W SPRAWACH PILNYCH

Kancelaria Adwokacka
GAŁACKI karolak Czucharski

KONSULTACJA

Cyberataki na ochronę zdrowia – konsekwencje prawne dla szpitali i prawa pacjentów

Skala cyberataków na sektor ochrony zdrowia stale rośnie, co potwierdzają zarówno raporty międzynarodowe, jak i obserwacje krajowych instytucji. Jak zauważa dr Małgorzata Olszewska, dyrektor Centrum e-Zdrowia, każdego dnia rejestrowane są próby włamań do systemów informatycznych placówek medycznych, zarówno udane, jak i nieudane. Konsekwencje takich ataków mogą być wyjątkowo poważne – obejmują nie tylko naruszenie poufności danych pacjentów, lecz także zakłócenie funkcjonowania szpitali, co w skrajnych przypadkach może stanowić zagrożenie dla zdrowia i życia ludzi.

W tym kontekście cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technologicznym. Staje się także kluczowym problemem prawnym, wymagającym analizowania obowiązków placówek medycznych jako administratorów danych, ich odpowiedzialności cywilnej i karnej, a także roli państwa w zapewnianiu minimalnych standardów ochrony systemów informatycznych.

Cyberataki jako wyzwanie prawne

Rosnąca liczba incydentów w sektorze ochrony zdrowia wymusza spojrzenie na cyberataki również przez pryzmat prawa. Pojęcie „cyberatak” nie jest wprost zdefiniowane w polskich ustawach, jednak praktyka legislacyjna i doktryna prawa wskazują na szeroki katalog działań, które mogą mieścić się w tym pojęciu: od nieuprawnionego uzyskania dostępu do systemu informatycznego, poprzez zakłócanie pracy sieci, aż po kradzież lub zniszczenie danych.

Regulacje krajowe

Podstawowym aktem jest Kodeks karny, który w rozdziale XXXIII przewiduje odpowiedzialność za tzw. przestępstwa komputerowe. Należą do nich m.in.:

  • art. 267 k.k. – nieuprawnione uzyskanie dostępu do informacji (np. włamanie do systemu),
  • art. 268 i 268a k.k. – niszczenie, usuwanie lub zmienianie danych informatycznych,
  • art. 269 i 269a k.k. – zakłócenie pracy systemu informatycznego lub sieci teleinformatycznej,
  • art. 287 k.k. – oszustwo komputerowe.

Dla placówek medycznych szczególnie dotkliwe mogą być ataki typu ransomware, w ramach których sprawcy blokują dostęp do danych lub systemu i żądają okupu za jego odblokowanie. W praktyce, oprócz zagrożenia odpowiedzialnością karną sprawców, rodzi to poważne ryzyka dla administratorów danych (szpitali), którzy muszą reagować zgodnie z przepisami o ochronie danych osobowych i cyberbezpieczeństwie.

Kontekst unijny

Na poziomie europejskim znaczenie mają m.in.:

  • dyrektywa NIS (i jej następca NIS2), nakładające na operatorów usług kluczowych – w tym sektor ochrony zdrowia – obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych,
  • rozporządzenie RODO, które wprost traktuje o ochronie danych osobowych, w tym danych szczególnej kategorii, jakimi są dane medyczne.

Charakterystyka czynów w kontekście ochrony zdrowia

Cyberataki na placówki medyczne mają dwoisty charakter:

  • przestępstwa przeciwko informacjom (np. kradzież danych pacjentów w celu ich sprzedaży w darknecie),
  • przestępstwa przeciwko bezpieczeństwu publicznemu (zakłócenie funkcjonowania szpitala, które może uniemożliwić udzielanie świadczeń zdrowotnych).

Ten drugi aspekt odróżnia sektor ochrony zdrowia od innych branż – tutaj skutki cyberataku mogą realnie przełożyć się na zdrowie i życie ludzi, co w świetle prawa może rodzić odpowiedzialność nie tylko na gruncie karnym, ale również cywilnym i administracyjnym.

Ochrona danych pacjentów

Jednym z najistotniejszych skutków cyberataków na placówki medyczne jest ryzyko naruszenia ochrony danych osobowych pacjentów. Dane medyczne należą do kategorii danych szczególnie wrażliwych, których przetwarzanie wiąże się z najwyższym poziomem ochrony prawnej.

