Pacjenci mają prawo do informacji o tym jakie ich dane zostały ujawnione, jakie konsekwencje może rodzić to zdarzenie oraz w jaki sposób powinni się zachować, aby ograniczyć ryzyka związane z ujawnieniem tych danych - zauważa Kinga Kowalska-Szura, adwokat współpracujący z Kancelarią Filipiak Babicz Legal.

Dziś rano serwis zaufanatrzeciastrona.pl poinformował, że doszło do znaczącego ataku hakerskiego na firmę ALAB, będącą kluczowym graczem w branży laboratoriów medycznych w Polsce. Do ataku przyznała się Grupa hakerska RA World. Hakerzy nie tylko ogłosili sukces swojego działania, ale również opublikowali na swoim blogu fragmenty wykradzionych danych. Wśród udostępnionych informacji znalazły się wyniki ponad 50 tysięcy badań medycznych, co budzi poważne obawy o prywatność pacjentów i bezpieczeństwo danych.

Postanowiliśmy zapytać prawnika co mogą zrobić pacjenci - klienci firmy, których dane mogły zostać wykradzione. Odpowiedzi udzieliła Kinga Kowalska-Szura, adwokat współpracujący z Kancelarią Filipiak Babicz Legal.

Atak hakerski i kradzież danych medycznych. Jakie obowiązki ma ofiara ataku, czyli w tym przypadku firma prowadząca badania medyczne?

W momencie powzięcia wiedzy o wycieku danych ALAB, jako administrator danych, powinien w ciągu 72 h przeprowadzić analizę czy jest to naruszenie ochrony danych, ustalić czy istnieje ryzyko dla podmiotów danych (pacjentów) i jakie jest to ryzyko. W tym przypadku wydaje się oczywiste, że ALAB będzie musiał zgłosić wyciek do Prezesa UODO (o ile już to nie nastąpiło) oraz poinformować osoby, których dane wyciekły.

Wyciek danych medycznych to bardzo poważna kwestia…

Wyciek danych jest pojęciem potocznym. Z punktu widzenia RODO mówimy o naruszeniu ochrony danych. W tym przypadku mamy sytuację groźniejszą z punktu widzenia ochrony danych i danych osób fizycznych, gdyż ujawniono nie tylko PESEL, ale i dane o ich stanie zdrowia, a więc dane szczególnej kategorii. To powoduje, że występuje wysokie ryzyko naruszenia praw i wolności tych osób – może się okazać, że w przestrzeni publicznej będą dostępne dane o tym czy ktoś np. choruje na chorobę weneryczną, ma HIV czy AIDS.

Firma ALAB nadal nie komentuje informacji o wycieku danych. Ile czasu ma na poinformowanie klientów?

ALAB musi poinformować pacjentów, których wyniki badań zostały ujawnione, niezwłocznie, a więc bez zbędnej zwłoki. Nie ma ścisłego terminu, jak przy zgłoszeniu do Prezesa UODO, ale nie może tego obowiązku przeciągać.

Jakie prawa mają klienci - pacjenci, którzy korzystali z usług firmy, a ich dane mogły zostać skradzione?

Pacjenci mają prawo do informacji o tym jakie ich dane zostały ujawnione, jakie konsekwencje może rodzić to zdarzenie oraz w jaki sposób powinni się zachować, aby ograniczyć ryzyka związane z ujawnieniem tych danych. ALAB powinien bezpośrednio poinformować te osoby, choć może być to trudne, jeżeli nie posiada danych kontaktowych. Wtedy rozwiązaniem może być udostępnienie wyszukiwarki, która pozwoli sprawdzić czy dane konkretnej osoby wyciekły. Z uwagi na skalę wycieku i okres z kiedy są wyniki badań (z informacji wynika, że to badania z lat 2017-2023) ALAB może być trudno poinformować wszystkie osoby o tym, że ich dane zostały ujawnione. ALAB powinien również wystosować publiczny komunikat z informacją o tym, jakie kroki będzie w tym zakresie podejmować.

Czy mają prawo do odszkodowania?

Pacjentowi, którego dane osobowe zostały ujawnione w wyniku ataku, przysługuje prawo żądania odszkodowania od ALAB, które może być dochodzone przed sądem cywilnym. Trudno stwierdzić w jakiej wysokości takie odszkodowanie może być przyznane. Wszystko będzie zależało od okoliczności sprawy, w tym wpływu ujawnienia danych o zdrowiu na życie prywatne lub zawodowe takiej osoby.