RPP: Nienależyta ochrona danych narusza prawa pacjentów

Dodano: 14.07.2026


Od podmiotów leczniczych wymagana jest podwyższona staranność, nie tylko w procesie bieżącej ochrony danych pacjentów, ale także w procesie przewidywania możliwych scenariuszy naruszenia dostępu do danych - twierdzi Rzecznik Prawa Pacjenta
Od podmiotów leczniczych wymagana jest podwyższona staranność, nie tylko w procesie bieżącej ochrony danych pacjentów, ale także w procesie przewidywania możliwych scenariuszy naruszenia dostępu do danych – twierdzi Rzecznik Prawa Pacjenta

Brak odpowiednich zabezpieczeń systemów teleinformatycznych może stanowić naruszenie zbiorowych praw pacjentów – uważa Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta. Placówki medyczne powinny przewidywać możliwe scenariusze naruszenia dostępu do danych. 

  • Rzecznik Praw Pacjenta wydał oświadczenie, że niewystarczające zabezpieczenia systemów IT mogą naruszać zbiorowe prawa pacjentów, niezależnie od samego faktu cyberataku.
  • W badanej placówce wyciekły dane medyczne i osobowe pacjentów z powodu niekontrolowanego przekierowywania służbowej poczty e-mail.
  • Kontrola wykazała m.in. brak centralnego zarządzania pocztą, niekontrolowany zdalny dostęp z prywatnych urządzeń oraz niewystarczające stosowanie szyfrowania.
  • RPP przypomina, że dane medyczne należą do szczególnie chronionych kategorii danych i wymagają podwyższonych zabezpieczeń organizacyjnych oraz technicznych.
  • Rzecznik nakazał placówce usunięcie nieprawidłowości i oczekuje informacji o wdrożeniu działań naprawczych.

Sprawa dotyczy jednego z zakładów opieki zdrowotnej, w którym osoby nieuprawnione uzyskały dostęp do danych pacjentów. Wyciek objął m.in. numery PESEL, imiona i nazwiska, adresy, informacje o hospitalizacji, rozpoznaniach, zgonach oraz dane lekarzy. Do incydentu doszło wskutek utworzenia reguły automatycznego przekierowywania wiadomości e-mail na nieuprawniony adres.

W toku postępowania Rzecznik Praw Pacjenta stwierdził szereg nieprawidłowości w zakresie bezpieczeństwa teleinformatycznego placówki. Wśród nich znalazły się: brak centralnego zarządzania pocztą elektroniczną i możliwość samodzielnego tworzenia reguł przekierowania wiadomości przez użytkowników, niekontrolowany zdalny dostęp do sieci wewnętrznej z prywatnych urządzeń oraz brak skutecznej kontroli stosowania szyfrowania korespondencji elektronicznej.

– Podmioty lecznicze zobowiązane są do stosowania właściwych zasad ochrony dostępu do danych pacjentów i dokumentacji medycznej, w szczególności mechanizmów zabezpieczających elementy systemów teleinformatycznych – podkreśla Rzecznik Praw Pacjenta.

RPP przypomina, że dokumentacja medyczna zawiera szczególne kategorie danych osobowych w rozumieniu RODO, dlatego podmioty lecznicze mają obowiązek stosowania podwyższonego poziomu ochrony – zarówno organizacyjnej, jak i technicznej. Wynika to również z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, która nakłada na placówki obowiązek odpowiedniego prowadzenia, przechowywania i zabezpieczania dokumentacji medycznej.

W decyzji Rzecznik wskazał także działania, które powinny stanowić standard w placówkach medycznych. Należą do nich m.in.

  • szyfrowanie wiadomości i plików zawierających dane pacjentów,
  • stosowanie silnego uwierzytelniania dostępu do poczty elektronicznej,
  • blokowanie automatycznego przekierowywania wiadomości poza domenę organizacji,
  • ograniczenie korzystania z prywatnych urządzeń i skrzynek pocztowych do celów służbowych,
  • zabezpieczenie pracy zdalnej,
  • regularna analiza ryzyka,
  • aktualizacja polityk bezpieczeństwa.

Jak podkreśla Bartłomiej Chmielowiec, od podmiotów leczniczych wymagane jest również przewidywanie potencjalnych scenariuszy naruszeń i wdrażanie odpowiednich środków zapobiegawczych.

Rzecznik zaznacza, że uznanie praktyki za naruszającą zbiorowe prawa pacjentów nie było konsekwencją samego cyberataku. Decydujące znaczenie miały stwierdzone zaniedbania w zakresie zabezpieczenia systemów teleinformatycznych i dostępu do służbowych skrzynek pocztowych.

RPP nakazał placówce usunięcie stwierdzonych nieprawidłowości. Obecnie oczekuje na stanowisko podmiotu leczniczego oraz informacje o wdrożeniu wymaganych działań naprawczych.