RODO i ustawa o ochronie danych osobowych

Zgodnie z art. 9 ust. 1 RODO, dane dotyczące zdrowia są objęte zakazem przetwarzania, chyba że spełniona jest jedna z przewidzianych w rozporządzeniu przesłanek (np. przetwarzanie jest niezbędne do celów diagnostycznych lub leczenia). Placówki medyczne, jako administratorzy danych, mają obowiązek:

  • wdrażania odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo danych (art. 32 RODO),
  • prowadzenia rejestru czynności przetwarzania,
  • minimalizowania ryzyka naruszeń poprzez stosowanie zasady privacy by design i privacy by default.

W przypadku naruszenia ochrony danych osobowych administrator ma obowiązek zgłosić incydent do Prezesa UODO w ciągu 72 godzin (art. 33 RODO), a w określonych przypadkach także poinformować osoby, których dane dotyczą (art. 34 RODO).

Sankcje administracyjne

Naruszenie obowiązków wynikających z RODO może skutkować dotkliwymi sankcjami finansowymi. Teoretycznie kary mogą sięgać do 20 milionów euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa (art. 83 RODO). W praktyce wobec podmiotów publicznych, takich jak szpitale, kary są niższe, jednak sam fakt ich nałożenia stanowi istotny element ryzyka prawnego i wizerunkowego.

Znaczenie dla pacjentów

Pacjent, którego dane zostały ujawnione wskutek cyberataku, może domagać się odszkodowania zarówno na podstawie RODO (art. 82), jak i przepisów prawa cywilnego (art. 23 i 24 k.c. – ochrona dóbr osobistych). Naruszenie poufności danych medycznych może być bowiem traktowane jako naruszenie prawa do prywatności, które stanowi dobro osobiste.

Dane medyczne są szczególnie wrażliwe – ich ujawnienie może prowadzić do dyskryminacji, stygmatyzacji, a nawet zagrożenia dla pozycji zawodowej i społecznej pacjenta. Dlatego ustawodawca przyjął założenie, że placówki ochrony zdrowia ponoszą szczególnie podwyższoną odpowiedzialność prawną za ich bezpieczeństwo.

Obowiązki instytucji medycznych w zakresie cyberbezpieczeństwa

Placówki medyczne należą do grona podmiotów szczególnie zobowiązanych do zapewnienia wysokiego poziomu bezpieczeństwa systemów teleinformatycznych. Wynika to nie tylko z wrażliwości danych, które przetwarzają, lecz także z faktu, że zostały one wprost uznane za operatorów usług kluczowych w rozumieniu przepisów o krajowym systemie cyberbezpieczeństwa.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC)

Na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, podmioty świadczące usługi w sektorze ochrony zdrowia są zobowiązane do:

  • wdrażania środków technicznych i organizacyjnych zapewniających bezpieczeństwo systemów informacyjnych,
  • zarządzania ryzykiem i przeprowadzania regularnych audytów bezpieczeństwa,
  • zapewnienia ciągłości działania usług nawet w sytuacjach incydentalnych,
  • wyznaczenia osoby kontaktowej ds. cyberbezpieczeństwa.

Obowiązek zgłaszania incydentów

Placówki medyczne, jako operatorzy usług kluczowych, muszą zgłaszać poważne incydenty cyberbezpieczeństwa do odpowiednich CSIRT (Computer Security Incident Response Team), np. CSIRT MON, CSIRT NASK czy CSIRT GOV. Niedochowanie tego obowiązku może skutkować odpowiedzialnością administracyjną i nałożeniem kar finansowych.

Standardy bezpieczeństwa i odpowiedzialność kierownictwa

Obowiązki ustawowe nie ograniczają się jedynie do kwestii technicznych. Odpowiedzialność spoczywa również na organach zarządzających podmiotami medycznymi. Brak wdrożenia adekwatnych zabezpieczeń może być traktowany jako niedopełnienie obowiązków przez kierownictwo, co w określonych sytuacjach może prowadzić do odpowiedzialności:

  • dyscyplinarnej (np. wobec dyrektorów szpitali),
  • cywilnej (za szkodę wyrządzoną pacjentom lub kontrahentom),
  • a nawet karnej (w przypadku rażącego zaniedbania, które umożliwiło poważny cyberatak).

Perspektywa prawa unijnego

Dyrektywa NIS2, która ma zostać implementowana do polskiego porządku prawnego, przewiduje jeszcze bardziej rygorystyczne obowiązki, m.in.:

  • regularne testowanie zabezpieczeń,
  • wdrażanie polityk zarządzania kryzysowego,
  • osobistą odpowiedzialność kadry kierowniczej za nadzór nad bezpieczeństwem.

