Ujawnienie danych lekarzy w rejestrze RPWDL 2.0 – wypadek czy wyciek?

29 czerwca 2025 r. wprowadzono nową wersję Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL 2.0). Publiczny dostęp do „ksiąg rejestrowych” objął nazwiska, uprawnienia i—niespodziewanie—numery telefonów i adresy e‑mail lekarzy, pielęgniarek i podmiotów leczniczych.

Lekarze alarmują…

W ciągu kilku dni redakcja Niebezpiecznika otrzymała wiele zgłoszeń od oburzonych praktyków, którzy twierdzili, iż ich prywatne dane zostały upublicznione bez zgody.

„…bez zgody użytkowników, publicznie zostały udostępnione dane kontaktowe – w tym numery telefonów oraz adresy e‑mail to wysoce nieodpowiedzialne” – pisali lekarze, obawiając się nadużyć .

Czy to był wyciek?

Centrum e‑Zdrowia (CeZ), zarządzające rejestrem, wyjaśniło, iż dane znajdowały się tam zgodnie z prawem – rubryki 9 i 10 ustawy o działalności leczniczej dopuszczają publikację kontaktów służbowych. Problem tkwi w tym, iż niektórzy lekarze podali swoje numery prywatne, traktując je nieświadomie jako służbowe. Na to wskazywał poniedziałkowy komunikat CeZ z 7 lipca .

Działania naprawcze

W reakcji na liczne zgłoszenia CeZ tymczasowo zablokowało widoczność numerów telefonu i adresów e-mail w RPWDL .

Co mówią prawo i RODO?

Zgodnie z prawem (art. 106 ustawy o działalności leczniczej) dane kontaktowe podlegają publikacji, jeżeli są związane z działalnością leczniczą. jeżeli lekarz poda cyfry prywatne – choćby jeżeli to jego „prywatny” numer, ale stosowany w pracy – klasyfikuje się on jako dane publicznie dostępne
Co jednak budzi wątpliwości, to informacja i przygotowanie użytkowników do migracji: wielu nie wiedziało, iż ich dane zaczną automatycznie „świecić” w nowym rejestrze.

Szerszy problem publicznych rejestrów

To nie pierwszy przypadek, gdy rejestry zawodowe stają się źródłem danych prywatnych. W 2023 r. podczas aktualizacji rejestru diagnostów laboratoryjnych również ujawniono PESEL i inne dane osobowe W rejestrach prawników też zdarzają się podobne niedociągnięcia – jak choćby prywatny numer, który znalazł się w zbiorczym KRS‑ie.

Dlaczego to ważne?

• Bezpieczeństwo personelu medycznego: rosną zagrożenia związane z atakami na lekarzy (telefon, stalkowanie). Publiczny dostęp do ich prywatnych numerów może ułatwić nadużycia lub pogorszyć sytuację bezpieczeństwa.

• Zaufanie do systemu: systemy publiczne muszą być transparentne, ale i dobrze zakomunikowane, by użytkownicy wiedzieli, co się dzieje.

• Responsywność urzędów: szybka reakcja CeZ (blokada danych) była dobra, ale lepsza byłaby szybka i jasna informacja dla użytkowników.

Wnioski i rekomendacje

1. Dla lekarzy i pielęgniarek

   • Sprawdźcie swoje dane w RPWDL – czy nr telefonu i e‑mail są służbowe, aktualne i zgodne z profilem działalności.

   • Jeśli nie – poprawcie je jak najszybciej, by uniknąć ujawnienia prywatnych informacji.

2. Dla Centrum e‑Zdrowia i urzędów

   • Popracujcie nad komunikacją – informowanie o tym, co się zmienia i jak będzie wyglądać aktualizacja, to podstawa.

   • Rozważcie stały monitoring danych w rejestrze i automatyczne alerty dla użytkowników o zmianach wykraczających poza zwyczajową praktykę.

3. Dla ogółu systemów publicznych

   • Stwórzmy procedury less może się zdarzyć, iż migracja przeoczy coś ważnego.

   • Wzmocnijmy bezpieczeństwo i ochronę prywatności – szczególnie gdy mówimy o danych dotyczących życia zawodowego i prywatnego.

To nie był „wyciek” w klasycznym sensie – dane były w rejestrze legalnie, ale ich obecność stała się gwałtownym zaskoczeniem dla wielu lekarzy. Pokazuje to, iż techniczne zmiany, choćby uzasadnione, muszą iść w parze z dobrym przygotowaniem użytkowników. Publiczne rejestry zawodowe nie tylko muszą chronić prywatność – muszą też budować zaufanie. Bardzo wiele zależy od tego, jak te strony są komunikowane.