Twój lekarz wysłał wyniki na maila. Czy to naruszenie RODO?

Twój lekarz wysłał wyniki na maila. Czy to naruszenie RODO?

Krótka odpowiedź: niekoniecznie. Długa odpowiedź: to zależy od tego co by się stało gdyby ten mail trafił do złego odbiorcy.


Znasz ten scenariusz.

Robisz badania. Czekasz kilka dni. Zamiast dzwonić do rejestracji i czekać na linii dwadzieścia minut – dostajesz maila. Wyniki w załączniku. PDF z Twoim imieniem, nazwiskiem, datą urodzenia, numerem PESEL i listą parametrów krwi z komentarzem lekarza.

Wygodne. Szybkie. Nowoczesne.

I potencjalnie – w zależności od kilku szczegółów – na granicy naruszenia RODO które placówka medyczna powinna zgłosić do UODO.


Dlaczego dane medyczne to nie są zwykłe dane

Zanim przejdziemy do maila warto ustalić z czym mamy do czynienia.

Wyniki badań to dane dotyczące zdrowia. Art. 9 RODO klasyfikuje je jako dane szczególnej kategorii – tę samą kategorię co dane biometryczne, dane genetyczne, dane o orientacji seksualnej, dane o przekonaniach religijnych.

Najwyższy poziom ochrony w całym RODO.

To oznacza że placówka medyczna przetwarzając Twoje wyniki badań musi stosować środki bezpieczeństwa adekwatne do tego poziomu ryzyka. Art. 32 RODO wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych – i przy danych zdrowotnych poprzeczka jest wyżej niż przy zwykłych danych kontaktowych.

Czy mail jest takim odpowiednim środkiem? To zależy od tego jak jest wysyłany.


Samo wysłanie mailem nie jest naruszeniem

Zacznijmy od rzeczy której wiele osób się nie spodziewa.

RODO nie zakazuje wysyłania danych medycznych mailem. Nie ma przepisu który by mówił "wyniki badań można przesyłać wyłącznie przez szyfrowany kanał z certyfikatem kwalifikowanym i podpisem elektronicznym."

To co RODO wymaga to proporcjonalność środków do ryzyka. I ocenę ryzyka który konkretny sposób komunikacji niesie.

Mail wysłany przez lekarza na adres który pacjent podał przy rejestracji – do właściwego odbiorcy – nie jest automatycznie naruszeniem. Jest ryzykiem zarządzanym w pewien sposób. I pytanie brzmi: czy ten sposób jest wystarczający.


Problem zaczyna się gdy mail trafia do złego odbiorcy

Wyobraź sobie prostą pomyłkę.

Lekarz wpisuje w pole "Do:" pierwsze litery nazwiska. Autouzupełnianie podpowiada adres. Lekarz klika nie sprawdzając. Mail z wynikami badań Marka Kowalskiego trafia do Marii Kowalskiej która ma podobny adres w systemie.

Dla lekarza – chwilowa nieuwaga.

Dla placówki – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Nieautoryzowane ujawnienie danych zdrowotnych osoby trzeciej.

Co to oznacza w praktyce? Placówka ma 72 godziny na ocenę czy naruszenie wymaga zgłoszenia do UODO. Przy danych zdrowotnych ujawnionych osobie nieuprawionej – próg ryzyka jest bardzo niski. Zgłoszenie będzie najprawdopodobniej wymagane. A poinformowanie pacjenta którego dane wyciekły – też.

I tu pojawia się pytanie które jest sercem tego artykułu.

Czy szyfrowanie mogło temu zapobiec?


Szyfrowanie jako rozwiązanie – dobre ale nie obowiązkowe

Tak. Gdyby załącznik z wynikami był zaszyfrowany – pomyłka mailem nie byłaby naruszeniem danych. Maria Kowalska otrzymałaby plik którego nie mogłaby otworzyć. Dane pozostałyby poufne mimo błędu nadawcy.

Szyfrowanie jest świetną metodą bezpieczeństwa przy przesyłaniu danych medycznych mailem. Eliminuje lub radykalnie zmniejsza ryzyko które niesie błąd człowieka – a błąd człowieka jest najczęstszym źródłem incydentów.

Ale – i to jest ważne – szyfrowanie nie jest obowiązkowe z mocy przepisu. RODO nie nakazuje szyfrowania jako jedynej akceptowalnej metody. Nakazuje odpowiednie środki bezpieczeństwa. Szyfrowanie jest jednym z nich – i przy danych zdrowotnych bardzo rekomendowanym – ale nie jedynym.

Placówka która wysyła wyniki niezaszyfrowanym mailem nie narusza RODO automatycznie. Narusza je gdy nie ma żadnych innych środków zmniejszających ryzyko i gdy dojdzie do incydentu którego mogła uniknąć.