W praktyce oznacza to, że w ciągu najbliższych lat standardy cyberbezpieczeństwa w ochronie zdrowia będą podlegały dalszemu zaostrzeniu, a brak ich przestrzegania stanie się istotnym ryzykiem prawnym dla podmiotów medycznych.

Skutki prawne cyberataków dla pacjentów i szpitali

Cyberataki na placówki medyczne niosą skutki nie tylko techniczne czy organizacyjne, lecz również poważne konsekwencje prawne – zarówno dla pacjentów, jak i dla samych szpitali.

Naruszenie praw pacjentów

Pacjenci mają prawo do ochrony swoich danych osobowych i prywatności, co wynika wprost z art. 47 i 51 Konstytucji RP, a także z przepisów RODO. Ujawnienie danych medycznych w wyniku cyberataku stanowi naruszenie dóbr osobistych (prawo do prywatności, prawo do ochrony danych osobowych). Poszkodowani pacjenci mogą dochodzić roszczeń na drodze cywilnej, żądając:

  • zadośćuczynienia za naruszenie dóbr osobistych (art. 24 k.c.),
  • odszkodowania za szkodę majątkową lub niemajątkową wynikającą z utraty kontroli nad danymi (art. 82 RODO).

Roszczenia cywilne wobec szpitali

Placówka medyczna, która nie zapewniła odpowiedniego poziomu ochrony danych lub nie zareagowała prawidłowo na incydent, może ponosić odpowiedzialność cywilną wobec pacjentów. W grę wchodzi:

  • odpowiedzialność deliktowa (art. 415 k.c. – szkoda wyrządzona czynem niedozwolonym),
  • odpowiedzialność kontraktowa (np. w sytuacji, gdy niewykonanie świadczenia zdrowotnego nastąpiło z powodu cyberataku uniemożliwiającego dostęp do systemów).

Konsekwencje przerwania ciągłości świadczeń

Cyberatak uniemożliwiający normalne funkcjonowanie szpitala może prowadzić do odwołania zabiegów, utrudnienia diagnostyki czy braku dostępu do dokumentacji medycznej. W skrajnych przypadkach skutkiem może być pogorszenie stanu zdrowia pacjenta lub nawet zagrożenie życia. W takiej sytuacji placówka może odpowiadać wobec pacjenta za szkodę na zasadach ogólnych (art. 415 i n. k.c.), a także z tytułu naruszenia praw pacjenta (ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta).

Odpowiedzialność administracyjna i karna

Poza odpowiedzialnością cywilną, szpital naraża się również na:

  • sankcje administracyjne – np. kary finansowe nakładane przez Prezesa UODO,
  • odpowiedzialność karną osób zarządzających, jeśli w wyniku zaniedbań doszło do umożliwienia ataku (np. niezgłoszenie incydentu, brak zabezpieczeń wymaganych przez ustawę o KSC).

Wizerunek i zaufanie publiczne

Choć skutki wizerunkowe nie są bezpośrednio konsekwencją prawną, mają realne przełożenie na sytuację placówki. Utrata zaufania pacjentów, spadek reputacji czy ryzyko procesów zbiorowych mogą stanowić poważne obciążenie. Z perspektywy prawnej mogą zaś zwiększać liczbę roszczeń kierowanych wobec szpitala.

Kierunki rozwoju regulacji i praktyki

Rosnąca liczba incydentów cybernetycznych w ochronie zdrowia sprawia, że ustawodawca – zarówno na poziomie krajowym, jak i unijnym – wprowadza coraz bardziej restrykcyjne przepisy oraz mechanizmy nadzoru nad bezpieczeństwem teleinformatycznym.

Nowelizacje prawa i implementacja NIS2

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) nakłada na państwa członkowskie obowiązek zaostrzenia wymagań wobec podmiotów z sektorów kluczowych, w tym ochrony zdrowia. Po implementacji do prawa polskiego szpitale i inne placówki medyczne będą musiały:

  • wdrażać zaawansowane mechanizmy zarządzania ryzykiem,
  • przeprowadzać regularne audyty i testy penetracyjne,
  • opracować procedury reagowania na incydenty i plany ciągłości działania,
  • poddać się surowszym sankcjom za niewywiązywanie się z obowiązków w zakresie cyberbezpieczeństwa.

