Prywatne dane kontaktowe lekarzy ujawnione. Kto zawinił?

Autor. Pixabay/Pexels
Najnowsza wersja Rejestru Podmiotów Wykonujących Działalność Leczniczą ujawniła dane kontaktowe lekarzy, które nie powinny znaleźć się w publicznym obiegu. Incydent był skutkiem braku jasnej komunikacji co do tego, które dane będą publicznie dostępne.
Jak informuje Niebezpiecznik, 29 czerwca 2025 r. udostępniono nową wersję systemu RPWDL. Wraz z jej uruchomieniem część lekarzy i przedstawicieli zawodów medycznych zorientowała się, że publicznie dostępne stały się ich prywatne numery telefonów oraz adresy e-mail. Informacje te, zgodnie z przepisami, miały dotyczyć wyłącznie sfery zawodowej, jednak w wielu przypadkach doszło do ich nieumyślnego upublicznienia.
Problem nie polegał na ataku hakerskim czy technicznym wycieku danych - dane pochodziły z samego rejestru. W praktyce okazało się, że wielu lekarzy jeszcze lata temu, w dobrej wierze, podało dane prywatne, wierząc w ich niepubliczny charakter. Nowy system zaczął jednak wyświetlać je bez wyraźnego ostrzeżenia o zmianie widoczności.
Reakcja instytucji i skala incydentu
Centrum e-Zdrowia, odpowiedzialne za RPWDL, 7 lipca opublikowało oficjalny komunikat wyjaśniający, że dane kontaktowe powinny dotyczyć działalności leczniczej lekarza jako przedsiębiorcy. W teorii więc nie doszło do złamania prawa, lecz w praktyce wiele wpisów zawierało informacje prywatne.
W odpowiedzi na liczne sygnały od środowiska medycznego, CeZ tymczasowo zablokowało widoczność adresów e-mail oraz numerów telefonów. Trwa również analiza zgłoszonych przypadków.
Czytaj też
Braki w komunikacji i nieświadome ryzyko
Jak ocenia Niebezpiecznik, w tym przypadku problemem był także fakt braku skutecznej komunikacji i przekazania informacji dla zainteresowanych. Lekarze nie zostali odpowiednio poinformowani, że ich stare wpisy, dawniej niewidoczne, staną się publiczne po wdrożeniu systemu 2.0. Ta informacja pojawiła się dopiero 7 lipca.
Brak precyzyjnej komunikacji oraz automatycznego filtrowania treści z poziomu systemu doprowadziły do sytuacji, w której dane osobowe były dostępne bez świadomej zgody właścicieli.
Z punktu widzenia odpowiedzialności za ochronę danych, można tu mówić o błędzie proceduralnym. W systemach przetwarzających dane zawodowe osób zaufania publicznego, takich jak lekarze, prawnicy czy diagności laboratoryjni, szczególnie istotna jest przejrzystość zasad udostępniania informacji.
Czytaj też
Centrum e-Zdrowia wyjaśnia
Centrum e-Zdrowia w odpowiedzi dla redakcji Niebezpiecznika wyjaśniło, że dane kontaktowe widoczne w RPWDL, takie jak numer telefonu oraz adres e-mail, powinny dotyczyć wyłącznie działalności leczniczej wykonywanej w ramach praktyki zawodowej.
Dane te pochodzą bezpośrednio z wniosków składanych przez samych lekarzy, dlatego mogło dojść do sytuacji, w których przez pomyłkę wpisano informacje prywatne zamiast służbowych.
W związku z licznymi sygnałami od środowiska medycznego, CeZ zdecydowało się tymczasowo zablokować widoczność tych danych i zaleciło lekarzom weryfikację oraz aktualizację wpisów w rejestrze.
Czytaj też
Rejestry publiczne a ochrona danych zawodów zaufania publicznego
Niebezpiecznik wskazuje, że problem ujawniania danych w rejestrach państwowych nie ogranicza się wyłącznie do sektora ochrony zdrowia ani do jednego systemu. W rzeczywistości dotyczy on szerokiego spektrum zawodów zaufania publicznego - lekarzy, pielęgniarek, prawników, farmaceutów, diagnostów laboratoryjnych czy szkoleniowców wpisanych do Bazy Usług Rozwojowych.
Podobnym przypadkiem w przeszłości była sytuacja z 2023 roku, gdy Krajowa Izba Diagnostów Laboratoryjnych (KIDL) przeprowadzała aktualizację danych zgodnie z przepisami ustawy o medycynie laboratoryjnej.
Według doniesień Niebezpiecznika, dostęp do systemu rejestrowego umożliwiano poprzez kombinację numeru prawa wykonywania zawodu i numeru PESEL - informacji, które nie są trudne do zdobycia. W praktyce oznaczało to ryzyko nieautoryzowanego dostępu do kont użytkowników i ich danych osobowych.
Czytaj też
Co powinni zrobić lekarze?
W świetle opisanego incydentu, zalecane są trzy kluczowe działania:
- weryfikacja wpisów - każdy lekarz powinien jak najszybciej sprawdzić swoje dane w RPWDL i uaktualnić je, jeśli zawierają prywatne informacje;
- rozdzielenie danych służbowych i prywatnych - należy konsekwentnie oddzielać dane kontaktowe związane z działalnością zawodową od danych prywatnych, również na poziomie adresów e-mail i numerów telefonów;
- wzrost świadomości cyfrowej - konieczne jest podniesienie poziomu wiedzy w zakresie ochrony danych osobowych w kontekście funkcjonowania systemów informacyjnych.
Czytaj też
Potrzeba systemowych standardów
Zdarzenie z RPWDL powinno być impulsem do opracowania jasnych wytycznych dla wszystkich publicznych rejestrów. Każdy nowy system lub jego aktualizacja powinny być poprzedzone:
- audytem prywatności,
- kampanią informacyjną dla użytkowników,
- narzędziami umożliwiającymi łatwe sprawdzenie i edycję danych.
W przeciwnym razie rejestry, zamiast wzmacniać zaufanie do instytucji, będą budzić niepokój wśród osób, których dane się w nich znajdują.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany