Skip to main content
Wyślij zapytanie

      Każdy incydent może oznaczać utratę reputacji, wysokie kary finansowe i ryzyko dla praw pacjentów. Jak się przed tym uchronić? W artykule przedstawimy przykłady naruszeń oraz sprawdzone metody minimalizacji ryzyka – od audytów i analiz, po wdrożenie kodeksów postępowania. Dowiedz się, jak zapewnić zgodność i bezpieczeństwo danych w swojej organizacji.

      Zakres przetwarzania danych

      Podmioty wykonujące działalność leczniczą przetwarzają znaczne ilości danych osobowych, w tym danych szczególnych kategorii, które związane są z udzielaniem świadczeń zdrowotnych. Wystarczy wspomnieć o obowiązkowych szczepieniach, działaniach profilaktycznych, wizytach kontrolnych, teleporadach, rejestracjach wizyt, archiwizacji dokumentacji medycznej czy nawet systemach informatycznych – i ukazuje się nam wiele obszarów, w których dane mogą być przetwarzane. Wszystkie te czynności mogą generować ryzyka dla poufności, integralności i dostępności, a w konsekwencji prowadzić do naruszenia ochrony danych. 

      Niedawne naruszenia ochrony danych z przestrzeni publicznej

      1. Przykład z Centrum Medycyny Pracy1

      Pacjent po wykonaniu badań okresowych otrzymał wiadomość z linkiem do swoich wyników. Po otwarciu ich w przeglądarce zauważył, że zostały one opisane numerem identyfikacyjnym, który z ciekawości zamienił na inny i otrzymał w ten sposób dostęp do wyników innego pacjenta. Po zgłoszeniu sprawy funkcjonalność została wyłączona, jednak nastąpiło to dopiero po upływie ponad tygodnia od nawiązania kontaktu.

      W tym przypadku pomóc mogłoby odpowiednie testowanie aplikacji przed jej wdrożeniem oraz zastosowanie właściwego standardu identyfikatorów, a więc uwzględnienie zasady privacy by design w praktyce – przez zespół ochrony danych osobowych we współpracy ze specjalistami bezpieczeństwa IT lub zewnętrznymi testerami aplikacji. Ponadto, wszystkie funkcyjne skrzynki mailowe powinny być regularnie sprawdzane, a w przypadku nieobecności – wiadomości przekazywane do właściwych osób.

      2. Decyzja Prezesa UODO nakładająca karę na Centrum Medyczne2

      Centrum medyczne przesłało zwrotne potwierdzenie przelewu do niewłaściwej osoby. W tytule wskazane były dane identyfikacyjne, adres oraz nazwa badania ujawniająca szczegółowe informacje na temat stanu zdrowia. Sytuacja zaistniała wskutek błędu pracownika spółki, która jako administrator nie stwierdziła zagrożenia dla praw i wolności, ostatecznie nie dokonując zgłoszenia naruszenia zarówno do UODO, jak i podmiotu danych. Zdaniem Urzędu spółka niewłaściwie oceniła ryzyko, które w tej sytuacji było wysokie, a naruszenie wymagało notyfikacji.

      W tym przypadku pomóc mogłaby właściwie przygotowana procedura zgłaszania naruszeń i formularz klasyfikacji incydentu oparty między innymi o zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych wydany przez UODO3 czy rekomendacje Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)4 dodatkowo dostosowane do specyfiki administratora. W praktyce ważne jest też regularne testowanie – poprzez symulację incydentu i zaangażowanie wszystkich stron – od koordynatorów, przez szefów działów, po Inspektora Ochrony Danych. Taki test można przeprowadzić w formie gry sztabowej zakładającej realizację określonego scenariusza.

      3. Decyzja Prezesa UODO wobec Niepublicznego Zakładu Opieki Zdrowotnej5

      Administrator udzielał świadczeń zdrowotnych swoim pacjentom między innymi w formie wizyt domowych, w trakcie których lekarze korzystali z prywatnych samochodów. Po jednej z takich wizyt doszło do kradzieży auta, w którym znajdowała się dokumentacja medyczna zawierająca dane osobowe pacjentów. Sprawa została zgłoszona również na Policję, lecz postępowanie zostało umorzone wobec braku wykrycia sprawcy. Po zaistnieniu incydentu administrator zgłosił naruszenie do Prezesa UODO. Następnie podjęte zostały działania naprawcze, takie jak przekazanie pracownikom teczek zabezpieczanych zamkiem szyfrowym, przeprowadzenie analizy ryzyka dla procesu transportu papierowej dokumentacji medycznej, przeprowadzenie szkoleń dla personelu czy uzupełnienie polityki bezpieczeństwa o rozdział dot. transportu dokumentów, przystąpienie do zatwierdzonego kodeksu postępowania.

      Prezes UODO stwierdził naruszenie przepisów RODO6 z uwagi na nieodpowiednie zidentyfikowanie ryzyka dla przetwarzania danych, a w konsekwencji przez niewdrożenie właściwych środków organizacyjnych i technicznych, odpowiadających temu ryzyku. Wymierzając finansową karę pieniężną Urząd wziął pod uwagę wszelkie działania naprawcze, które podjął administrator, a za okoliczność łagodzącą uznał również przystąpienie przez podmiot do kodeksu postępowania. Ze względu na zaistnienie w sprawie okoliczności łagodzących, Prezes UODO, oceniając ich wpływ na stwierdzone naruszenie, uznał za zasadne zmniejszenie o 60% ustalonej kwoty kary.

