RODO dla placówek medycznych
Wypełnij formularz
Potrzebujesz audytu?

Wyciek danych pacjentów w placówce medycznej — co zrobić w pierwszych 72 godzinach?

Wyciek danych pacjentów może wyglądać różnie

Wyciek danych pacjentów nie zawsze oznacza atak hakerski albo publikację bazy danych w internecie. W placówce medycznej problem może zacząć się od zwykłej pomyłki: wiadomości wysłanej na zły adres, zagubionej dokumentacji, źle ustawionych dostępów albo przejętej skrzynki e-mail.

Do naruszenia może dojść między innymi, gdy:

  • dokumentacja medyczna trafi do niewłaściwej osoby,
  • pracownik ma dostęp do danych, których nie powinien widzieć,
  • laptop, pendrive albo papierowa dokumentacja zostaną zgubione,
  • konto pocztowe placówki zostanie przejęte,
  • system zostanie zaszyfrowany przez ransomware,
  • wyniki badań, PESEL, historia leczenia albo dane kontaktowe zostaną ujawnione osobom nieuprawnionym.

W RODO takie zdarzenia określa się jako naruszenie ochrony danych osobowych. Obejmuje to między innymi przypadkowe lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie danych albo nieuprawniony dostęp do danych.

W przypadku placówek medycznych sprawa jest szczególnie poważna, bo dane pacjentów często obejmują informacje o zdrowiu, leczeniu, badaniach, receptach czy rozpoznaniach. UODO wskazuje, że naruszenia dotyczące danych o zdrowiu co do zasady wymagają bardzo ostrożnej oceny ryzyka.

Od kiedy liczy się 72 godziny?

RODO przewiduje, że naruszenie należy zgłosić do organu nadzorczego bez zbędnej zwłoki, a jeżeli to możliwe — najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. W Polsce właściwym organem jest Prezes UODO.

Termin nie biegnie od momentu, w którym ktoś „domyśla się”, że mogło coś pójść nie tak. Liczy się od chwili, gdy placówka ma wystarczającą wiedzę, aby uznać, że doszło do naruszenia ochrony danych.

Nie warto jednak przeciągać analizy. Pierwsze godziny powinny służyć ustaleniu faktów: co się stało, jakie dane mogły zostać naruszone, ilu pacjentów może to dotyczyć i czy sytuacja nadal trwa.

Jeżeli po 72 godzinach placówka nie ma jeszcze pełnych informacji, UODO dopuszcza zgłoszenie wstępne. Brak wszystkich szczegółów nie powinien automatycznie blokować zgłoszenia.

Pierwsze godziny: zatrzymać problem i zabezpieczyć dowody

Na początku liczą się dwie rzeczy: ograniczenie skutków i zachowanie informacji potrzebnych do późniejszej oceny.

Jeżeli incydent dotyczy systemu IT, trzeba ustalić:

  • które konto, komputer albo system są objęte zdarzeniem,
  • czy nieuprawniony dostęp nadal trwa,
  • czy trzeba zablokować konto, odłączyć urządzenie albo zmienić hasła,
  • czy dane zostały tylko zablokowane, czy mogły zostać skopiowane,
  • czy dostępne są logi, historia działań użytkowników i kopie zapasowe.

Jeżeli problem dotyczy dokumentacji papierowej, trzeba sprawdzić:

  • jakie dokumenty zaginęły albo zostały ujawnione,
  • czy można je odzyskać,
  • kto mógł mieć do nich dostęp,
  • ilu pacjentów dotyczy zdarzenie.

Na tym etapie nie należy usuwać wiadomości, kasować logów ani „sprzątać” systemu bez ustalenia, co właściwie się stało. Takie działania mogą utrudnić późniejszą analizę i wykazanie, że placówka zareagowała prawidłowo.

Do 24 godzin: ustalić podstawowe fakty

Placówka powinna zebrać minimum informacji potrzebnych do oceny naruszenia:

  1. kiedy zdarzenie zostało wykryte,
  2. kiedy prawdopodobnie doszło do naruszenia,
  3. jaki był charakter zdarzenia: ujawnienie, utrata, zniszczenie, zmiana danych albo brak dostępu do danych,
  4. jakie kategorie danych zostały objęte zdarzeniem,
  5. ilu pacjentów może to dotyczyć,
  6. kto mógł uzyskać dostęp do danych,
  7. jakie działania zostały już podjęte.

W zgłoszeniu do UODO trzeba opisać między innymi charakter naruszenia, kategorie danych, przybliżoną liczbę osób, możliwe konsekwencje i środki zastosowane przez administratora.

W placówce medycznej szczególną uwagę trzeba zwrócić na dane dotyczące zdrowia. Jeżeli zdarzenie obejmuje dokumentację medyczną, wyniki badań, historię leczenia albo rozpoznania, ryzyko dla pacjenta może być znacznie wyższe niż przy zwykłym ujawnieniu danych kontaktowych.

Do 48 godzin: ocenić ryzyko dla pacjentów

Nie każde naruszenie wymaga zgłoszenia do UODO. Każde wymaga jednak oceny i odnotowania.

