Ktoś musiał uznać, że w moim życiu brakuje absurdu, bo mimo że nie byłam ostatnio w ciąży, pewnego październikowego ranka Internetowe Konto Pacjenta poinformowało mnie, że zostałam matką Janka
Wpisałam mój login i hasło. Olga Katarzyna, witaj na Internetowym Koncie Pacjenta, powiedział system. Przeszłam do zakładki z uprawnieniami, chciałam sprawdzić, czy mój starszy syn ma kwarantannę.
Odwiedź konto dziecka, podpowiedział system, a potem na górze strony wyświetlił mi dziecko. Zupełnie mi nieznane, jakiegoś chłopca. Zjechałam niżej, moi dwaj synowie widnieli w sekcji „Uprawnienia nadane przez opiekuna”. O, mam troje dzieci, pomyślałam i nawet mnie to rozbawiło. Sprawdzę jutro, pewnie się odwiesi, uznałam i wylogowałam się.
Jutro zamieniło się w kilka dni, ale kiedy znowu zajrzałam do swojego konta pacjenta, miałam nadal trzech synów: moich dwóch oraz chłopca o nieznanym mi imieniu i nazwisku.
Chyba wtedy po raz pierwszy zamrugała mi w głowie lampka z napisem RODO. Tydzień później świeciła już światłem ciągłym, bo to nieznane mi dziecko nie było już tymczasowym błędem systemu.
Próbowałam zgłosić sprawę przez formularz kontaktowy na stronie, ale trafiłam na bota, nie rozumiał, co piszę. Telefoniczna Informacja Pacjenta była przeciążona.
Przez kilka kolejnych dni patrzyłam na litery, które składały się na imię i nazwisko mojego nie mojego syna.
Janek, tak go nazwę na potrzeby tego tekstu, to w końcu moje dziecko, więc raczej mam prawo. Jak wygląda? Blondynek, a może rudy? Szczupły? Wysoki? Początkowe cyfry peselu mi tego nie powiedzą.
Czy powinnam sprawdzić jego historię leczenia, wizyty na SOR-ze? Głos dziennikarki i głos matki szeptały mi: tak. Może to dziecko z dysfunkcyjnej rodziny? A jeśli ktoś mu robi krzywdę?
Zaraz jednak odzywał się głos moralny. Przecież nie mam prawa tak po prostu oglądać sobie czyichś danych.
Zgodnie z rozporządzeniem o RODO, które zaczęłam pospiesznie studiować, dane osobowe to informacje, dzięki którym można zidentyfikować konkretną osobę. Takie właśnie dane są w Internetowym Koncie Pacjenta, takie właśnie dane mojego nie mojego syna mogłabym sprawdzić. Miałam przecież dostęp nie tylko do PESEL-u obcego dziecka, ale też do jego bardziej wrażliwych informacji: do adresu przychodni, listy wizyt, recept, imienia i nazwiska drugiego opiekuna – a właściwie opiekunki. Oraz jej PESEL-u. Mogłabym wiele zrobić. Mogłabym Jankowi zmienić przychodnię, lekarza prowadzącego, mogłabym nawet wpisać inną osobę jako opiekuna uprawnionego do informacji o stanie zdrowia chłopca.
Po kilku dniach poszukiwań okazało się, że z drugą matką mojego nie mojego dziecka łączą mnie social media – należymy do jednej facebookowej grupy kobiet, które czasem spotykają się w realu, wymieniają się ubraniami i rozmawiają. Może nawet minęłyśmy się na jednej z takich wymianek. Czy to wtedy zostałyśmy matkami Janka? Odezwałam się do niej. Wspólnie analizowałyśmy potencjalne źródła błędu.
– Muszę pracować, ale po prostu nie mogę przestać tego kminić – napisała mi druga matka Janka. – Co to jest za total! Ciekawe, jak to się mogło stać. Coś z przychodni? Ze szpitala? Zagadka. Jedyne co mi przychodzi do głowy, to że nasi synowie mają podobne PESEL-e.
A może ZUS, może inne pomyłki. Nie doszłyśmy do żadnych sensownych wniosków, prócz tego, że Polska to mindfuck. I że musimy działać.
– Napisałam im srogim tonem, że jak to, obca baba zna historię leczenia mojego dziecka! Gdzie RODO! Prawa do prywatności! Skandal! – dała mi znać mama Janka.
Centrum eZdrowia, odbiorca tej wiadomości, poprosił ją o przesłanie rozmaitych dokumentów, aktu urodzenia dziecka, wypełnionego wniosku z załącznika, wniosek miał zostać wydrukowany i odręcznie podpisany, a potem zeskanowany. W miejscu „z uwagi na...” centrum poleciło wpisać „niepożądany dostęp do Internetowego Konta Pacjenta mojego dziecka osobie zupełnie nam obcej”.
Trochę mi się zrobiło przykro, bo nie jesteśmy już takie obce, drogie centrum. Mamy wspólne dziecko i wspólne sprawy.
