RODO w polskim gabinecie stomatologicznym jest często traktowane formalistycznie — „podpisaliśmy zgody, zatrudniliśmy IOD, formularz wpisany jest do procedur”. Ten poziom zgodności wystarcza dla uniknięcia podstawowych kar, ale nie chroni gabinetu w sytuacji rzeczywistego incydentu — naruszenia danych, kradzieży komputera z bazą pacjentów, ataku ransomware na system gabinetowy.
Co pojawia się w praktyce
Trzy konkretne incydenty z polskiego sektora medycznego, których konsekwencje warto znać. Pierwszy — wyciek danych z systemu gabinetowego po ataku ransomware (2022 rok, gabinet w Krakowie). Wykradzione 3000 rekordów pacjentów, kary UODO 240 tysięcy złotych plus pozwy cywilne.
Drugi — kradzież laptopa rejestratorki z bazą pacjentów na lokalnym dysku (2023, gabinet w Warszawie). Mimo formalnej zgodności RODO — brak szyfrowania dysku był uznany za rażące zaniedbanie. Kara 95 tysięcy złotych.
Trzeci — niewłaściwa procedura usuwania danych pacjenta na żądanie (2024). Pacjent zażądał usunięcia, gabinet usunął z systemu głównego, ale dane pozostały w backupach. Kara 45 tysięcy złotych.
Pięć kluczowych elementów rzeczywistej zgodności
- Szyfrowanie wszystkich urządzeń z danymi pacjentów. Komputery stacjonarne, laptopy, telefony służbowe. Standard BitLocker dla Windows, FileVault dla macOS. Brak szyfrowania jest klasyfikowany jako rażące zaniedbanie.
- Backupy w lokalizacji geograficznie odseparowanej. Lokalny backup na zewnętrznym dysku nie wystarcza — pożar lub kradzież eliminuje również backup. Cloud backup w polskim datacenter (np. Polcom, Atman) jest racjonalnym standardem.
- Procedura usuwania danych z uwzględnieniem backupów. Żądanie usunięcia musi obejmować wszystkie kopie danych — system główny, backupy, ewentualne ekstrakty dla biura księgowego.
- Audytowane logi dostępu. System powinien logować każdy dostęp do danych pacjenta — kto, kiedy, jakie dane. Logi przechowywane minimum 3 lata.
- Plan reakcji na incydent. Pisemna procedura, co robić w razie wykrycia naruszenia — kogo informować, w jakim terminie, jakie zgłaszać do UODO.
Koszt rzeczywistej zgodności
Pełne wdrożenie RODO w polskim gabinecie z 2000-3000 pacjentów w bazie kosztuje typowo 25-50 tysięcy złotych jednorazowo (audyt, wdrożenie procedur, szkolenia, dodatkowe oprogramowanie) plus 800-2500 zł miesięcznie kosztów bieżących (IOD, cloud backup, monitoring).
Większość polskich gabinetów obniża te koszty 3-5 krotnie przez wybór minimum prawnego zamiast rzeczywistej zgodności. Strategia działa do momentu incydentu — który wcześniej czy później następuje w każdej praktyce.
Praktyczne wskazania
Pełna zgodność RODO nie jest tylko formalnym obowiązkiem — jest realnym zarządzaniem ryzykiem operacyjnym. Inwestycja kilkudziesięciu tysięcy złotych chroni przed potencjalnymi karami w wysokości setek tysięcy lub milionów. Stosunek korzyści do ryzyka jest jednoznacznie pozytywny.
Najgorszy moment na zaczęcie pracy nad rzeczywistą zgodnością — po wystąpieniu incydentu. Wówczas wszystkie braki w procedurach są wykazane przez UODO jako rażące zaniedbania, a kary są maksymalne.
Źródła
- Urząd Ochrony Danych Osobowych — Wytyczne dla sektora medycznego. uodo.gov.pl
Tekst oparty na praktyce gabinetowej.