Przy ocenie ryzyka trzeba odpowiedzieć na konkretne pytania:

  • Czy osoba nieuprawniona mogła zobaczyć dane pacjenta?
  • Czy dane obejmują informacje o zdrowiu?
  • Czy ujawniono PESEL, adres, telefon, e-mail albo dane logowania?
  • Czy dane mogą zostać użyte do podszycia się pod pacjenta?
  • Czy pacjent może ponieść szkodę finansową, społeczną, zawodową albo reputacyjną?
  • Czy dane były zaszyfrowane?
  • Czy wiadomo, kto uzyskał dostęp do danych?
  • Czy skutki zdarzenia można ograniczyć?

Jeżeli po analizie placówka uzna, że zgłoszenie do UODO nie jest wymagane, powinna mieć uzasadnienie tej decyzji. Samo stwierdzenie „ryzyko było niskie” może nie wystarczyć. W ewidencji naruszeń powinno znaleźć się wyjaśnienie, dlaczego przyjęto taką ocenę.

Do 72 godzin: zgłoszenie do UODO, jeżeli jest wymagane

Jeżeli naruszenie może powodować ryzyko naruszenia praw lub wolności pacjentów, placówka powinna zgłosić je do UODO.

Zgłoszenie można złożyć elektronicznie przez formularz udostępniony dla administratorów danych.

W zgłoszeniu powinny znaleźć się przede wszystkim:

  • opis zdarzenia,
  • kategorie danych,
  • przybliżona liczba osób, których dotyczy naruszenie,
  • dane kontaktowe IOD albo innej osoby kontaktowej,
  • możliwe skutki naruszenia,
  • działania podjęte po wykryciu zdarzenia,
  • działania planowane, aby ograniczyć skutki i zmniejszyć ryzyko powtórzenia się podobnej sytuacji.

Jeżeli placówka nie ma jeszcze pełnego obrazu sytuacji, może złożyć zgłoszenie wstępne i uzupełnić je później. Zwykle jest to bezpieczniejsze niż czekanie, aż wszystkie szczegóły zostaną ustalone.

Kiedy trzeba poinformować pacjentów?

Zgłoszenie naruszenia do UODO i zawiadomienie pacjentów to dwa odrębne obowiązki.

Pacjentów należy poinformować wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności.

Komunikat do pacjenta powinien być prosty i użyteczny. Pacjent powinien wiedzieć:

  • co się stało,
  • jakich danych mogło dotyczyć zdarzenie,
  • jakie mogą być konsekwencje,
  • co placówka już zrobiła,
  • co pacjent może zrobić samodzielnie,
  • z kim może się skontaktować.

Przykład: jeżeli ujawniono imię, nazwisko, PESEL i dane kontaktowe, pacjent powinien zostać ostrzeżony przed próbami podszywania się, wyłudzeń albo podejrzanym kontaktem telefonicznym i mailowym. Jeżeli ujawniono dokumentację medyczną, komunikat powinien jasno wskazywać, jakiego rodzaju informacje mogły zostać objęte naruszeniem.

Czego placówka powinna unikać po incydencie?

Po wykryciu naruszenia najłatwiej popełnić błąd przez pośpiech albo bagatelizowanie sprawy.

Placówka nie powinna:

  • odkładać analizy na później,
  • ukrywać zdarzenia przed osobą odpowiedzialną za RODO lub IT,
  • usuwać logów, wiadomości i śladów zdarzenia,
  • zakładać, że brak skargi pacjenta oznacza brak problemu,
  • automatycznie uznawać incydentu za mało istotny,
  • informować pacjentów bez ustalenia podstawowych faktów,
  • składać zgłoszenia bez opisu działań naprawczych.

Przy cyberataku trzeba też uważać na zbyt szybkie przywracanie systemu bez sprawdzenia źródła problemu. Jeżeli atakujący nadal ma dostęp do konta pocztowego, VPN, pulpitu zdalnego albo panelu administracyjnego, samo odtworzenie danych z kopii zapasowej może nie rozwiązać problemu.

Dlaczego placówki medyczne są atrakcyjnym celem?

Dane medyczne są cenne, a placówki ochrony zdrowia nie mogą sobie pozwolić na długi przestój systemów. Przejęcie poczty, blokada systemu rejestracji albo zaszyfrowanie dokumentacji może szybko sparaliżować pracę gabinetu, przychodni lub kliniki.

Centrum e-Zdrowia wskazywało, że liczba incydentów cyberbezpieczeństwa w polskim sektorze ochrony zdrowia wzrosła z 405 w 2023 roku do 1028 w 2024 roku. W tym samym komunikacie wskazano też wzrost liczby ataków ransomware na placówki ochrony zdrowia na świecie.

Centrum e-Zdrowia zwraca również uwagę na obszary takie jak ochrona danych medycznych, ochrona poczty elektronicznej, ochrona brzegu sieci i ochrona stacji roboczych.

