– Jest to sytuacja dość niespotykana, że znany szpital na rynku, przez kilka lat nie zweryfikował i nie uszczelnił dostatecznie procedur – mówi Aneta Sieradzka, prawniczka i ekspertka ds. danych osobowych. Zdaniem Sieradzkiej, opisana przez Zero.pl sprawa ujawnienia danych medycznych na rządowych stronach to poważne naruszenie przepisów.
- W poniedziałek ujawniliśmy w Zero.pl, że na rządowych stronach pojawił się dokument z danymi medycznymi znanej artystki.
- Ekspertka ochrony danych osobowych uważa, że doszło do poważnego naruszenia przepisów o ochronie danych.
- W podobnych przypadkach odpowiedzialność nie występuje tylko w przypadku powstania szkody majątkowej.
– Opisana sytuacja stanowi przykład zdarzenia, które – niezależnie od jego skali i intencji sprawcy – należy kwalifikować jako poważne naruszenie przepisów o ochronie danych osobowych – komentuje dla Zero.pl Aneta Sieradzka, prawniczka zajmująca się przepisami dotyczącymi danych osobowych i ich praktycznym zastosowaniem w systemie ochrony zdrowia oraz prezeska Fundacji AI One Health.
W poniedziałek poinformowaliśmy, że na rządowych stronach internetowych gov.pl dostępne są informacje o leczeniu osoby publicznej w rządowym szpitalu MSWiA. Widnieją tam od 3,5 roku. Urząd Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta mówią o złamaniu przepisów i wszczynają postępowania wyjaśniające.
Dane medyczne córki polityka dostępne w sieci. Trafiły na rządową stronę
„Sytuacja niespotykana”
Jak podkreśla Aneta Sieradzka, opisany przykład naruszenia dotyczy informacji o zdrowiu, danych szczególnej kategorii, które podlegają najsilniejszej ochronie na gruncie RODO. – Nawet jeżeli dokument nie zawierał jednoznacznej diagnozy czy wyników badań, sam fakt powiązania konkretnej osoby z określonym procesem medycznym może prowadzić do wniosków dotyczących jej stanu zdrowia – zauważa ekspertka.
– Jest to sytuacja dość niespotykana, że znany szpital na rynku, mający zasoby, by jak najlepiej dbać o bezpieczeństwo pacjentów, przez kilka lat nie zweryfikował i nie uszczelnił na tyle dostatecznie procedur, aby niezwłocznie to naruszenie zidentyfikować – komentuje Aneta Sieradzka. Jak dodaje, na kanwie tej sprawy pojawiają się pytania o obiektywne wewnętrzne audyty.
Prawniczka zwraca również uwagę, że udostępnienie informacji w serwisie administracji publicznej rodzi odpowiedzialność administratora danych osobowych.
Szkoda majątkowa? Nie jest konieczna, by ubiegać się o odszkodowanie
Aneta Sieradzka zwraca uwagę, że europejskie i krajowe regulacje nie ograniczają odpowiedzialności wyłącznie do przypadków powstania szkody majątkowej. – Wręcz przeciwnie, w praktyce tego typu spraw, co znajduje potwierdzenie w orzecznictwie polskich sądów, dominują roszczenia o charakterze niemajątkowym, związane z naruszeniem prawa do prywatności, utratą kontroli nad własnymi danymi czy stresem wynikającym z ich ujawnienia lub pogorszeniem stanu zdrowia psychicznego – podkreśla.
Sieradzka zauważa, że Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 2024 r. podkreślił, że prawo nie przewiduje minimalnego progu szkody. Oznacza to, że nawet najmniejsze naruszenie, jeśli prowadzi do odczuwalnej krzywdy lub dyskomfortu, może uzasadniać roszczenie odszkodowawcze.
– W analizowanym przypadku szczególne znaczenie ma fakt, że chodzi o dane medyczne oraz ich potencjalną dostępność w domenie publicznej. Dodatkowo, jeżeli osoba, której dane dotyczą, jest osobą publicznie rozpoznawalną, pojawia się ryzyko naruszenia jej dóbr osobistych – w tym prywatności i dobrego imienia – ocenia ekspertka.
Jakie dane ujawniono na rządowych stronach?
Na rządowej stronie internetowej gov.pl (zarządzanej przez Ministerstwo Cyfryzacji) przez ok. 3,5 roku znajdowała się informacja o dacie utworzenia karty wypisowej znanej polskiej artystki, wewnętrzny numer jej dokumentacji, numer identyfikacyjny pacjentki oraz – prawdopodobnie – informacja o przyjmującym ją lekarzu.
Z uwagi na konieczność ochrony danych osobowych redakcja Zero.pl nie ujawnia jej tożsamości. Uzyskaliśmy potwierdzenie, że ta osoba faktycznie leczyła się w szpitalu MSWiA.
Chcą odwołać Miszalskiego, skończyli liczyć podpisy. Co dalej?
Nie wiadomo, ile osób – a także algorytmów sztucznej inteligencji kopiujących dane z internetu – mogło mieć dostęp do tego dokumentu.
Według Karola Witowskiego, rzecznika prasowego Urzędu Ochrony Danych Osobowych, niewątpliwie jest to przypadek naruszenia ochrony danych osobowych. Jak ocenia Witowski, z uwagi na ujawnione kategorie danych osobowych oraz fakt, że dotyczą one osoby publicznej, sprawa „może generować wysokie ryzyko dla praw lub wolności” takiej osoby.
Choć naruszenie wygląda jak dzieło przypadku, to przedstawiciel szpitala MSWiA nie wyklucza, że mogło dojść do niesprecyzowanej „ingerencji z zewnątrz”. Dlatego lecznica powiadomiła o sprawie bliżej niesprecyzowane „odpowiednie organy”.