Józef Kielar: Czy w okresie pandemii dane pacjentów przechowywane w systemach informatycznych są bezpieczne?

Krzysztof Marcin Zakrzewski: Rozwój pandemii SARS-CoV-2 implikuje  zmianę dotychczasowych reguł zachowań społecznych, a jednocześnie stanowi okres dynamicznego rozwoju rozwiązań informatycznych i teleinformatycznych. W szczególności obserwujemy ten wzrost w medycynie i zdrowiu publicznym. Coraz powszechniej stosuje się rozwiązania zdalne, które jednocześnie stwarzają różnego typu zagrożenia. Jednym z nich jest kwestia bezpieczeństwa danych medycznych przechowywanych w systemach informatycznych. Przykładem tego może być system EWP. Jego nazwa pochodzi od sformułowania: Ewidencja Wjazdu do Polski. Został stworzony (jak wskazał dyrektor Centrum e-Zdrowia) w zaledwie jeden weekend. Początkowym zamierzeniem było gromadzenie przez Straż Graniczną informacji na temat danych adresowych i kontaktowych osób powracających do kraju z zagranicy, objętych obowiązkową kwarantanną lub izolacją. Szybko okazało się, że powstała potrzeba gromadzenia także m.in. danych osób podlegających kwarantannie i izolacji w warunkach domowych oraz tych w stosunku do których podjęto decyzję o wykonanie testu diagnostycznego w kierunku SARS-CoV-2, a także osób zakażonych tym wirusem.

Na podstawie jakich przepisów były zbierane te dane ?

Pierwotnie podstawą prawną zbierania danych był par. 2 rozporządzenia Rady Ministrów z 31 marca 2020 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz. U. z 2020 r. poz. 566). Obecnie jest to rozporządzenie z 9 października 2020 r. (Dz. U. z 2020 r. poz. 1758 z późn. zm.) – zwane dalej rozporządzeniem.

 


Kto jest administratorem danych w systemie EWP ?

W par. 2 ust. 5 wspomnianego rozporządzenia wskazane jest, że ich administratorem jest minister właściwy do spraw zdrowia. Dane zawarte w systemie są udostępniane, zgodnie z ust. 7, wielu podmiotom publicznym. Otrzymuje je m.in. sanepid, NFZ, ZUS, KRUS, Państwowy Zakład Higieny, wojewodowie, policja, ABW, CBA, itd. Narodowy Fundusz Zdrowia może udostępnić dalej swoje dane dotyczące osoby poddanej obowiązkowej kwarantannie lub izolacji świadczeniodawcy podstawowej opieki zdrowotnej. Podmioty te uzupełniają lub poprawiają dane przetwarzane w systemach EWP w zakresie danych, które przekazują do tego systemu, lub do których nadano dostęp w systemie umożliwiający edytowanie.

Czytaj: Urzędnik pracuje z domu - bywa, że na bakier z RODO>>
 

Czy podmioty wykonujące testy stwierdzające lub wykluczające SARS-CoV-2, także mają do nich dostęp?

Oczywiście. Dane osób, co do których podjęto decyzję o wykonaniu testu diagnostycznego, są także udostępniane podmiotom odpowiedzialnym za wykonanie tych testów. Obowiązek wprowadzenia danych do systemu mają także laboratoria realizujące zlecenia, w tym zlecenia prywatne, jeżeli uzyskano wynik dodatni testu.

Czytaj w LEX: Dokumentowanie kwarantanny i izolacji do wypłaty świadczeń w razie choroby i opieki >

Czy przepisy dotyczące EWP są zgodne z regułami RODO?

Są bardzo poważne wątpliwości na temat zgodności prowadzenia danych osobowych w systemie EWP z przepisami RODO. Dotyczy to w szczególności roli administratora danych osobowych (ADO), podmiotu przetwarzającego (procesora), oraz danych udostępnionych podmiotowi trzeciemu.

Kim jest ów tajemniczy administrator danych?

Jest to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma realny wpływ na to, co dzieje się z nimi dzieje. Oprócz konieczności posiadania podstawy prawnej przetwarzania danych ADO musi wypełniać wiele różnych obowiązków,  np. wymóg informacyjny, realizację praw osób, których dane dotyczą, wdrożenie odpowiednich środków bezpieczeństwa oraz zgłaszanie wszelkich naruszeń.

Jaką rolę pełni tak zwany procesor?