Dla placówki oznacza to, że samo posiadanie dokumentów RODO nie wystarczy do spokojnego działania. Potrzebne są również sprawdzone dostępy, kopie zapasowe, podstawowe zabezpieczenia poczty, procedura reagowania i personel, który wie, komu zgłosić podejrzaną sytuację.

Co powinno zostać po obsłużeniu naruszenia?

Po zakończeniu pierwszych 72 godzin placówka powinna mieć uporządkowaną dokumentację zdarzenia.

Powinny zostać między innymi:

  • opis incydentu,
  • analiza ryzyka,
  • decyzja o zgłoszeniu albo braku zgłoszenia do UODO,
  • kopia zgłoszenia, jeżeli zostało złożone,
  • decyzja o zawiadomieniu albo niezawiadomieniu pacjentów,
  • treść komunikatu do pacjentów, jeżeli był wysyłany,
  • lista działań technicznych i organizacyjnych,
  • dowody wykonania działań,
  • wnioski na przyszłość.

Taki materiał jest ważny nie tylko na potrzeby kontroli. Pomaga też sprawdzić, gdzie placówka była najsłabsza: w dostępie do danych, poczcie, backupie, szkoleniu personelu, umowach z dostawcami czy procedurze zgłaszania incydentów.

Checklista: pierwsze 72 godziny po wycieku danych pacjentów

0–4 godziny

  • zabezpiecz system, konto, dokumentację albo urządzenie,
  • ogranicz dalszy dostęp do danych,
  • zachowaj logi, wiadomości i inne dowody,
  • poinformuj osobę odpowiedzialną za RODO, IT i kierownictwo.

4–24 godziny

  • ustal, jakie dane zostały naruszone,
  • określ liczbę pacjentów,
  • sprawdź, czy dane obejmują informacje o zdrowiu, PESEL, dane kontaktowe albo dane logowania,
  • ustal, czy naruszenie nadal trwa.

24–48 godzin

  • oceń ryzyko dla pacjentów,
  • ustal, czy trzeba zgłosić naruszenie do UODO,
  • ustal, czy trzeba poinformować pacjentów,
  • przygotuj opis działań naprawczych.

48–72 godziny

  • wpisz zdarzenie do ewidencji naruszeń.
  • złóż zgłoszenie do UODO, jeżeli jest wymagane,
  • użyj zgłoszenia wstępnego, jeżeli nie masz jeszcze pełnych informacji,
  • przygotuj komunikat do pacjentów, jeżeli występuje wysokie ryzyko,

Podsumowanie

Wyciek danych pacjentów wymaga szybkiego działania, ale decyzje nie powinny być podejmowane chaotycznie. Najpierw trzeba ograniczyć skutki zdarzenia, zabezpieczyć dowody i ustalić fakty. Następnie placówka powinna ocenić ryzyko, podjąć decyzję o zgłoszeniu do UODO i sprawdzić, czy konieczne jest poinformowanie pacjentów.

W ochronie zdrowia szczególne znaczenie mają dane dotyczące zdrowia, dokumentacja medyczna i dostępność systemów. Dlatego procedura naruszeń powinna być połączona z codziennym bezpieczeństwem placówki: kontrolą dostępów, kopią zapasową, ochroną poczty, szkoleniem personelu i jasnym podziałem odpowiedzialności.

Źródła

1. UODO – akty prawne dotyczące RODO – https://uodo.gov.pl/404

2. UODO – jakie naruszenia należy zgłaszać – https://uodo.gov.pl/pl/525/2581

3. UODO – termin zgłoszenia naruszenia – https://uodo.gov.pl/pl/525/2584

4. UODO – co powinno zawierać zgłoszenie naruszenia – https://uodo.gov.pl/pl/525/2583

5. UODO – formularz zgłoszenia naruszenia ochrony danych – https://uodo.gov.pl/pl/492/2278

6. UODO – zawiadamianie osób o naruszeniu – https://uodo.gov.pl/pl/138/2658

7. Centrum e-Zdrowia – wzrost incydentów cyberbezpieczeństwa w ochronie zdrowia – https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/csirt-cez-ostrzega-wzrasta-liczba-incydentow-cyberbezpieczenstwa-w-ochronie

8. Centrum e-Zdrowia – plan działań w zakresie cyberbezpieczeństwa w ochronie zdrowia – https://cez.gov.pl/pl/page/o-nas/aktualnosci/plan-dzialania-w-zakresie-cyberbezpieczenstwa-w-ochronie-zdrowia-0

RODO MEDYCZNE

Specjalistyczne wsparcie w obszarze RODO i bezpieczeństwa informacji dedykowane wyłącznie dla sektora ochrony zdrowia.
Usługi
Audyt RODO
Wdrażanie RODO
Stała Obsługa
Firma
Rodo Stomatologia
Jak pracujemy
O nas
Baza wiedzy
Kontakt
Informacja
Wszystkie nasze audyty są przeprowadzane zgodnie z wytycznymi UODO i ENISA dla sektora zdrowia.
Polityka Prywatności

© 2026 RODO Medyczne. Wszystkie prawa zastrzeżone.

RODO dla placówek medycznych
Wypełnij formularz