Agnieszka Pochrzęst-Motyczyńska:

25 maja br. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Kto w ochronie zdrowia musi się do niego dostosować?

Każdy podmiot przetwarzający dane osobowe, czyli w zasadzie wszyscy, zarówno duże szpitale, jaki i jednoosobowe praktyki lekarskie. Każdy podmiot wykonujący działalność leczniczą, niezależnie od formy prawnej prowadzonej działalności, struktury właścicielskiej czy uczestnictwa w systemie opieki zdrowotnej finansowanym ze środków publicznych, przetwarzając dane pacjentów, musi zadbać o ich bezpieczeństwo.

Ale jak placówki mają to zrobić?

RODO to zmiana sposobu patrzenia na dane osobowe, w tym dane wrażliwe. Obowiązująca jeszcze ustawa o ochronie danych osobowych wyznacza pewien minimalny poziom ochrony, który należy spełniać. RODO każe nam ocenić różne ryzyka związane z przetwarzaniem danych np. możliwość przedostania się ich w niepowołane ręce i odpowiednio się przed tym zabezpieczyć, uwzględniając przy tym stan wiedzy technicznej czy koszty związane z wdrożeniem. Jeżeli szpital lub przychodnia będzie twierdzić, że spełnia minimalny poziom, może się okazać to niewystarczające – musi być w stanie wykazać, że należycie chroni dane pacjentów, a stosowane zabezpieczenia są adekwatne do ryzyka związanego z przetwarzaniem informacji o pacjentach.

 

Co mają zrobić lecznice, by dane pacjentów chronić zgodnie z wymaganiami tej regulacji?

Część regulacji RODO ma charakter stosunkowo ogólny, dlatego też, by doprecyzować jego postanowienia powstał kodeks dobrych praktyk dla ochrony zdrowia. Zostanie on zatwierdzony przez Generalnego Inspektora Ochrony Danych Osobowych lub urząd, który zgodnie z projektem nowej ustawy o ochronie danych osobowych, może go zastąpić. Każdy zainteresowany będzie mógł się z kodeksem zapoznać. Będzie on dostępny bezpłatnie w wersji elektronicznej. Podmioty wykonujące działalność leczniczą zainteresowane jego stosowaniem będą mogły oficjalnie do niego przystąpić.

Od czego mają zacząć placówki ochrony zdrowia przygotowania do wdrożenia RODO?

Kodeks w obecnym kształcie składa się z czterech części, które odzwierciedlają procesy wdrażania RODO. Pierwsza część poświęcona jest podstawom przetwarzania danych osobowych. Wskazujemy w niej w szczególności w jakich celach podmioty wykonujące działalność leczniczą mogą przetwarzać dane pacjentów oraz jakie są prawne podstawy dokonywania takich operacji w prawie krajowym.

Z tej części świadczeniodawca dowie się m.in. w jakich sytuacjach może przetwarzać dane bez konieczności uzyskania zgody pacjenta, a kiedy brak zgody będzie oznaczał naruszenie przepisów i ryzyko sankcji. W tej części kodeks identyfikuje też administratora danych, co w przypadku np. indywidualnych praktyk lekarskich prowadzonych wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład może nastręczać trudności.

W tej części jest mowa o zgodzie pacjenta. Pacjent musi rozumieć na co się zgadza, komunikat musi być jasny. Czy lecznice będą musiały przygotować nowe dokumenty?

Wiele dokumentów, w tym np. umów z dostawcami, trzeba będzie zmodyfikować, aby dostosować je do nowych wymogów. Dlatego też do kodeksu będą dołączone wzory podstawowych dokumentów, które będą mogły być wykorzystane przez podmioty wykonujące działalność leczniczą np.: wzór klauzuli informacyjnej, którą podmiot medyczny będzie zobowiązany przekazać pacjentowi.