Rola organów nadzorczych i współpracy międzynarodowej

Z uwagi na transgraniczny charakter cyberzagrożeń, coraz większego znaczenia nabiera współpraca organów państwowych i międzynarodowych. W Polsce funkcję nadzoru sprawują m.in.:

  • CSIRT MON, CSIRT GOV, CSIRT NASK – w zakresie reagowania na incydenty,
  • Prezes UODO – w odniesieniu do ochrony danych osobowych.
    Na poziomie UE istotne znaczenie odgrywa ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa), wspierająca harmonizację standardów i wymianę informacji o zagrożeniach.

Rozwój praktyki compliance i audytów bezpieczeństwa

Wzrost ryzyka prawnego sprawia, że placówki medyczne coraz częściej wdrażają procedury compliance w obszarze cyberbezpieczeństwa. Obejmują one m.in.:

  • tworzenie polityk bezpieczeństwa i szkoleń dla personelu,
  • wprowadzanie procedur minimalizujących błędy ludzkie (najczęstsze źródło naruszeń),
  • zlecanie zewnętrznych audytów bezpieczeństwa i testów odporności systemów.

Kierunek na kulturę bezpieczeństwa

Coraz częściej podkreśla się, że przepisy prawa, nawet najbardziej szczegółowe, nie zastąpią kultury bezpieczeństwa w placówkach medycznych. Oznacza to konieczność:

  • edukacji personelu w zakresie podstaw cyberhigieny,
  • włączenia tematyki cyberbezpieczeństwa do zarządzania strategicznego,
  • traktowania bezpieczeństwa systemów informatycznych jako elementu jakości opieki zdrowotnej, a nie tylko kosztu administracyjnego.

Cyberbezpieczeństwo w sektorze ochrony zdrowia przestaje być kwestią techniczną, a staje się kluczowym zagadnieniem prawnym. Cyberataki mogą prowadzić nie tylko do naruszenia ochrony danych osobowych pacjentów, lecz także do realnego zagrożenia zdrowia i życia ludzi, jeśli szpitale nie są w stanie normalnie funkcjonować.

Analiza regulacji pokazuje, że placówki medyczne podlegają szczególnemu reżimowi prawnemu – od przepisów karnych, przez RODO i ustawę o Krajowym Systemie Cyberbezpieczeństwa, aż po nadchodzące wymogi dyrektywy NIS2. Niedopełnienie obowiązków w tym zakresie rodzi wielowymiarowe konsekwencje: administracyjne, cywilne, karne, a także wizerunkowe.

Można zatem sformułować trzy podstawowe wnioski:

  1. Cyberbezpieczeństwo to element ochrony pacjenta – odpowiednie zabezpieczenia prawne i techniczne stanowią warunek poszanowania jego prawa do prywatności oraz prawa do opieki zdrowotnej bez zakłóceń.
  2. Odpowiedzialność spoczywa na kierownictwie placówek – dyrektorzy szpitali i osoby zarządzające muszą traktować bezpieczeństwo teleinformatyczne jako priorytet zarządczy, na równi z jakością świadczeń medycznych.
  3. Regulacje będą coraz bardziej restrykcyjne – proces implementacji NIS2 oraz rozwój praktyki organów nadzorczych sprawią, że standardy ochrony danych i systemów w sektorze medycznym będą systematycznie zaostrzane.

Ostatecznie, tylko połączenie działań prawnych, technicznych i organizacyjnych może zapewnić, że sektor ochrony zdrowia będzie odporny na zagrożenia cybernetyczne, a prawa pacjentów – właściwie chronione.

W obliczu rosnącego ryzyka cyberataków na placówki medyczne niezwykle istotne jest nie tylko wdrożenie odpowiednich zabezpieczeń technicznych, lecz także przygotowanie się na ich konsekwencje prawne. Jeżeli Twoja instytucja zmaga się z problemem naruszenia danych pacjentów, ataku typu ransomware lub potrzebuje wsparcia w zakresie zgodności z RODO i ustawą o krajowym systemie cyberbezpieczeństwa, warto skonsultować się z profesjonalistami. Kancelaria Adwokaci Warszawa oferuje kompleksową pomoc prawną – od doradztwa prewencyjnego i audytów zgodności, po reprezentację w postępowaniach administracyjnych i cywilnych. Skontaktuj się z nami, aby zabezpieczyć interesy swojej placówki i ochronić prawa pacjentów.

Autor: Bruno Antoni Ewertyński

Korekta: ChatGPT

Grafkia: ChatGPT