Ja spróbowałam trochę bardziej koncyliacyjnego tonu, jakoś spodobało mi się, że polski Janek ma dwie matki.
„Szanowni Państwo – napisałam – w moim koncie pacjenta jestem oznaczona jako opiekunka dziecka XY, nie jest to moje dziecko ani nawet go nie znam, natomiast mogę oglądać jego historię leczenia i inne dane. Będę wdzięczna za informacje, jakiego rodzaju jest to błąd i jak można to naprawić. Nie powinnam jako osoba obca mieć dostępu do danych cudzego dziecka”.
Nie czekałam na odpowiedź zbyt długo, w nawiązaniu do zgłoszenia poinformowano mnie, że „do właściwej weryfikacji oprócz Pani imienia i nazwiska niezbędny jest też numer PESEL. Ponadto potrzebny jest numer PESEL dziecka, które jest niewłaściwie podpięte pod Pani konto IKP. Z wyrazami szacunku, podpis” – Nie jestem pewna, czy tutaj ujawniać imię i nazwisko osoby, która się podpisała, może to byłoby już moje kolejne naruszenie ustawy o RODO, recydywa. Niezależnie od głosu etyki musiałam wejść na profil Janka i sprawdzić jego dokładny PESEL – sam inspektor ochrony danych nakazał mi to zrobić.
A więc tyle musimy podpisywać zgód na przetwarzanie danych, tyle załączników, tyle systemów musiało zostać wdrożonych, tyle osób dostało pracę w systemie, tymczasem w gruncie rzeczy całe to RODO to świetny przykład paragrafu 22.
Przypisanie dziecku drugiej matki jest łatwiejsze niż jej odpisanie. Pomyłka łatwiejsza niż jej naprawienie. Mimo że odesłałam potrzebne informacje, w moim koncie pacjenta niewiele się zmieniło. Ktoś tam musiał coś jednak kombinować. Prawdziwa matka Janka przestała być jego matką. Dostała wiadomość: „Ze względów bezpieczeństwa, Twoje konto zostało tymczasowo zablokowane. Twoje konto zostanie odblokowane w dniu 2021-11-08”. Z niewiadomych przyczyn 9 listopada to ja stałam się jedyną opiekunką Janka – mam stosowne screeny. Potem system się poddał, bo od 10 listopada na liście opiekunów znowu figurujemy obie. Janek ma dwie matki.
– Mamy tu do czynienia z dwoma problemami. Po pierwsze, nieuprawnione przypisanie obcej osoby do czyjegoś konta. To zarówno dostęp do danych, w tym zdrowotnych, a więc bardzo wrażliwych, jak i możliwość ich wykorzystania np. do zmiany lekarza czy wydania karty EKUZ – zauważa dr Piotr Pieńkowski, adiunkt w Instytucie Socjologii Uniwersytetu Wrocławskiego, który naukowo zajmuje się socjologią bezpieczeństwa i socjologią ryzyka. – Regularnie słyszymy o wyciekach danych z bazy sklepów czy różnych instytucji, przy czym z usług portalu społecznościowego czy sklepu mogę po prostu zrezygnować, a z serwisu pacjent.gov.pl już nie. Drugi problem, w moim przekonaniu ważniejszy, to brak reakcji na zgłoszenie problemu. Pomyłki zdarzają się nawet gigantom branży IT, ważne jednak by zostawić przestrzeń na działanie wychodzące poza ten system, mogące naprawić szkody. Im bardziej zautomatyzowane usługi, tym są tańsze i efektywniejsze, ale też tym mniejsza jest możliwość sprawstwa w momencie, gdy system zawodzi. Doświadczył tego każdy, kto dzwonił na dowolną infolinię z problemem, przebijając się przez kolejne bramki selekcjonujące. Jest to tanie rozwiązanie od strony usługodawcy, bo wykorzystuje niepłatny czas, de facto pracę, klienta.
Jest wiele rozporządzeń dotyczących tego, w jaki sposób powinny być zbierane dane, jakie warunki muszą spełnić instytucje i organizacje gromadzące i przetwarzające dane.
A jednak nie mogę nie zadać tego pytania. Jak bardzo szczelny jest ten system? Ile takich incydentów można sobie przypadkiem odkryć w kontach pacjenta, platformach ZUS-u i innych?
Kiedy się szuka przykładów incydentów naruszania ustawy o RODO, pojawiają się zbliżone przypadki: ktoś czyjeś dane uczynił publicznymi, ktoś umieścił prywatne adresy mailowe na swojej stronie lub nie ukrył ich w korespondencji. Kurier jednego z banków zgubił dokumenty, wprawdzie zainteresowani zostali poinformowani, jednak nienależycie – bank nie zawiadomił organu nadzorczego, Urzędu Ochrony Danych Osobowych. I może nikt nie poniósł szkody, ale ponieść mógł, dlatego bank musiał zapłacić karę, ponad 350 tysięcy złotych. Bo pozwy o naruszenie ustawy o RODO nie muszą się wiązać z zaistniałą szkodą, ale również ze szkodą potencjalną, nie tylko majątkową.
