Afera na polskim rynku farmaceutycznym. Są zarzuty o nadużycie danych osobowych

Ministerstwo Zdrowia, UODO, Główny inspektorat Farmaceutyczny, a także prokuratura i policja przyjrzą się sieci aptek Gemini – donosi Dziennik Gazeta Prawna. Zachodzi podejrzenie, że spółka nadużywa danych z systemu informacji medycznej.

Osią sporu jest system P1, w którym przechowywane są dane o lekach na receptę wydawanych w polskich aptekach. Mówi się, że jest największym systemem informatycznym e-usług dla obywateli w Europie Środkowo-Wschodniej. Bazując na terabajtach zgromadzonych rekordów, łatwo ustalić, z jakimi dolegliwościami zmaga się dany człowiek, a co za tym idzie sprofilować go pod kątem banków czy firm ubezpieczeniowych.

Gemini, a właściwie spółka zależna Gemini Apps, stworzyła kontrowersyjną aplikację "Recepta Gemini", która oficjalnie ma służyć do wsparcia obsługi klienta. Problem w tym, że posiłkuje się właśnie danymi z rejestru P1. Jak ustalili dziennikarze DGP, informacje pobierane są dzięki wykorzystaniu certyfikatu jednej z gdańskich aptek, a później trafiają na serwery chmur Amazona oraz Microsoftu.

Krótko mówiąc, sieć zdecydowanie nadużywa danych osobowych pacjentów. Dodatkowo, naraża ich na atak ze strony cyberprzestępców. A mówimy tu o firmie, która posiada około 200 placówek na terenie całej Polski. Tymczasem państwowy system informacji medycznej nigdy nie miał służyć do celów komercyjnych. To wszystko nie podoba się ekspertom.

– Mamy do czynienia ze złamaniem wielu przepisów odnoszących się do przestępstw komputerowych. Działanie można oceniać również jako przestępstwo ścigane z urzędu na podstawie art. 107 ustawy o ochronie danych osobowych – komentuje radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej, cytowany przez DGP.

– Dane medyczne muszą być bezwzględnie bezpieczne. A cała sytuacja pokazuje, że nawet najlepiej zabezpieczony system może zostać złamany, jeżeli pojawią się osoby uprawnione, które, wiedzione najpewniej korzyściami majątkowymi, przekażą dane zewnętrznemu podmiotowi. Taka osoba powinna zostać odpowiednio ukarana. Postępowanie powinno też objąć całą sieć aptek, aby sprawdzić, czy o sprawie wiedziało kierownictwo – dodaje mec. Lewiński.

Choć Ministerstwo Zdrowia i Naczelna Izba Lekarska według DGP ostro krytykują Gemini, zapowiadając angaż kolejnych służb, w tym UODO, spółka kategorycznie zaprzecza zarzutom.

"Wszystkie hipotetyczne twierdzenia anonimowych «niezależnych ekspertów» oraz komentarze na ich podstawie pozostałych osób zostały zbudowane na podstawie nieprawdziwych założeń i nie opisują funkcjonowania aplikacji i współpracujących z nią aptek" – czytamy w opublikowanym przez Gemini oświadczeniu. "Deklarujemy pełną współpracę z odpowiednimi organami celem wyjaśnienia wszelkich wątpliwości. Oświadczamy, że z całą stanowczością będziemy bronić dobrego imienia Gemini" – zapewnia firma.

Wyjaśnia także gorączkowo, że "nie dochodzi do udostępnienia certyfikatów apteki umożliwiających dostęp do systemu e-zdrowia (P1) podmiotom trzecim". Sprawą zajmie się prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji – kontruje DGP.