Czy lekarz może być „złodziejem danych”? Dlaczego do pobrania kompletu informacji z systemu teleinformatycznego ZUS wystarczy wyłącznie numer PESEL? Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę na poważny problem, ale od lat nie został on rozwiązany. Jedno jest pewne. Dane Polaków nie są bezpieczne, a eksperci alarmują: system ZUS-u to anomalia!
Magda Groń
Z platformy usług elektronicznych Zakładu Ubezpieczeń Społecznych korzysta ok. 13 mln Polaków. Konto użytkownika w ZUS zawiera pełen pakiet informacji, czyli aktualny adres, dane pracodawcy, informacje o członkach rodziny zgłoszonych do ubezpieczenia, L4 wraz z informacją o chorobie i nazwiskiem medyka, który wystawił nam zwolnienie.
Dokładnie te informacje widzi lekarz, który zaloguje się na nasze konto wyłącznie przy użyciu numeru PESEL. Nie musimy go do tego upoważniać w ZUS. Nie ma żadnej weryfikacji dwustopniowej jak w kontach bankowych – dodatkowego kodu SMS czy zgody udzielanej przy użyciu profilu zaufanego. Sprawia to, że zupełnie obcy lekarz – mając nasz numer PESEL – może w złych intencjach pobrać o nas pakiet informacji. W niektórych przychodniach dostęp do takich danych mają nie tylko lekarze, ale także upoważnieni przez nich asystenci medyczni.
Na stronie ZUS pojawia się poradnik dla lekarzy, jak wystawiać elektroniczne zwolnienia.
„Wystarczy, że wpiszesz numer PESEL pacjenta, a jego pozostałe dane identyfikacyjne uzupełnią się w e-ZLA automatycznie. Adres pacjenta wybierzesz z listy” – chwali się ZUS nowoczesnym i łatwym w obsłudze systemem.
To jednak nie powinien być powód do dumy.
W grudniu ubiegłego roku w Sejmie wystąpił prezes Urzędu Ochrony Danych Osobowych, który przedstawił sprawozdanie z działalności. Jak zaznaczył, skargi na podmioty z sektora zdrowia często dotyczyły nieuprawnionego dostępu do danych za pośrednictwem platformy ZUS. Z wystąpienia wynika, że lekarze niezgodnie z prawem przeglądają informacje o sąsiadach, kolegach z pracy, byłych partnerach, obrażonych kuzynach czy świadkach w sądowych sprawach.
Co więcej, prezes Urzędu Ochrony Danych Osobowych nakładał kary pieniężne na banki, szpitale i placówki medyczne, ale osoby fizyczne, które – w złych intencjach – pozyskiwały informacje z systemu ZUS, były „karane” jedynie pisemnym upomnieniem.
– Zasady ochrony danych osobowych powinny być przestrzegane przez wszystkich, by unikać wszelkich sytuacji naruszających poufność tych danych i wykorzystywanie ich jedynie w celach, dla których zostały zgromadzone. Lekarze nie mogą być wyjątkami – komentuje dr Piotr Sosiński, radca prawny. – Niedopuszczalne przetwarzanie danych osobowych stanowi czyn zabroniony opisany w art. 107 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wedle ust. 2 przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech – zaznacza prawnik. Dodaje, że orzeczenia sądów wydane w ostatnim czasie w tego typu sprawach są niezwykle łagodne dla sprawców i zwykle kończą się warunkowym umorzeniem postępowania karnego. – Sądy uzasadniają to tym, że stopień społecznej szkodliwości czynu przypisanego oskarżonemu nie jest znaczny, zdarzenie było incydentem itd. Moim zdaniem liberalne traktowanie przepisów karnych w tym zakresie nie jest właściwą praktyką – podkreśla
dr Piotr Sosiński.
System do wymiany
– Architektura każdego systemu powinna być tak zaprojektowana, aby dostęp do danych wrażliwych był możliwy tylko w takim zakresie, w jakim wymaga tego konkretny proces. Jeśli leczymy się onkologicznie, to dane na ten temat nie mogą być widoczne dla naszego alergologa, jeśli sami nie wyrazimy na to zgody – mówi Daniel Wasyliszyn, ekspert ds. bezpieczeństwa danych. – Lekarz bez naszej zgody nie może mieć wglądu do naszych badań czy innych zaświadczeń lekarskich, bo są to dane wrażliwe, czyli szczególnie chronione. Sytuacje, w których wyłącznie za pośrednictwem naszego numeru PESEL kompletnie obca osoba, mająca złe intencje, może pozyskać o nas pakiet informacji, nigdy nie powinny mieć miejsca. Konsekwencje mogą być naprawdę groźne – od sprzedaży tych informacji, opublikowanie tych danych w sieci, szantaż czy stalking – podkreśla Daniel Wasyliszyn. Jego zdaniem ZUS powinien jak najszybciej wdrożyć nowe rozwiązania.