Innymi słowy: brak szyfrowania to nie naruszenie samo w sobie. To ryzyko które materializuje się gdy coś pójdzie nie tak. O tym samym mówiłem przy okazji innego artykułu.


Alternatywa: portal pacjenta z możliwością pobrania dokumentów

Wiele placówek – szczególnie większych – oferuje alternatywę. Wyniki nie są wysyłane mailem. Pacjent loguje się do portalu i pobiera dokumenty samodzielnie.

To rozwiązanie wydaje się bezpieczniejsze. I często jest. Ale ma własne wyzwania które warto rozumieć.

Problem pierwszy: jak zabezpieczony jest dostęp?

Jeśli logowanie do portalu odbywa się przez PESEL i datę urodzenia – poziom bezpieczeństwa jest niski. PESEL jest w wielu miejscach publicznie dostępny lub łatwy do pozyskania. Data urodzenia też. Ktoś kto zna Twój PESEL i datę urodzenia może zalogować się do portalu i pobrać Twoje wyniki.

Problem drugi: unikalne hasło jest lepsze ale logistycznie skomplikowane.

Bezpieczniejszym rozwiązaniem jest unikalny link lub jednorazowe hasło generowane dla każdego dokumentu. Link który wygasa po 48 godzinach. Kod SMS jako drugi składnik uwierzytelniania.

Ale to oznacza że hasło trzeba pacjentowi przekazać. Na wizycie – na kartce. Przez SMS na numer który był podany przy rejestracji. Przez mail – co wraca do punktu wyjścia.

Logistycznie każde z tych rozwiązań generuje własne wyzwania. I żadne nie jest idealne.

Problem trzeci: portal też może mieć lukę.

Centralizacja wyników w jednym miejscu oznacza że skuteczny atak na portal daje dostęp do danych wszystkich pacjentów jednocześnie. Jeden wyciek z portalu to nie jedna pomyłka mailem – to potencjalnie tysiące rekordów danych zdrowotnych naraz.

Portal jest dobry gdy jest dobrze zabezpieczony. Źle zabezpieczony portal jest gorszy niż uważnie wysyłany mail.


Co UODO mówi o komunikacji medycznej

UODO nie wydał szczegółowych wytycznych technicznych dotyczących kanałów komunikacji wyników badań. Ale z ogólnych zasad RODO i dotychczasowych decyzji można wyciągnąć praktyczne wnioski.

Kluczowe są dwa elementy.

Ocena ryzyka przed wdrożeniem kanału komunikacji. Placówka powinna przeanalizować jakie ryzyka niesie wybrany sposób przekazywania wyników i jakie środki zmniejszają te ryzyka do akceptowalnego poziomu. Ta analiza powinna być udokumentowana.

Procedura na wypadek incydentu. Gdy mail trafi do złego odbiorcy – co placówka robi w pierwszych 72 godzinach. Kto decyduje o zgłoszeniu do UODO. Kto informuje pacjenta. Czy jest to opisane w wewnętrznych procedurach czy zależy od przypadku.

Placówka która ma przemyślany i udokumentowany proces – nawet jeśli zdecydowała się na mail bez szyfrowania – jest w lepszej pozycji niż placówka która działa intuicyjnie i bez żadnej analizy ryzyka.


Co możesz zrobić jako pacjent

Jeśli wyniki są wysyłane mailem i chcesz zwiększyć poziom bezpieczeństwa – możesz poprosić o alternatywę. Odbiór osobisty lub Zaszyfrowany załącznik z hasłem przekazanym osobnym kanałem. Nie zawsze zadziała, ale przynajmniej wiesz czy tej placówce możesz ufać w kwestii bezpieczeństwa.

Jeśli podejrzewasz że Twoje dane medyczne trafiły do nieuprawionej osoby – masz prawo złożyć skargę do UODO. Placówka medyczna jako administrator danych zdrowotnych ma obowiązek reagować na takie incydenty i ma obowiązek Cię o nich poinformować jeśli ryzyko dla Twojej prywatności jest wysokie.


Podsumowanie dla przychodni i szpitali

Wysyłanie wyników mailem jest dopuszczalne. Wymaga jednak przemyślanego podejścia.

Rozważ szyfrowanie załączników z hasłem przekazywanym osobnym kanałem – SMS lub ustnie przy rejestracji. Eliminuje lub drastycznie zmniejsza ryzyko incydentu przy błędzie nadawcy.

Jeśli oferujesz portal pacjenta – upewnij się że logowanie nie opiera się wyłącznie na PESEL i dacie urodzenia. To jest niewystarczające zabezpieczenie dla danych zdrowotnych.

