Reklama

Szpitalom zdarza się ujawnić dane osobowe pacjenta

Polityka Zdrowotna
20/10/2022 09:15

Placówki medyczne ujawniają dane pacjentów dotyczące ich stanu zdrowia, bo np. omyłkowo wydają dokumentację medyczną, wypisy, czy też recepty nieuprawionym osobom trzecim. UODO nakłada na nie kary finansowe.

W dobie wszechobecnej elektronizacji, informatyzacji, korzystania ze smartfonów czy portali społecznościowych, kwestia ochrony danych osobowych robi się coraz bardziej istotna. Bezpieczeństwo w tym zakresie jest także istotnym filarem zaufania w kontaktach pacjenta z lekarzem czy przychodnią i szpitalem. 

Naruszenia w Warszawie

O naruszenia bezpieczeństwa w tym zakresie nie jest trudno, o czym świadczą kary finansowe, jakie nakłada Urząd Ochrony Danych Osobowych (UODO). Otóż urząd nałożył niedawno karę pieniężną na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego. Powodem decyzji było niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą.

Reklama

W sprawie chodziło o to, że jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej, zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady). Pacjent poskarżył się do Rzecznika Praw Pacjenta, a ten zawiadomił o naruszeniu UODO

W toku postępowania, placówka medyczna, będąca administratorem danych potwierdziła, że doszło do omyłkowego wpisania na skierowaniu do poradni specjalistycznej danych osobowych innego pacjenta.  Na dokumencie pojawiły się bowiem dane osobowe nieistniejącej w rzeczywistości osoby. Mimo że administrator zakwalifikował zaistniałe zdarzenie jako incydent bezpieczeństwa, to jednak uznał, iż nie wywiera ono negatywnych skutków dla praw i obowiązków osoby, której dane dotyczą.

Reklama

 Z tego względu jednostka należąca do WUM nie zgłosiła organowi nadzorczemu tego zdarzenia, jak również nie zawiadomiła o nim osoby, której dane dotyczą. UODO uznał, że jest to naruszenie przepisów o RODO i nałożył na placówkę karę w kwocie 10 tys. zł. W jego opinii administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, pomimo posiadania informacji o zdarzeniu od Rzecznika Praw Pacjenta. W wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, doszło do ujawnienia danych osobowych osobie nieuprawnionej (innemu pacjentowi administratora). 

Nieprawidłowe niszczenie dokumentacji

Reklama

Okazuje się, że naruszeń bezpieczeństwa danych osobowych przez placówki medyczne jest więcej. Jak informuje Politykę Zdrowotną Adam Sanocki, rzecznik prasowy UODO, w 2021 r. urząd otrzymał 257 zgłoszeń naruszeń danych osobowych przez niepubliczną służbę zdrowia. W 2022 r. urząd dostał już 100 zgłoszeń naruszeń.  

Dla porównania w 2021 roku do Urzędu Ochrony Danych Osobowych wpłynęło ogółem  12946 zgłoszeń naruszeń. To znacznie mniej niż rok wcześniej, gdyż w 2020 roku do UODO zgłoszono 7507 naruszeń ochrony danych. Spośród 12946 zgłoszeń naruszeń, które wpłynęły w 2021 roku, 8172 zostało zgłoszonych przez podmioty sektora prywatnego, 4738 przez podmioty sektora publicznego, zaś 36 zgłoszono w międzynarodowym systemie informatycznym (IMI).

Reklama

UODO nie prowadzi jednak bardziej szczegółowych związanych z naruszeniami ochrony danych w publicznych placówkach ochrony zdrowia. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - wskazuje Adam Sanocki.

Naruszenia, które są zgłaszane Prezesowi UODO, często dotyczą następujących sytuacji:

Reklama
  • przesyłania dokumentacji administratora do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej),
  • zagubienia/kradzieży nośników elektronicznych/komputerów,
  • nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach),
  • zagubienia dokumentacji papierowej przez administratora lub jego personel,
  • ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

Znaczna liczba naruszeń polegających na omyłkowym wydaniu dokumentacji np. medycznej, wypisów, czy też recept nieuprawionym osobom trzecim, była wynikiem złamania obowiązujących w organizacji procedur, a niekiedy również – odpowiednich regulacji w tych procedurach, dotyczących kwestii prawidłowej weryfikacji tożsamości odbiorców dokumentacji medycznej.

Przed karą da się uchronić

Takie sytuacje jak nieprawidłowe zniszczenie dokumentacji medycznej nie powinny się zdarzać w ochronie zdrowia. Są specjalne firmy, które się zajmują. Oczywiście, pewnych błędów nie unikniemy bo powoduje je czynnik ludzki, czasem nieuważność, ale ja uczulam swój personel choćby na to, aby nie kserowali dokumentacji medycznej i nie wynosili poza placówkę, zasłaniali nr PESESL w obecności pacjentów czy nie pozostawiali dokumentacji medycznej w przychodni w miejscach ogólnodostępnych- wskazuje Michał Sutkowski, prezes Kolegium Lekarzy Rodzinnych.  

Reklama

Podkreśla, że sam aby zabezpieczyć swoje przychodnie przed ryzykiem naruszenia danych osobowych, zatrudnia osobę dbającą o bezpieczeństwo danych i sam korzysta ze szkoleń organizowanych przez UODO. Prawnicy wskazują także, że jeśli dojdzie do naruszenia bezpieczeństwa danych osobowych pacjenta, to placówka medyczna nie jest jeszcze na przegranej sytuacji i nie musi to od razu wiązać się z karą finansową. 

W takiej sytuacji podmiot leczniczy powinien poinformować pacjenta o tym, że jego dane zostały ujawnione nieuprawnionej do tego osobie, a także zgłosić naruszenie do UODO. W informacji do urzędu powinna znaleźć się ocena podmiotu leczniczego o tym, czy nastąpiło wysokie czy niskie naruszenie praw i wolności osób, których dane zostały ujawnione. Organ z kolei weryfikuje czy ocena administratora jest prawidłowa - wskazuje Karolina Gęsikowska- Podsiadły, adwokat  z kancelarii Podsiadły&Powierża i specjalistka ds. prawa medycznego. 

Reklama

Zapewne trudno będzie wyeliminować każde ryzyko naruszenia danych osobowych w służbie zdrowia, gdyż technologia i informatyzacja rozwija się bardzo szybko. Jedyne na o co można wówczas położyć nacisk, to uważność wśród pracowników szpitali i przychodni. 

Polecane:

Obserwuj nas na Obserwuje nas na Google NewsGoogle News

Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!

Reklama

Komentarze opinie

Podziel się swoją opinią

Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.


Reklama
Reklama
Najnowsze wiadomości