- Na początku 2024 poprosiłem w przychodni Lux Med w Bydgoszczy o raport weryfikacji moich danych osobowych - mówi pacjent. Chce pozostać anonimowy, ale ze szczegółami przedstawia, jak przebiegała procedura.
Wyjaśnia: - Początkowo poprosiłem o informacje za rok 2023. W zestawieniu wyszło że dwukrotnie moje dane medyczne weryfikował pracownik Luxmed w Bydgoszczy przy ulicy Fordońskiej.
Następnie mężczyzna złożył wniosek o udostępnienie raportu weryfikacji danych osobowych dwójki jego dzieci. - Okazało się, że i te dane były przeglądane - dodaje. - Sprawa została zbagatelizowana. Tłumaczono, że niby pracownica o statusie "inny", a więc nie lekarz, ani nie księgowa, mogła to robić. Z tym, że czynności te były przeprowadzone w intranecie, a nie w extranecie systemu Luxmed.
Klient placówki założyłem sprawę o odszkodowanie, a ubezpieczająca przychodnię firma Ergo Hestia potwierdziła - tłumaczy pacjent - "że dane medyczne dzieci zostały pobrane z intranetu, mimo że dostęp do nich powinien odbywać się za pośrednictwem extranetu". - Stwierdzono, że pracownik przekroczył swoje uprawnienia.
Pracownik o statusie "Inny"
Prawdziwe zdziwienie jednak - jak podkreśla pacjent - dopiero miało nastąpić. W grudniu ubiegłego roku ponownie złożył w przychodni wniosek o weryfikację jego danych osobowych, ale zażądał pełnych informacji od 2019 roku. - Tu wyszło aż 39 weryfikacji moich danych osobowych - mówi.
Podkreśla, że nie chodziło wyłącznie o przeglądanie danych pacjenta, ale między innymi o wydrukowanie zdjęcia rentgenowskiego przez pracownika, który w rejestrze ponownie został oznaczony statusem "Inny".
Co więcej, pacjent utrzymuje, że informacje uzyskane w taki sposób miały zostać wykorzystane potem w "strategii procesowej" jego sprawy o... rozwód.
Co na to firma Lux Med? Na konto mailowe przychodni wysłaliśmy pytania o okoliczności opisywanych przez pacjenta zdarzeń. Czekamy na odpowiedź. Sam zainteresowany również wystąpił do placówki ze skargą.
W odpowiedzi z datą 28 lutego tego roku czytamy, iż "doszło do wystąpienia jednostkowego zdarzenia polegającego na wglądzie" w dane osobowe, które znajdowały się w systemie informatycznym Lux Med. Ponadto spółka "potwierdza także, iż odnotowała naruszenie w prowadzonym przez Spółkę rejestrze".
Dalej w piśmie wysłanym do pacjenta znajduje się wyjaśnienie. Otóż "wskazany pracownik posiadał dostęp do wewnętrznego systemu" wykonując swoje obowiązki służbowe. Jak czytamy, "posiadał nadane uprawnienia, jak i podstawę prawną do wglądu w dane spółki, co wiązało się z uzyskaniem ograniczonego dostępu do dokumentacji medycznej pacjentów, jednak wyłącznie w zakresie przydzielonych pracownikowi zadań".
Przychodnia: Doszło do jednostkowego incydentu
W odpowiedzi radca prawny spółki podkreśla, że przeprowadzono "dogłębne dwuetapowe postępowanie wyjaśniające", a pracownik został poproszony o udzielenie wyjaśnień. Te z kolei "nie potwierdzają wskazywanych okoliczności", niemniej "został niezwłocznie stwierdzony i zarejestrowany incydent obejmujący jednostkowy nieuprawniony wgląd w (...) dane osobowe". W efekcie z pracownikiem została przeprowadzona rozmowa dyscyplinująca, a on sam został przeszkolony d zakresu standardów Lux Med.
Odnośnie danych dzieci, jak wynika z cytowanego pisma, "nie stwierdzono nieuprawnionego dostępu do danych". Z kolei sprawy rzekomego wykorzystania innych informacji w sprawie rozwodowej firma nie komentuje, ponieważ "nie jest stroną" tego postępowania.
Pacjent zwrócił się również do Urzędu Ochrony Danych Osobowych.
- Zostało wszczęte postępowanie i jest ono w toku. Jednocześnie informuję, że o szczegółach dotyczących postępowań związanych ze skargami osób fizycznych informujemy jedynie strony postępowania i ich pełnomocników, jeżeli zostali wyznaczeni - wyjaśnia Karol Witowski, rzecznik prasowy z Departamentu Komunikacji Społecznej UODO.
