13 września 2024

Aktualności prawnomedyczne

Komunikat UODO w sprawie standardów ochrony małoletnich w placówkach medycznych. 

Prezes Urzędu Ochrony Danych Osobowych opublikował obszerny komunikat,[1] w którym przypomniał, że każdy podmiot leczniczy, w którym przebywają lub mogą przebywać małoletni, do 15 sierpnia 2024 r. miał obowiązek opracowania i wdrożenia procedury związanej z ich ochroną, zwanej Standardami Ochrony Małoletnich. Obowiązki w tym zakresie określają przepisy (zmienione w 2023) ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym.[2]

tekst FILIP NIEMCZYK, adwokat

UODO zwraca przy tym uwagę, że pracodawca musi uzyskać informacje, czy dane przyszłego pracownika lub osoby dopuszczanej do działalności z udziałem małoletnich są zamieszczone w rejestrze niekaralności osób, w stosunku do których Państwowa Komisja ds. Przeciwdziałania Wykorzystaniu Seksualnemu Małoletnich Poniżej Lat 15 wydała postanowienie o wpisie do rejestru[3]. Osoba, która podejmuje pracę, musi przedstawić również informacje o swojej niekaralności. Takie dane podlegają ochronie.

Komunikat prezesa UODO zawiera wiele wskazówek w zakresie ochrony danych osobowych przydatnych przy opracowywaniu i wdrażaniu dokumentacji oraz procedur związanych z ochroną małoletnich. Minimalizacja niebezpieczeństwa niewłaściwego przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich polegać powinna na przeprowadzeniu analizy ryzyka oraz weryfikacji dotąd obowiązującej w placówce polityki ochrony danych. Taka analiza powinna odpowiadać na pytanie, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą.

W kontekście nowych przepisów należy także zweryfikować i zaktualizować kategorie osób, których dane są przetwarzane, oraz zakres zbieranych i przetwarzanych danych osobowych. Należy wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich, przyznać im odpowiednie zakresy upoważnień, zobowiązać do zachowania poufności danych oraz zweryfikować sposoby przekazywania poleceń administratora. Konieczne jest również upewnienie się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym i  zrozumiałe dla nich dzięki odbyciu stosownych szkoleń i treningów przetwarzania danych osobowych, ze szczególnym uwzględnieniem danych wrażliwych.

Prezes UODO przypomina także, że miejsca do rozmowy z dziećmi muszą zapewniać poufność. Tam, gdzie to możliwe, trzeba dane anonimizować, aby wykluczyć ryzyko identyfikacji osób fizycznych. Dostęp do danych mogą mieć tylko pracownicy, których zakres zadań to uzasadnia, a aktualność uprawnień trzeba sprawdzać regularnie. Dane osobowe nie powinny być archiwizowane w urządzeniach, w których brak odpowiednich zabezpieczeń. Nie powinno się robić kopii, bo to tworzy dodatkowe ryzyko.

Warto przypomnieć, że za dopuszczenie do pracy osoby z orzeczonym zakazem zajmowania stanowisk związanych z wychowaniem, edukacją, leczeniem małoletnich lub z opieką nad nimi grozi kara pozbawienia wolności od 3 miesięcy do 5 lat.

 

Komunikat UODO o nałożeniu kary w związku z wyciekiem danych pacjentów

Urząd Ochrony Danych Osobowych poinformował[4] o wydaniu decyzji, mocą której nałożył na spółkę wykonującą działalność leczniczą karę w wysokości prawie 1,5 mln zł w związku z wyciekiem danych osobowych 21 tys. osób – pacjentów oraz pracowników spółki. Prezes UODO ustalił, że doszło do tego, ponieważ spółka źle szacowała ryzyko wycieku danych. Poza tym podczas pandemii COVID-19 nie przestrzegała własnej polityki bezpieczeństwa danych. W związku z tym nieuprawnione osoby uzyskały dostęp do danych obejmujących nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, serię i numer dowodu osobistego, numer telefonu oraz adres e-mail. O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali kilku milionów dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie prezesa UODO oraz osoby, których dane wyciekły.

W toku czynności wyjaśniających i kontrolnych ustalono, że spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku. Nie przestrzegano własnych zaleceń dotyczących bezpieczeństwa danych, a informacje m.in. o wynikach testów na COVID-19 klientów przechowywała na dyskach sieciowych, choć powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia. Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów.

 

Najwyższa Izba Kontroli informuje o słabej ochronie szpitali przed cyberatakami

 Najwyższa Izba Kontroli podała[5] wyniki kontroli przeprowadzonej w sześciu szpitalach i jednym ośrodku zdrowia na terenie województwa warmińsko-mazurskiego, które wskazują wiele nieprawidłowości oraz słabą ochronę danych osobowych pacjentów w tych placówkach.