Dodajmy, że o pozyskaniu danych z systemu Zakład Ubezpieczeń Społecznych nie poinformuje nas w sposób tradycyjny. Nie ma listu, e-maila ani SMS-a. W platformie internetowej pojawi się komunikat widoczny w tym systemie tylko przez rok. Będzie on brzmiał: „W dniu [data] lekarz [imię, nazwisko] o numerze prawa wykonywania zawodu [numer] uzyskał dostęp do Twoich danych, niezakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem”.
Co powinna zrobić osoba, która zorientuje się, że jej dane zostały pozyskane z systemu ZUS? Prawnik wyjaśnia, kogo warto powiadomić.
– Pokrzywdzony takim przestępstwem powinien niezwłocznie złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych. Można to zrobić tradycyjnym listem lub w formie elektronicznej za pomocą e-PUAP. Równolegle należy skierować zawiadomienie do prokuratury. Ponadto warto powiadomić o sprawie rzecznika odpowiedzialności zawodowej działającego przy okręgowej izbie lekarskiej właściwej dla działalności lekarza – radzi dr Piotr Sosiński.
Śledztwo w toku
„Złodzieje danych” przestają jednak być bezkarni. Prokuratura Okręgowa we Wrocławiu prowadzi śledztwo w sprawie lekarza, który – dodajmy – był w przeszłości współpracownikiem wywiadu wojskowego PRL i Wojskowych Służb Informacyjnych. Lekarz ten pozyskiwał z systemu ZUS dane m.in. dziennikarzy i osób publicznych.
Na liście pokrzywdzonych w tym śledztwie jest m.in. szef Dolnośląskiej Izby Lekarskiej dr Paweł Wróblewski.
– Od lat jestem nękany przez osobę, która próbuje zdyskredytować mnie i moją pracę. Ten człowiek stosuje przeróżne metody, których zapewne wyuczył się jeszcze jako współpracownik komunistycznych służb. W tym właśnie celu pozyskiwał moje dane z systemu ZUS – mówi dr Paweł Wróblewski. – Moje internetowe konto w ZUS sprawdziłem wyłącznie z tego powodu, iż otrzymałem pytanie od innej poszkodowanej osoby. Brzmiało ono: „Czy to prawda, że lekarz bez powodu może wejść na konto każdego obywatela w Polsce?”. Wtedy okazało się, że ja również padłem ofiarą tego procederu. Mimo że sam jestem lekarzem, nie przyszłoby mi do głowy, że można wykorzystywać system ZUS jako miejsce do pozyskiwania informacji o nieswoich pacjentach. Lekarz, który logował się na moim koncie przez lata, składał na mnie skargi i zawiadomienia, które kończyły się umorzeniami. Prawdopodobnie z systemu ZUS pozyskiwał do tego moje aktualne dane teleadresowe. W toku sprawy prowadzonej przez prokuraturę okazało się, że przeglądał moje dane także wiele lat wcześniej, a w systemie ZUS informacje kasują się po roku. ZUS nie informuje pisemnie o tego typu „kradzieży danych”, a przecież nikt nie wchodzi co chwilę na swój panel użytkownika. Gdybym dowiedział się o tym od razu, to być może zaoszczędziłoby mi to wielu nieprzyjemności. To ZUS powinien każdorazowo skutecznie informować obywateli o każdym, nieuprawnionym wejściu na ich konta – dodaje dr Paweł Wróblewski.
Warto dodać, że Prokuratura Okręgowa we Wrocławiu postawiła już zarzuty wrocławskiemu lekarzowi. Być może jego sądowy proces będzie przestrogą dla innych lekarzy i pracowników medycznych, że w tych czasach pozyskiwanie danych z systemów teleinformatycznych w złych intencjach to po prostu zwykłe, ordynarne przestępstwo.