Rozsáhlý únik zdravotních a administrativních údajů přibližně 15 milionů pacientů ve Francii představuje závažný incident z hlediska práva ochrany osobních údajů. Podle dostupných informací pocházela data ze softwarového systému využívaného přibližně 1 500 ambulancemi, přičemž u přibližně 164 000 pacientů unikly také citlivé lékařské poznámky, které mohly obsahovat informace o zdravotním stavu nebo jiné zvláštní kategorie osobních údajů.
Takto rozsáhlé porušení zabezpečení osobních údajů vyvolává otázky zejména ve třech rovinách:
kvalifikace incidentu jako porušení ochrany osobních údajů podle GDPR,
splnění oznamovacích povinností podle článků 33 a 34 GDPR,
odpovědnosti za škodu podle článku 82 GDPR ve světle judikatury Soudního dvora Evropské unie.
Porušení zabezpečení osobních údajů podle článku 4 odst. 12 GDPR
Podle článku 4 odst. 12 nařízení GDPR se porušením zabezpečení osobních údajů rozumí: „porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.“
Hackerský útok vedoucí k neoprávněnému získání databáze pacientů tedy jednoznačně představuje porušení zabezpečení osobních údajů ve smyslu GDPR.
Zvláštní význam má skutečnost, že incident se týká údajů o zdravotním stavu, které představují zvláštní kategorii osobních údajů podle článku 9 odst. 1 GDPR. Tyto údaje požívají zvýšené ochrany, neboť jejich zpracování může mít zásadní dopady na soukromí a důstojnost dotčených osob.
Recitál 85 GDPR výslovně uvádí, že porušení ochrany osobních údajů může vést například k:
ztrátě kontroly nad osobními údaji,
diskriminaci,
krádeži identity nebo podvodu,
finanční ztrátě,
poškození pověsti,
nebo porušení důvěrnosti údajů chráněných profesním tajemstvím.
V případě zdravotnických údajů je přitom riziko takových dopadů obzvláště vysoké.
Povinnost oznámit porušení dozorovému úřadu (článek 33 GDPR)
Podle článku 33 odst. 1 GDPR je správce povinen oznámit porušení zabezpečení osobních údajů příslušnému dozorovému úřadu „bez zbytečného odkladu, a je-li to možné, nejpozději do 72 hodin poté, co se o něm dozvěděl“.
Ve Francii je příslušným dozorovým orgánem Commission nationale de l'informatique et des libertés (CNIL).
Oznámení musí podle článku 33 odst. 3 GDPR obsahovat zejména:
povahu porušení,
kategorie a přibližný počet dotčených osob,
kategorie a počet dotčených záznamů,
pravděpodobné důsledky porušení,
přijatá nebo navrhovaná opatření k nápravě situace.
Pokud nejsou všechny informace k dispozici do 72 hodin, může správce podle článku 33 odst. 4 GDPR poskytnout informace postupně, aniž by tím porušil svou oznamovací povinnost.
Povinnost informovat dotčené osoby (článek 34 GDPR)
Podle článku 34 odst. 1 GDPR musí správce informovat dotčené osoby bez zbytečného odkladu, pokud je pravděpodobné, že porušení zabezpečení osobních údajů povede k vysokému riziku pro jejich práva a svobody.
Při úniku zdravotnických údajů je tato podmínka zpravidla splněna, protože jde o zvláštní kategorii osobních údajů a jejich zveřejnění může mít závažné důsledky pro soukromý a profesní život jednotlivce.
Informace poskytnuté dotčeným osobám musí podle článku 34 odst. 2 GDPR obsahovat zejména:
popis povahy porušení,
kontaktní údaje pověřence pro ochranu osobních údajů (DPO),
pravděpodobné důsledky incidentu,
opatření přijatá ke zmírnění jeho dopadů.
Povinnost zavést odpovídající bezpečnostní opatření (článek 32 GDPR)
Správci a zpracovatelé jsou podle článku 32 GDPR povinni přijmout vhodná technická a organizační opatření, aby zajistili odpovídající úroveň zabezpečení osobních údajů.
Tato opatření mohou zahrnovat například:
pseudonymizaci a šifrování údajů,
schopnost zajistit trvalou důvěrnost, integritu a dostupnost systémů,
schopnost obnovit dostupnost údajů v případě incidentu,
pravidelné testování a hodnocení účinnosti bezpečnostních opatření.
Pokud by se prokázalo, že zdravotnický software nebo infrastruktura nebyly zabezpečeny přiměřeným způsobem, mohlo by jít o porušení článku 32 GDPR, které patří mezi nejčastější důvody pro ukládání vysokých správních pokut.
Odpovědnost za škodu podle článku 82 GDPR
Podle článku 82 odst. 1 GDPR:
„každá osoba, která utrpěla majetkovou nebo nemajetkovou újmu v důsledku porušení tohoto nařízení, má právo obdržet od správce nebo zpracovatele náhradu za utrpěnou škodu“.
Význam tohoto ustanovení byl v posledních letech upřesněn judikaturou SDEU.
Rozsudek ve věci C‑300/21 Österreichische Post
SDEU v tomto rozsudku konstatoval, že:
samotné porušení GDPR automaticky nezakládá nárok na náhradu škody,
poškozený musí prokázat skutečnou újmu,
újma může být nemajetkové povahy, například psychická újma nebo ztráta kontroly nad osobními údaji.
Rozsudek ve věci C‑340/21 Natsionalna agentsia za prihodite
V této věci týkající se hackerského útoku na bulharskou daňovou správu Soudní dvůr EU zdůraznil, že:
samotný fakt, že došlo k kybernetickému útoku, neznamená automaticky nedostatečná bezpečnostní opatření,
správce však musí prokázat, že přijal všechna vhodná technická a organizační opatření podle článku 32 GDPR.
Tato judikatura je zvlášť relevantní právě pro případy masivních úniků dat způsobených hackerskými útoky.
Správní sankce podle článku 83 GDPR
V případě porušení povinností může dozorový orgán uložit správní pokutu podle článku 83 GDPR.
U nejzávažnějších porušení může pokuta dosáhnout až:
20 milionů eur, nebo
4 % celosvětového ročního obratu podniku.
Při rozhodování o výši sankce se zohledňuje zejména:
povaha, závažnost a délka trvání porušení,
počet dotčených osob,
úroveň způsobené škody,
míra spolupráce s dozorovým orgánem,
přijatá nápravná opatření.
Závěr
Masivní únik zdravotních údajů ve Francii představuje potenciálně jedno z nejzávažnějších porušení ochrany osobních údajů, jaké může v sektoru zdravotnictví nastat. Vzhledem k povaze dotčených údajů bude rozhodující zejména:
zda správci a zpracovatelé splnili povinnosti podle článků 32, 33 a 34 GDPR,
zda byla zavedena odpovídající bezpečnostní opatření,
a zda dotčeným osobám vznikla majetková nebo nemajetková újma ve smyslu článku 82 GDPR.
Vývoj tohoto případu může být významný také z hlediska dalšího vývoje judikatury a praxe v oblasti odpovědnosti za masivní úniky osobních údajů v Evropské unii.