Niezależnie od wybranego kanału – miej udokumentowaną analizę ryzyka i procedurę na wypadek incydentu. Gdy coś pójdzie nie tak i UODO zapyta co zrobiłeś żeby temu zapobiec – "wysyłaliśmy mailem bo tak było wygodniej" to nie jest odpowiedź. "Przeprowadziliśmy analizę ryzyka, wdrożyliśmy te środki i mamy procedurę incydentową" – to jest odpowiedź.

Dane zdrowotne są najwyższej kategorii w całym RODO.

Warto je traktować odpowiednio.


Moja przychodnia wysłała wyniki badań na zły adres email. Co teraz?

To jest naruszenie ochrony danych osobowych w rozumieniu RODO. Przychodnia ma 72 godziny na ocenę czy naruszenie wymaga zgłoszenia do UODO – a przy danych zdrowotnych próg jest bardzo niski i zgłoszenie będzie najprawdopodobniej wymagane. Jako pacjent którego dane wyciekły masz prawo być o tym poinformowany przez placówkę. Jeśli przychodnia nie reaguje albo bagatelizuje sytuację – możesz złożyć skargę do UODO przez formularz na stronie urzędu.


Czy przychodnia może wysyłać wyniki badań przez WhatsApp lub SMS?

WhatsApp to aplikacja której serwery są poza UE i której polityka prywatności budzi poważne wątpliwości w kontekście RODO. Transfer danych zdrowotnych przez WhatsApp bez odpowiednich zabezpieczeń i umów z dostawcą jest ryzykowny i trudny do uzasadnienia przy danych szczególnej kategorii. SMS jest niezaszyfrowany i może być przechwycony lub odczytany przez osobę która ma dostęp do telefonu. Oba kanały są znacznie słabiej zabezpieczone niż email z zaszyfrowanym załącznikiem. Bardziej sensownie wyobrażam sobie to jako wyjątek - whatsapp jest używany wyłącznie na prośbę pacjenta.


Czy mogę odmówić podania adresu email przychodni i nadal otrzymywać wyniki?

Tak. Podanie adresu email jest dobrowolne i placówka musi zapewnić Ci alternatywny sposób odbioru wyników – osobiście w rejestracji lub przez portal pacjenta jeśli go oferuje. Odmowa podania maila nie może być podstawą odmowy świadczenia usług medycznych ani gorszego traktowania jako pacjenta. Jeśli placówka uzależnia dostęp do wyników wyłącznie od posiadania konta email – to jest problem compliance który warto zgłosić do kierownictwa placówki lub do UODO.


Logowanie do portalu pacjenta przez PESEL to za mało. Co mogę zrobić?

Jeżeli uważasz że zabezpieczenia są niewystarczające dla danych zdrowotnych – masz prawo złożyć skargę do UODO wskazując że środki techniczne są nieadekwatne do kategorii przetwarzanych danych. PESEL jako jedyny element uwierzytelniania przy dostępie do danych zdrowotnych jest trudny do obronienia przy ewentualnej kontroli.


Czy lekarz może wysłać wyniki na maila podanego przez pacjenta ustnie przez telefon?

To jest jedno z bardziej ryzykownych scenariuszy. Placówka nie ma pewności czy rozmawia z właściwym pacjentem ani czy adres jest prawidłowy. Dyktowany przez telefon adres email jest podatny na błąd ludzki po obu stronach. Jeśli wyniki trafią pod zły adres – incydent jest taki sam jak przy pomyłce nadawcy. Bezpieczniejszą praktyką jest weryfikacja adresu przez porównanie z tym który pacjent podał przy rejestracji na piśmie – nie przez przyjmowanie nowego adresu dyktowanego telefonicznie bez możliwości weryfikacji tożsamości dzwoniącego.


Czy zaszyfrowany PDF to wystarczające zabezpieczenie?

To zależy od tego jak silne jest hasło i jak jest przekazywane. PDF zaszyfrowany hasłem "12345" nie daje żadnej realnej ochrony. PDF zaszyfrowany silnym losowym hasłem przekazanym pacjentowi osobnym kanałem – SMS lub ustnie przy wizycie – jest znacznie bezpieczniejszy. Kluczowe jest żeby hasło i zaszyfrowany plik nigdy nie podróżowały razem tym samym kanałem. Jeśli hasło jest w treści tego samego maila co zaszyfrowany załącznik – szyfrowanie jest fikcją.


Mój pracodawca prosił mnie o przesłanie zwolnienia lekarskiego mailem. Czy lekarz może je wysłać bezpośrednio do pracodawcy?

Obecnie proces jest tak scyfryzowany że lekarz nie ma żadnego kontaktu z pracodawcą. Wszystko jest realizowane za pomocą państwowych portali, a pracodawca dostaje absolutne minimum tego co jest potrzebne.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.