Londyn – naruszenie bezpieczeństwa danych osobowych w klinice zmiany płci

Londyn – naruszenie bezpieczeństwa danych osobowych w klinice zmiany płci

Charing Cross Gender Identity Clinic to klinika zajmująca się operacjami zmiany płci, która nie zabezpieczyła właściwie danych osobowych swoich pacjentów. Pracownicy kliniki wysyłając maile do osób korzystających ze świadczeń ośrodka nie użyli formuły UDW.

UDW, czyli ukryte do wiadomości (ang. blind carbon copy BCC) to funkcja poczty elektronicznej, która umożliwia wysyłanie wiadomości do wielu odbiorców naraz w taki sposób, że nie widzą oni wzajemnie swoich adresów. Wciąż wielu pracowników firm, przetwarzających dane szczególnej kategorii, w tym szpitali i placówek medycznych, nie korzysta z łatwo dostępnych metod zabezpieczenia przetwarzanych drogą elektroniczną danych (korzystanie z formuły UDW, zabezpieczanie hasłem przesyłanych plików zawierających dane osobowe itp.).

Klinika w Londynie nie używając formuły UDW naraziła prawie 2000 pacjentów, którzy poddali się operacji zmiany płci, na wzajemne poznanie swoich tożsamości. Większość adresów mailowych zostało stworzonych z imion i nazwisk użytkowników, co w łatwy sposób pozwoliło na identyfikację tych osób.

Należy pamiętać, że wyciek informacji na temat osób trans płciowych niesie za sobą poważne konsekwencje, takie jak m.in. wykluczenie społeczne, czy problemy w dalszej karierze zawodowej.

Warto też zauważyć, że niektóre dane osobowe przetwarzane przez placówki medyczne są danymi tzw. podwójnej kategorii (np. informacja o szczepieniach, aborcji, transplantacji, czy transfuzji) i wyciek tych danych niesie za sobą duże ryzyko naruszenia praw i wolności osób fizycznych, więc ich przetwarzanie wymaga większego zabezpieczenia.

Zdarzenie, do którego doszło w Londynie, zostało zgłoszone do organu nadzorczego i podjęto już wszelkie możliwe działania, by poinformować pacjentów o zaistniałej sytuacji, a także by poprawić stosowane w klinice zabezpieczenia. Warto bowiem pamiętać, że w 2016 roku w Londynie doszło do wycieku danych pacjentów korzystających z ośrodka leczenia zakażeniem wirusem HIV, a na tę placówkę nałożona została kara w wysokości 180 000 funtów.

Jak wynika z doświadczeń firmy RODONET – większość podmiotów medycznych nie wskazuje w swojej pracy wystąpienia jakichkolwiek incydentów naruszenia bezpieczeństwa danych osobowych. Statystki oraz liczba zgłaszanych zdarzeń do Urzędu Ochrony Danych Osobowych sugerują, że brak incydentów jest sytuacją mało prawdopodobną. Niewystarczająca wiedza oraz świadomość osób przetwarzających dane osobowe, a także lekceważące podejście do kwestii związanych z RODO mogą prowadzić do poważnych konsekwencji, jakimi są wycieki danych, a także do grzywien nałożonych przez organ nadzorczy.


Źródło: Sylwia Miezio, Inspektor Ochrony Danych RODONET