Prywatne dane kontaktowe lekarzy ujawnione. Kto zawinił?

Jak informuje Niebezpiecznik, 29 czerwca 2025 r. udostępniono nową wersję systemu RPWDL. Wraz z jej uruchomieniem część lekarzy i przedstawicieli zawodów medycznych zorientowała się, że publicznie dostępne stały się ich prywatne numery telefonów oraz adresy e-mail. Informacje te, zgodnie z przepisami, miały dotyczyć wyłącznie sfery zawodowej, jednak w wielu przypadkach doszło do ich nieumyślnego upublicznienia.

Problem nie polegał na ataku hakerskim czy technicznym wycieku danych - dane pochodziły z samego rejestru. W praktyce okazało się, że wielu lekarzy jeszcze lata temu, w dobrej wierze, podało dane prywatne, wierząc w ich niepubliczny charakter. Nowy system zaczął jednak wyświetlać je bez wyraźnego ostrzeżenia o zmianie widoczności.

Reakcja instytucji i skala incydentu

Centrum e-Zdrowia, odpowiedzialne za RPWDL, 7 lipca opublikowało oficjalny komunikat wyjaśniający, że dane kontaktowe powinny dotyczyć działalności leczniczej lekarza jako przedsiębiorcy. W teorii więc nie doszło do złamania prawa, lecz w praktyce wiele wpisów zawierało informacje prywatne.

W odpowiedzi na liczne sygnały od środowiska medycznego, CeZ tymczasowo zablokowało widoczność adresów e-mail oraz numerów telefonów. Trwa również analiza zgłoszonych przypadków.

Braki w komunikacji i nieświadome ryzyko

Jak ocenia Niebezpiecznik, w tym przypadku problemem był także fakt braku skutecznej komunikacji i przekazania informacji dla zainteresowanych. Lekarze nie zostali odpowiednio poinformowani, że ich stare wpisy, dawniej niewidoczne, staną się publiczne po wdrożeniu systemu 2.0. Ta informacja pojawiła się dopiero 7 lipca. 

Brak precyzyjnej komunikacji oraz automatycznego filtrowania treści z poziomu systemu doprowadziły do sytuacji, w której dane osobowe były dostępne bez świadomej zgody właścicieli. 

Z punktu widzenia odpowiedzialności za ochronę danych, można tu mówić o błędzie proceduralnym. W systemach przetwarzających dane zawodowe osób zaufania publicznego, takich jak lekarze, prawnicy czy diagności laboratoryjni, szczególnie istotna jest przejrzystość zasad udostępniania informacji.

Centrum e-Zdrowia wyjaśnia

Centrum e-Zdrowia w odpowiedzi dla redakcji Niebezpiecznika wyjaśniło, że dane kontaktowe widoczne w RPWDL, takie jak  numer telefonu oraz adres e-mail, powinny dotyczyć wyłącznie działalności leczniczej wykonywanej w ramach praktyki zawodowej.

Dane te pochodzą bezpośrednio z wniosków składanych przez samych lekarzy, dlatego mogło dojść do sytuacji, w których przez pomyłkę wpisano informacje prywatne zamiast służbowych. 

W związku z licznymi sygnałami od środowiska medycznego, CeZ zdecydowało się tymczasowo zablokować widoczność tych danych i zaleciło lekarzom weryfikację oraz aktualizację wpisów w rejestrze.

Rejestry publiczne a ochrona danych zawodów zaufania publicznego

Niebezpiecznik wskazuje, że problem ujawniania danych w rejestrach państwowych nie ogranicza się wyłącznie do sektora ochrony zdrowia ani do jednego systemu. W rzeczywistości dotyczy on szerokiego spektrum zawodów zaufania publicznego - lekarzy, pielęgniarek, prawników, farmaceutów, diagnostów laboratoryjnych czy szkoleniowców wpisanych do Bazy Usług Rozwojowych.

Podobnym przypadkiem w przeszłości była sytuacja z 2023 roku, gdy Krajowa Izba Diagnostów Laboratoryjnych (KIDL) przeprowadzała aktualizację danych zgodnie z przepisami ustawy o medycynie laboratoryjnej. 

Według doniesień Niebezpiecznika, dostęp do systemu rejestrowego umożliwiano poprzez kombinację numeru prawa wykonywania zawodu i numeru PESEL - informacji, które nie są trudne do zdobycia. W praktyce oznaczało to ryzyko nieautoryzowanego dostępu do kont użytkowników i ich danych osobowych.

Co powinni zrobić lekarze?

W świetle opisanego incydentu, zalecane są trzy kluczowe działania:

• weryfikacja wpisów - każdy lekarz powinien jak najszybciej sprawdzić swoje dane w RPWDL i uaktualnić je, jeśli zawierają prywatne informacje;
• rozdzielenie danych służbowych i prywatnych - należy konsekwentnie oddzielać dane kontaktowe związane z działalnością zawodową od danych prywatnych, również na poziomie adresów e-mail i numerów telefonów;
• wzrost świadomości cyfrowej - konieczne jest podniesienie poziomu wiedzy w zakresie ochrony danych osobowych w kontekście funkcjonowania systemów informacyjnych.

Potrzeba systemowych standardów

Zdarzenie z RPWDL powinno być impulsem do opracowania jasnych wytycznych dla wszystkich publicznych rejestrów. Każdy nowy system lub jego aktualizacja powinny być poprzedzone:

• audytem prywatności,
• kampanią informacyjną dla użytkowników,
• narzędziami umożliwiającymi łatwe sprawdzenie i edycję danych.

W przeciwnym razie rejestry, zamiast wzmacniać zaufanie do instytucji, będą budzić niepokój wśród osób, których dane się w nich znajdują.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].