W ostatnich dniach pojawiła się informacja o kradzieży danych osobowych pacjentów DCG Centrum Medyczne z Wrocławia. Do kradzieży doszło nie z samej placówki, a ze środowiska testowego MEDILY, która dostarczała jej oprogramowanie medyczne AURERO służące do zarządzania wizytami. Dane zostały więc pozyskane nie od administratora, a od podmiotu przetwarzającego, który… Dawno już tym podmiotem nie był. DCG Centrum Medyczne rozwiązało bowiem umowę jeszcze na początku 2021 r.
Usunięcie danych osobowych przez podmiot przetwarzający
Dane osobowe, które zostały wykradzione w tym przypadku dotyczą pacjentów i obejmują:
- imię i nazwisko pacjenta;
- PESEL;
- dane adresowe;
- dane kontaktowe (e-mail, telefon);
- informacje o wizytach (data, dane lekarza i jego specjalizacja);
- dane o stanie zdrowia (recepty, skierowania).
Zakres danych może jeszcze się zmienić, bo na chwilę pisania tego artykułu wciąż nie wypływają nowe informacje.
Głównym problemem w całej tej sprawie jest przechowywanie przez MEDILY danych osobowych, które już dawno powinna usunąć. Jak stanowi przepis art. 28 ust. 2 lit. g) RODO:
po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych
To bardzo istotny element umów powierzenia przetwarzania danych osobowych, do którego administratorzy często nie przykładają większej wagi. Ogólną tendencją jest zawieranie umów, które odpowiadają wymogom stawianym przez RODO, jednak bez szczególnego doprecyzowania ważnych dla charakteru przetwarzania kwestii. Często też, jako umowa akcesoryjna, nie podlega egzekwowaniu na miarę umowy głównej łączącej strony. To jednak pełnoprawna umowa, z której powinien wywiązać się zarówno administrator, jak i podmiot przetwarzający. W przeciwnym wypadku może dojść do właśnie takich zdarzeń.
Jak było dokładnie w tym przypadku niestety nie wiem. Nie dziwi reakcja DCG Centrum Medyczne, które jest administratorem danych objętych naruszeniem, otwarte pozostaje pytanie co do odpowiedzialności za zaistniałą sytuację.
Komunikowanie problemu
Tyle o przyczynach, a teraz o drugiej stronie zdarzenia, którym jest reakcja na naruszenie. Konkretnie chodzi mi o komunikowanie problemu, z którym nie wszystko wyszło tak jak powinno. Informacje wysyłane do pacjentów zostały podzielone na części. Te jednak zamiast dotrzeć w jednym czasie pojawiają się jedna po drugiej. To z kolei spowodowało, że wielu potraktowało początkowo tę informację jako spam.
W przypadku wystąpienia naruszenia wysokiej wagi konieczne jest zawiadomienie o nim nie tylko Prezesa Urzędu Ochrony Danych Osobowych, ale także osób nim dotkniętych. Zawiadomienie takie powinno zawierać potencjalne zagrożenia i sposoby ograniczenia ryzyka lub skutków ich zaistnienia. Przekazywanie skąpych lub szczątkowych informacji może powodować niepotrzebne zamieszanie i budzić u osób dotkniętych naruszeniem dezorientację oraz niepokój.
Jak można przeczytać w artykule Niebezpiecznika, w przypadku DCG Centrum Medyczne jest to wynik nieprawidłowego skonfigurowania wysyłki. Jest to jednak świetna okazja, aby zachęcić wszystkich administratorów do przekazywania jasnych komunikatów na temat naruszenia. Ostatecznie chodzi przecież o zabezpieczenie realnych interesów osób, które powierzyły administratorowi swoje dane. Próby ograniczania dostępu do informacji o naruszeniu odbiją się z dużym prawdopodobieństwem rykoszetem, powodując w praktyce większe szkody w renomie firmy niż szybkie i kompletne zawiadomienie.