentu. Niewykluczone, że ktoś wykorzystał ten plik do stworzenia kolejnego.
Poprzedni nagłówek z karty wypisowej przykryto nowym – zawierającym dane teleadresowe szpitala (w 2022 r. znanego jeszcze jako Centralny Szpital Kliniczny MSWiA w Warszawie) oraz informacje o kierowniku kliniki kardiochirurgii i transplantologii prof. Piotrze Suwalskim (obecnie dyrektorze Państwowego Instytutu Medycznego MSWiA).
Nowy dokument zawiera wykaz badań i konsultacji niezbędnych do kwalifikacji chorego do transplantacji płuc. W pliku widać informację, że ostatnim edytującym był jeden z kardiochirurgów szpitala MSWiA.
Szpital dla VIP-ów nadal przyjmuje
Według ustaleń portalu Zero.pl osobę, której dane ujawniono, łączyły prywatne relacje z prof. Piotrem Suwalskim.
To może być przypadek. Niemniej portal Zero.pl ujawnił, że nadzorujący szpital MSWiA wiceminister Wiesław Szczepański przekazał w Sejmie byłym oraz obecnym politykom, że chętnie pomoże w ich sprawach i zaprasza do ministerialnego gabinetu. Dodał, że jako wiceminister spraw wewnętrznych i administracji nadzoruje szpital MSWiA przy Wołoskiej w Warszawie. Określił go mianem „szpitala dla VIP-ów”.
W oświadczeniu wydanym po pytaniach Zero.pl Szczepański przekonywał, że jego słowa były nadinterpretowane i nie dotyczyły kwestii zdrowotnych. Nie wyjaśnił jednak, dlaczego informował parlamentarzystów o nadzorze nad szpitalem MSWiA.
Kategorycznie zaprzeczał, jakoby lecznica przy Wołoskiej była miejscem do przyjmowania znajomych.
UODO sprawdzi, kto zawinił
Karol Witowski z UODO mówi Zero.pl, że urząd spotyka się z incydentami polegającymi na omyłkowym ujawnieniu danych osobowych np. we wzorach pism do klientów lub szablonach umieszczanych na stronach internetowych.
Urząd podjął czynności sprawdzające, w pierwszej kolejności mające na celu ustalenie, czy administrator danych osobowych wykonał swoje obowiązki. Chodzi o zgłoszenie naruszenia ochrony danych prezesowi UODO i powiadomienie o sprawie osoby, której dane dotyczą.
Kto w tym przypadku jest odpowiedzialny za naruszenie? To będzie musiał ustalić UODO. Bo choć dokument został przygotowany przez szpital MSWiA, to zamieszczono go na stronie gov.pl, którą zawiaduje Ministerstwo Cyfryzacji.
Rzecznik prasowy PIM MSWiA Dariusz Dewille mówi portalowi Zero.pl, że szpital zna sprawę i traktuje ją bardzo poważnie. Przedstawiciel lecznicy wskazuje, że po naszych pytaniach pacjentka została poinformowana o naruszeniu, a sprawa zgłoszona do UODO. Sprawdziliśmy: dokument naruszający przepisy cały czas jest widoczny w internecie.
– Ponadto podjęliśmy decyzję o kontroli wszelkich formularzy udostępnionych publicznie w celu uniknięcia podobnych zdarzeń – mówi Dariusz Dewille.
Ministerstwo Cyfryzacji nie odpowiedziało na nasze pytania. Nadzorujące szpital MSWiA odesłało nas do odpowiedzi udzielonych przez PIM MSWiA.