Jest to podmiot, który przetwarza dane osobowe wyłącznie w zakresie i celu określonym przez administratora danych. Jego prawa i obowiązki określać powinna umowa przetwarzania danych. Procesor nie zajmuje się kwestią przesłanek legalizujących, ponieważ właśnie umowa jest dla niego podstawą prawną. Ponieważ zgodnie z par 2 ust. 8 rozporządzenia podmioty wymienione w par. 2 ust. 5, 7 i 9 uzupełniają lub poprawiają dane również bezpośrednio
w systemie EWP, a więc dla których administratorem danych jest minister zdrowia, należy uznać, iż w tym przypadku przetwarzają te dane w jego imieniu. Podmioty te są zatem podmiotami przetwarzającymi w rozumieniu art. 4 pkt 8 RODO.  Podmiot przetwarzający może przetwarzać powierzone dane wyłącznie na podstawie umowy lub innego instrumentu prawnego, mającego formę pisemną (w tym elektroniczną). Dane w systemie EWP są zaś edytowane przez wiele podmiotów, w tym tzw. punkty wymazowe drive-thru.  Brak jest informacji, czy minister zdrowia zawiera z każdym takim podmiotem umowę powierzenia przetwarzania danych, natomiast z pewnością taka umowa, ani inny instrument prawny nie zostały przedstawione do zaakceptowania (choć powinny) części podmiotom prowadzącym punkty wymazowe. Taką praktykę można uznać za naruszenie przepisów RODO. Z kolei udostępnianie danych osobowych jest szczególną formą przetwarzania – występuje tylko w oparciu o przepis prawny, zaś skutkuje utratą kontroli ADO nad dalszym losem tych danych. Administrator przestaje decydować o celach i sposobach przetwarzania. Odpowiedzialnym za to będzie zaś podmiot, który otrzyma te dane i staje się w tym momencie ich administratorem. Musi on też pamiętać o właściwym dopełnieniu obowiązku informacyjnego.

Czytaj: Sześć trudnych kroków do ochrony danych po wyroku Schrems II>>

Jak wygląda lista zleceń w systemie EWP ?

Po zalogowaniu do systemu wyświetla się lista osób, którym zlecono test, co najmniej dla obszaru województwa. Zawiera ona dane osobowe w zakresie: ID zlecenia, ID osoby, źródło zlecenia, imię i nazwisko, numer PESEL, numer dokumentu, numer telefonu, typ testu, status zlecenia, adres: numer lokalu, ulicę, kod pocztowy, miejscowość, powiat, województwo; zawód medyczny, typ kwarantanny. Ponieważ dane są wyświetlane na jednej liście, nie jest możliwe ustalenie, czy dostęp użytkownika systemu do danych określonego pacjenta był uprawniony, tj. nastąpił w celu wprowadzenia danych do systemu dotyczących przeprowadzonego testu. Możliwe jest w związku z tym nielegalne pozyskanie przez użytkownika systemu wymienionych danych poprzez np. sfotografowanie ekranu, wykonanie print screenów, które w takim przypadku wydaje się nie do wykrycia.

 


Czy jest to tylko udostępnianie danych, czy powierzenie przetwarzania ?

Pomimo wskazania w rozporządzeniu, że dane te są udostępniane, to z punktu widzenia formalnego nie mamy z tym do czynienia, ale z klasycznym powierzeniem przetwarzania bez zachowania procedur RODO. Minister zdrowia nie traci bowiem kontroli nad danymi zawartymi w systemie EWP, są wydawane loginy dostępowe i przydzielany dostęp. Brak jest zawartych umów powierzenia przetwarzania informacji przez procesorów, nie został zrealizowany obowiązek informacyjny. Istnieje też duże ryzyko wycieku danych. Rozważając teoretycznie, na podstawie art. 23 RODO istnieje wprawdzie możliwość ograniczenia obowiązków i praw przewidzianych tym aktem, z zastrzeżeniem, iż ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnym celom leżącym w ogólnym interesie publicznym Unii Europejskiej lub państwa członkowskiego, w tym zdrowiu publicznemu i zabezpieczeniu społecznemu. Musi to jednak wynikać bezpośrednio z aktu prawnego.

Konkluzją jest konieczność niezwłocznego przekonstruowania architektury systemu EWP, w kontekście przekazywania danych dotyczących zleceń na wykonanie wymazu SARS-CoV-2 (nie może to być lista zleceń) oraz pilna nowelizacja przepisów rozporządzenia w zakresie uwzględnienia obowiązków wynikających z RODO lub powszechne zawieranie umów powierzenia i realizowanie obowiązku informacyjnego przez ministra zdrowia.