      Czy można było tego uniknąć? – czyli o tym, jak się przygotować

      Analiza ryzyka oraz cykliczny audyt

      Właściwe zidentyfikowanie ryzyka przetwarzania danych dla każdego z aktywów – uwzględniające wszystkie operacje i sposoby przetwarzania dokonywane przez administratora, w tym urządzenia, aplikacje i systemy – mogłoby ograniczyć prawdopodobieństwo incydentu. W przypadku wyższego ryzyka, konieczne byłoby zastosowanie bardziej rygorystycznych środków ochrony. W praktyce takie analizy to często rozbudowane matryce, które muszą uwzględnić każdą możliwą sytuację oraz zagrożenie, co często wymaga doświadczenia, dużych nakładów pracy i regularnych przeglądów. Niewłaściwa analiza ryzyka to jeden z najczęściej pojawiających się zarzutów w postępowaniach przez Prezesem UODO.

      Cykliczny audyt to z kolei sposób na ocenę systemu ochrony danych oraz zidentyfikowanie obszarów wymagających poprawy i realizację zaleceń. Dobrym rozwiązaniem może być połączenie audytu obszaru ochrony danych osobowych z elementami technicznymi – np. testami aplikacji, analizą dostępu do sieci firmowej, implementacją reguł retencji w systemach informatycznych czy nawet testowymi atakami wykorzystującymi socjotechniki.

      Kodeks RODO

      Zatwierdzone kodeksy postępowania to sposób na dostosowanie operacji przetwarzania w sposób dopasowany do danej branży. Obecnie dostępne są trzy takie kodeksy7, a organizacje mogą do nich przystępować i pokazać w ten sposób, że zapewniają adekwatny poziom ochrony danych osobowych. Kandydaci przystępujący do kodeksu mają gwarancję, że zostaną zweryfikowani przez profesjonalny, akredytowany przez Prezesa UODO podmiot, a w toku działań audytowych przeprowadzona zostanie gruntowna ocena zgodności z postanowieniami kodeksu. Stosowanie kodeksu może zapewnić przewagę konkurencyjną. Jest również brane pod uwagę jako okoliczność łagodząca przy wymierzaniu kar pieniężnych.

      Podsumowanie

      Podmioty medyczne, jak również dostawcy świadczący dla nich usługi, powinni zachować szczególną uwagę przy przetwarzaniu danych osobowych. Przeważnie każdy incydent związany z danymi dotyczącymi zdrowia, automatycznie będzie powodował ryzyko naruszenia praw lub wolności pacjentów. 

      W jakich obszarach możemy pomóc?

      KPMG w Polsce jest podmiotem akredytowanym przez Prezesa UODO i podmiotem monitorującym Kodeks postępowania dla sektora ochrony zdrowia8 i może pomóc między innymi indywidualnym praktykom, ale również poradniom specjalistycznym, zakładom opiekuńczo-leczniczym, jak i szpitalom. Certyfikat podmiotu stosującego kodeks może uzyskać także podmiot przetwarzający – czyli laboratoria, dostawcy systemów i usług informatycznych czy też dostawcy sprzętu diagnostycznego.

      KPMG oferuje wsparcie w ramach audytu zgodności z przepisami o ochronie danych osobowych w sposób kompleksowy, w oparciu o doświadczenie całego Zespołu Cyberbezpieczeństwa, a więc ocenę także technicznych środków ochrony. KPMG oferuje również usługi reakcji na incydenty, a więc pomoc w zabezpieczeniu danych, analizę plików i logów oraz zarządzanie incydentami i rekomendowanie środków mitygujących. 

      Powyższa informacja uwzględnia stan faktyczny i prawny na dzień 10 grudnia 2025.

      1 Zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów. Centrum Medycyny Pracy – Link.

      2 Niepowiadomienie o błędnym wysłaniu dokumentu z danymi pacjentki - Link.

      3 Obowiązki administratorów związane z naruszeniami ochrony danych osobowych V2 – Link.

      4 Rekomendacje ENISA – Link.

      5 Decyzja Prezesa UODO, DKN.5131.17.2022 – Link.

      6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

      7 Zatwierdzone kodeksy postępowania – UODO – Link.

      8 Monitorowanie stosowania Kodeksu postępowania dla sektora ochrony zdrowia – Link.

      Nasi eksperci:

       

      Michał Kurek KPMG w Polsce
      Michał Kurek

      Partner, Advisory, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej

      KPMG w Polsce

      Adrianna Poźniak
      Adrianna Poźniak

      Menedżerka, Zespół ds. Cyberbezpieczeństwa, Advisory

      KPMG w Polsce

      Jakub Cybul
      Jakub Cybul

      Starszy Konsultant, Zespół ds. Cyberbezpieczeństwa, Advisory, KPMG w Polsce

      KPMG w Polsce

      Skontaktuj się z nami


      Dowiedz się więcej, o tym w jaki sposób wiedza i technologia KPMG mogą pomóc Tobie i Twojej firmie.

      Wyślij zapytanie

      Zobacz także

      Firma KPMG uzyskała akredytację Prezesa UODO do pełnienia roli podmiotu monitorującego.
      Dowiedz się więcej

      Usługi poprawiające efektywność funkcjonowania organizacji, zapewniające bezpieczeństwo i napędzające digitalizację.
      Dowiedz się więcej

      Ochrona danych stała się jednym z trudniejszych i najbardziej wymagających wyzwań, stojących obecnie przed organizacjami.
      Dowiedz się więcej