Każda instytucja, w której doszło do wycieku danych, powinna o nim poinformować osoby zainteresowane, musi to zrobić w określonym czasie. Bo kary, naruszenia dotyczą przedsiębiorstw i instytucji. A my? Dwie obce kobiety, matki Janka? Nasz incydent RODO jest bardzo prywatny. Myśmy same się poinformowały o wycieku, potem zawiadomiłyśmy instytucję.
– To akurat przykład współpracy społecznej, ale to na administratorze ciążą określone obowiązki – tłumaczy Mirosław Wróblewski, dyrektor Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego w Biurze Rzecznika Praw Obywatelskich. – Samo naruszenie daje podstawy do złożenia skargi, Urząd Ochrony Danych Osobowych (UODO) mógłby nałożyć karę. Ale brak reakcji jest naruszeniem prawa. Być może to błąd systemu, ale administrator powinien nie tylko go usunąć. Jest też zobowiązany ocenić, czy to może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Tutaj akurat nie ma wątpliwości, to są dane szczególne, o stanie zdrowia. W takiej sytuacji administrator ma 72 godziny na złożenie zawiadomienia do Prezesa UODO.
Administrator administratorem, ale martwi mnie fraza „nieuprawniony dostęp” z maila Centrum eZdrowia. Czy - skoro weszłam w posiadanie danych - coś mi z tego powodu grozi?
– Gdyby pani na przykład rozpowszechniała dane pozyskane przypadkowo, wtedy tak, ale sam fakt wejścia w ich posiadanie nie powoduje takich następstw – uspokaja mnie Mirosław Wróblewski. – Analogiczna może być sytuacja z mailem, w którym są adresy wielu osób. Chyba że pani wzięłaby pożyczkę. Albo tamta osoba na pani dane, skoro może zobaczyć pani pesel.
Tak, mama Janka również ma mój PESEL, imię i nazwisko, ale nie widzi danych moich dzieci, za to ja mogę oglądać jej dane, taty dziecka i samego Janka, w tym dane wrażliwe.
Już prawie koniec grudnia. Wprawdzie na pytanie, ile mam dzieci, odpowiadam wciąż: dwoje, ale zaraz mam wyrzuty sumienia, wyrodna, no troje przecież, od prawie trzech miesięcy. Myślę o tym już właściwie tylko z rezygnacją. Mama Janka bardziej z irytacją. – Wkurza mnie, że błąd wystąpił gdzieś po stronie urzędu, a my mamy stawać na rzęsach, żeby to odkręcić – pisze mi. – Nawet jeśli to któryś pracodawca coś źle zgłosił do ZUS-u, to nadal ze strony urzędu nie ma najmniejszego zainteresowania, żeby to wytropić czy naprawić, same musimy o to zabiegać.
– W czasach tekturowych teczek wystarczyłoby przełożyć akta dziecka z powrotem na miejsce do właściwej szuflady i sprawa byłaby zamknięta – komentuje dr Piotr Pieńkowski. – Dziś trudno nawet byłoby znaleźć osobę odpowiedzialną za taką wirtualną operację, bo z definicji nie powinna ona w systemie wystąpić.
Zaraz Wigilia. Moje obce dziecko ma więc dwie matki, w Polsce, w kraju, w którym podstawową komórką rodzicielską są kobieta i mężczyzna. Jesteśmy miłą patchworkową rodziną. Podoba mi się ta myśl.
Reporterka i redaktorka, felietonistka miesięcznika „Znak”, współpracowniczka Instytutu Reportażu. Autorka książek reporterskich: „Nie hańbi” o polskim rynku pracy (2017; nominacje do Nagrody Literackiej Nike, do Nagrody im. Ryszarda Kapuścińskiego za Reportaż Literacki i do Nagrody Newsweeka im. Teresy Torańskiej), „Nie zdążę” o kryzysie polskiego transportu publicznego (2019; Reporterska Książka Roku Grand Press 2020) oraz reporterskiego eseju biograficznego „Krahelska. Krahelskie” (2021).
Reporterka i redaktorka, felietonistka miesięcznika „Znak”, współpracowniczka Instytutu Reportażu. Autorka książek reporterskich: „Nie hańbi” o polskim rynku pracy (2017; nominacje do Nagrody Literackiej Nike, do Nagrody im. Ryszarda Kapuścińskiego za Reportaż Literacki i do Nagrody Newsweeka im. Teresy Torańskiej), „Nie zdążę” o kryzysie polskiego transportu publicznego (2019; Reporterska Książka Roku Grand Press 2020) oraz reporterskiego eseju biograficznego „Krahelska. Krahelskie” (2021).
Komentarze