W RODO wymagania dotyczące obowiązku informacyjnego względem pacjenta związanego z  przetwarzaniem jego danych osobowych są dużo bardziej rozbudowane. Nie tylko komunikat musi zawierać dużo więcej informacji, ale RODO zwraca też szczególną uwagę na formę przekazu. Powinien być on zwięzły, przejrzysty i zrozumiały, ujęty jasnym i prostym językiem. Dzięki podaniu informacji w czytelny sposób, pacjent będzie miał jasność, co deklaruje.

Co jeśli pacjent nie mówi po polsku?

Gdy pacjent nie posługuje się językiem polskim - w miarę możliwości finansowych i organizacyjnych – szpital powinien podjąć działania w celu zapewnienia mu możliwości otrzymania informacji również w języku, którym się posługuje.

Co ma zrobić szpital, gdy chce zaprosić swojego pacjenta na badania profilaktyczne?

RODO podaje cele, w których można przetwarzać dane pacjenta w celach zdrowotnych bez konieczności uzyskania jego zgody. Tak dzieje się np.: w przypadku profilaktyki zdrowotnej, jeśli szpital chce wysłać zaproszenie na badania przesiewowe, szczepienia czy przekazać materiały edukacyjne. Taka sytuacja będzie jednak miała miejsce tylko wtedy, gdy będzie to uzasadnione stanem zdrowia pacjenta lub czynnikami ryzyka lub rokowaniami, zawartymi w dokumentacji medycznej, którą dysponuje podany podmiot leczniczy. Dzięki temu podmiot leczniczy będzie mógł informować pacjentów o świadczeniach, które są dla nich faktycznie korzystne. Jednocześnie też pacjent nie musi obawiać się zalewu różnego rodzaju komunikatów, których otrzymywania mógłby sobie nie życzyć.

Inny ważny cel, w którym podmioty wykonujące działalność leczniczą mogą przetwarzać dane pacjenta bez konieczności uzyskania jego zgody, to realizacja zadań z zakresu medycyny pracy, w tym np. przeprowadzanie badań wstępnych, okresowych czy kontrolnych pracowników. W tym zakresie pracodawca może udostępnić podmiotowi leczniczemu dane pracownika, co wynika z regulacji Kodeksu pracy.

O czym mówi druga część kodeksu?

RODO ma powszechne zastosowanie, nie uwzględnia wielu regulacji, w tym tych dotyczących sektora ochrony zdrowia. Dlatego też w kolejnej części kodeksu zestawiamy różne nowe prawa przyznane przez RODO pacjentom, jako osobom, których dane są przetwarzane, z prawami pacjenta i przepisami krajowego prawa medycznego, które wyznaczają szczególne obowiązki ciążące na podmiotach wykonujących działalność leczniczą.

Jakie nowe prawa RODO daje pacjentom?

RODO przyznaje osobom, których dane są przetwarzane, szereg nowych praw, np. możliwość żądania przeniesienia danych, czyli otrzymania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przesłania tych danych innemu administratorowi. RODO modyfikuje też zasady korzystania z już znanych praw, takich jak prawo do sprostowania danych.

W kontekście ochrony zdrowia warto zwrócić uwagę, że pacjent będzie mógł zażądać w każdym momencie niezwłocznego sprostowania danych osobowych go dotyczących, które uzna za nieprawidłowe, a które przetwarza placówka medyczna. Realizacja tego prawa prowadzić może do kwestionowania informacji odnotowanych przez lekarza w dokumentacji medycznej, a tym samym do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu w dokumentacji medycznej. Kodeks będzie precyzował, że prawo do sprostowania podlega w takich sytuacjach ograniczeniom.

Trzeci rozdział kodeksu dotyczy kwestii bezpieczeństwa.