W jednej ze wspomnianych placówek nie wdrożono systemu zarządzania bezpieczeństwem informacji, nie uruchomiono systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu, nieterminowo aktualizowano dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego oraz nieterminowo zamieszczono na stronie internetowej szpitala objaśnienie dla użytkowników w zakresie zagrożeń i sposobów zabezpieczania się przed nimi. W innej placówce ustalono, że 435 pracowników miało dostęp do danych medycznych bez stosownych upoważnień. W większości kontrolowanych placówek każdy użytkownik miał swobodny dostęp do danych osobowych pacjentów, wyników badań laboratoryjnych, informacji o rodzajach i terminach wykonanych zabiegów, zaleconych badań diagnostycznych, uzasadnienia konieczności niezwłocznej hospitalizacji, skierowania do szpitala, danych lekarza za pośrednictwem stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki.

W wyniku kontroli NIK przedstawiła łącznie 21 wniosków pokontrolnych. Według stanu na 20 maja 2024 r. zostało zrealizowanych siedem, a 14 pozostawało w realizacji.

 

Urząd Ochrony Konkurencji i Konsumentów w sprawie fałszywych opinii w Internecie

Prezes UOKiK poinformował[6] o wydaniu dwóch decyzji dotyczących podmiotów publikujących w Internecie fałszywe opinie, m.in. na portalu Znany Lekarz. Z ustaleń organu wynika, że firmy te, działając na zlecenie przedsiębiorców, zamieszczały wpisy, pozorując, że są to opinie rzeczywistych pacjentów. Wskazano, że takie opinie wprowadzały w błąd, a na procederze publikowania fałszywych opinii tracili zarówno konsumenci, jak i uczciwi przedsiębiorcy, którzy w sposób zgodny z prawem zbierali komentarze. Prezes UOKiK uznał, że doszło do naruszenia zbiorowych interesów konsumentów i nałożył na wspomniane firmy kary finansowe. Decyzje nie są prawomocne, a przedsiębiorcy mogą odwołać się do sądu.

 

Ministerstwo Zdrowia poprawi rozporządzenie dotyczące recept na leki opioidowe

Ministerstwo Zdrowia przedstawiło do konsultacji publicznych projekt zmian w rozporządzeniu w sprawie środków odurzających, substancji psychotropowych, prekursorów kategorii 1 i preparatów zawierających te środki lub substancje,[7] regulującego m.in. wystawianie recept na leki opioidowe w trybie zdalnym. Do projektu odniosło się Prezydium Naczelnej Rady Lekarskiej w stanowisku[8] z 26 sierpnia 2024 r. Wskazano w nim, że samorząd lekarski popiera ideę wzmocnienia nadzoru nad preskrypcją leków zawierających środki odurzające i inne wymienione w tym akcie, a obawę i sprzeciw lekarskiego budzi działalność firm zajmujących się wystawianiem na masową skalę recept na te leki bez odpowiedniego zbadania pacjenta.

Zaproponowany przez Ministerstwo Zdrowia projekt budzi jednak kilka istotnych zastrzeżeń NRL. Po pierwsze, dotyczy wyłącznie kilku wymienionych w nim substancji i nie stanowi systemowego rozwiązania funkcjonowania receptomatów. Po drugie, przewiduje, że wystawienie recepty na wspomniane substancje będzie wymagało osobistego zbadania pacjenta. Wymóg ten nie będzie dotyczył lekarzy POZ. Wykluczeni zostają zatem przepisem rozporządzenia lekarze, którzy prowadzą praktykę lekarską inną niż z zakresu POZ, a którzy zarazem nie prowadzą działalności w formie receptomatu. Pacjenci tych lekarzy utracą możliwość uzyskania recepty na kontynuację farmakoterapii środkami wymienionymi w załączniku do rozporządzenia bez wizyty w gabinecie lekarskim. Ogranicza to dostęp pacjentów do świadczeń zdrowotnych i prowadzi do dyskryminacji znacznej grupy lekarzy i ich pacjentów.

 


 

[1]    https://uodo.gov.pl/pl/138/3278 (dostęp: 27.08.2024).
[2]    Ustawa z 13 maja 2016 r., DzU z 2024 r., poz. 560.
[3]    https://rps.ms.gov.pl/pl-PL/Public#/ (dostęp: 27.08.2024).
[4]    https://uodo.gov.pl/pl/138/3273 (dostęp: 27.08.2024).
[5]    https://www.nik.gov.pl/aktualnosci/bezpieczenstwo/warminsko-mazurskie-ochrona-pacjentow-przed-cyberatakami.html (dostęp: 27.08.2024).
[6]    https://uokik.gov.pl/falszywe-opinie-stop (dostęp: 27.08.2024).
[7]    https://legislacja.rcl.gov.pl/projekt/12388251 (dostęp: 28.08.2024).
[8]    https://nil.org.pl/aktualnosci/8574-samorzad-lekarski-wobec-rozporzadzenia-mz-ws-srodkow-odurzajacych (dostęp: 28.08.2024).

Forum dyskusyjne - napisz komentarz

Musisz się zalogować, aby móc dodać komentarz.

Archiwum