W świetle obowiązującego prawa w Polsce w związku z sytuacją wycieku danych medycznych zaliczanych do danych wrażliwych, które są chronione prawem pacjenci, mają prawo do pełnej informacji dotyczącej ujawnienia ich danych osobowych, w tym szczegółów dotyczących samego incydentu, potencjalnych konsekwencji oraz zaleceń dotyczących minimalizacji ryzyka związanego z takim wyciekiem danych.
POLECAMY: Wyciek danych pacjentów ALAB Laboratoria. Lepiej zastrzeż swój numer PESEL
Kilka dni temu media doniosły o ataku hakerskim, który miał miejsce w firmie ALAB, jednym z kluczowych graczy na rynku laboratoriów medycznych w Polsce. Grupa hakerska RA World przyznała się do przeprowadzenia tego ataku i nie tylko ogłosiła jego sukces, ale również opublikowała fragmenty skradzionych danych na swoim blogu. Wśród udostępnionych informacji znalazły się wyniki ponad 50 tysięcy badań medycznych, co budzi poważne obawy dotyczące prywatności pacjentów i bezpieczeństwa danych.
W związku z atakiem hakerskim i kradzieżą danych medycznych, firma ALAB, jako ofiara tego incydentu, ma określone obowiązki. Jako administrator danych, firma powinna w ciągu 72 godzin od momentu uzyskania informacji o wycieku przeprowadzić pełną analizę, aby określić, czy doszło do naruszenia ochrony danych. Ponadto, konieczne jest określenie ryzyka dla podmiotów danych, czyli pacjentów, oraz podjęcie odpowiednich działań w celu minimalizacji tego ryzyka. W obecnym kontekście wydaje się jasne, że ALAB będzie zobowiązana do zgłoszenia wycieku do Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz poinformowania osób, których dane zostały skradzione, o zaistniałym incydencie.
Ujawnienie danych medycznych stanowi istotne zagrożenie…
Termin „wyciek danych” jest używany w codziennym języku, jednak zgodnie z zasadami RODO, odnosi się on do naruszenia ochrony danych. W niniejszym przypadku mamy do czynienia z sytuacją bardziej niebezpieczną z punktu widzenia ochrony danych osobowych, ponieważ nastąpiło ujawnienie nie tylko numerów PESEL, lecz także informacji dotyczących stanu zdrowia, co obejmuje dane z kategorii szczególnej. To zjawisko generuje wysokie ryzyko naruszenia praw i wolności tych osób, co może skutkować dostępem publicznym do informacji o kondycji zdrowotnej, takiej jak obecność chorób wenerycznych, zakażenie HIV czy AIDS.
Firma ALAB wciąż nie udziela komentarzy na temat wycieku danych. Jaki jest okres, w jakim powinna poinformować klientów?
ALAB jest zobowiązana do niezwłocznego poinformowania pacjentów, których wyniki badań zostały ujawnione, bez zbędnej zwłoki. Chociaż nie istnieje ściśle określony termin, analogiczny do zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO), firma nie może zwlekać z realizacją tego obowiązku.
Jakie prawa przysługują klientom – pacjentom, których dane mogły zostać skradzione?
Klienci mają prawo do pełnej informacji na temat zakresu ujawnionych danych, potencjalnych konsekwencji tego zdarzenia oraz zaleceń dotyczących ograniczenia ryzyka związanego z ujawnieniem tych informacji. ALAB powinna bezpośrednio poinformować dotknięte osoby, nawet jeśli uzyskanie danych kontaktowych może być trudne. W przypadku braku takich informacji, możliwym rozwiązaniem może być udostępnienie wyszukiwarki, umożliwiającej sprawdzenie, czy dane konkretnej osoby zostały uwzględnione w wycieku. Z uwagi na rozległość wycieku i zakres czasowy wyników badań (od lat 2017 do 2023, zgodnie z dostępnymi informacjami), ALAB może napotkać trudności w poinformowaniu wszystkich osób dotkniętych ujawnieniem danych. Ponadto, firma powinna wydać publiczne oświadczenie informujące o planowanych krokach w celu rozwiązania sytuacji.
Czy jest możliwość uzyskania odszkodowania?
Osoba, której dane osobowe zostały ujawnione w wyniku ataku, ma prawo żądać odszkodowania od firmy ALAB, a roszczenie to może być dochodzone poprzez postępowanie przed sądem cywilnym. Określenie potencjalnej wysokości odszkodowania jest trudne, ponieważ zależy to od konkretnych okoliczności sprawy, w tym wpływu ujawnienia informacji o stanie zdrowia na sferę prywatną lub zawodową tej osoby.