Gdy zacznie obowiązywać RODO, każdy administrator danych będzie musiał zapewniać odpowiednie środki techniczne i organizacyjne, które będą odpowiednie do zidentyfikowanych przez niego ryzyk. Podmioty przetwarzające na dużą skalę dane medyczne będą przeprowadzać ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W praktyce oznaczać to będzie m.in. konieczność zapewnienia odpowiednich narzędzi IT i aktualnego, skutecznego oprogramowania antywirusowego. Jeśli ktoś w dalszym ciągu używać będzie dokumentacji papierowej, także musi ją w odpowiedni sposób chronić, np.: przechowywać w zamykanych szafach umiejscowionych w pomieszczeniach niedostępnych dla postronnych osób.

Placówka musi prześledzić, jak krążą dane pacjenta i gdzie są słabe punkty, w których mogłyby się one dostać w niepowołane ręce.

Dobrze jest zrobić audyt wewnętrzny i prześledzić, w jaki sposób w ramach podmiotu leczniczego przepływają dane pacjentów. Gdy idziemy np. do szpitala, swoje dane podajemy w pierwszej kolejności w rejestracji, potem są one przekazywane do lekarzowi, który zakłada dokumentację medyczną, uzupełnia ją o wyniki badań czy daje skierowanie na badania do laboratorium albo na diagnostykę obrazową. Proszę zauważyć, że kontakt z tymi danymi może mieć szereg osób w różnych miejscach. Jeżeli chcemy zapewnić należytą ochronę danych, cały ten proces trzeba dokładniej prześledzić. Umożliwi to dokładne określenie zakresu uprawnień dla każdej z osób, która otrzyma upoważnienie do przetwarzania danych oraz zidentyfikowane zagrożeń, na które narażone są dane na różnych etapach ich obiegu po placówce. Nie każdy pracownik szpitala musi mieć wgląd do danych zawartych w dokumentacji medycznej.

Do naruszeń ochrony danych może dochodzić w dość prozaicznych sytuacjach. Gdy RODO zacznie obowiązywać , lekarz nie powinien wywołać pacjenta do gabinetu po nazwisku. Inaczej głośne wywołanie przez np. wenerologa, z uwzględnieniem kontekstu sytuacyjnego, może być uznane na naruszenie prawa do prywatności pacjenta. Lekarz będzie mógł użyć np. samego imienia, godziny, na którą pacjent był zapisany lub numerka.

 


W ubiegłym roku doszło do głośnego wycieku danych ok. 50 tys. pacjentów w szpitalu w Kole.  W sieci pojawiły się dane wrażliwe pacjentów, ich imiona, nazwiska, numery PESEL, numery ubezpieczenia, a nawet informacje o grupach krwi. Gdyby to się stało, po 25 maja, szpital byłby zagrożony karą sięgającą 20 mln euro oraz odszkodowaniami ze strony pacjentów.

Przykład ten obrazuje problemy polskich podmiotów leczniczych. Incydenty związane z naruszeniami ochrony danych osobowych wiążą się najczęściej z zaniedbaniami po stronie ich samych. Kontrola przeprowadzona przez GIODO po słynnym wycieku ujawniła praktykę naruszającą wymagania wynikające z ustawy o ochronie danych osobowych. Także w kolejnych miesiącach dochodziło do wycieków ze szpitali – dane pacjentów trafiały do sieci, co nie powinno mieć miejsca. 

Rozwiązaniem tego problemu będzie RODO. Większość zagrożeń związanych z wyciekiem danych w Polsce jest związana z zaniedbaniami pracowników, dlatego konieczne jest wdrożenie skutecznych procedur bezpieczeństwa oraz przeprowadzanie szkoleń z ograniczania ryzyka i ochrony danych osobowych. Co ciekawe, w Stanach Zjednoczonych, jeśli dochodzi do dużego wycieku danych ze szpitala, zwykle wiąże się to z cyberatakiem.

W kontekście wysokich sankcji warto zauważyć, że projekt nowej ustawy o ochronie danych osobowych przewiduje, że w przypadku części podmiotów publicznych, m.in. samodzielnych publicznych zakładów opieki zdrowotnej, granica maksymalnej wysokości kary wynosić będzie sto tysięcy zł.