RODO w polskiej ochronie zdrowia nie jest bombą z opóźnionym zapłonem

Autor: Wojciech Kuta/Rynek Zdrowia • • 14 sierpnia 2019 05:57

- Jednym z problemów związanych z RODO w ochronie zdrowia jest nagminne gromadzenie zgód na przetwarzanie danych, swoista "zgodoza" - mówi dr. n. pr. Maciej Kawecki, w latach 2017-2019 dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, były koordynator krajowej reformy ochrony danych osobowych, obecnie dziekan Wyższej Szkoły Bankowej w Warszawie.

FOT. Arch. RZ; zdjęcie ilustracyjne

Rynek Zdrowia: - RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, obowiązujące od 25 maja 2018 r. nałożyło nowe obowiązki na podmioty przetwarzające takie dane, w tym placówki medyczne. Zalecenia te nie zawierają jednak konkretnych wskazówek, w jaki sposób dbać o bezpieczeństwo danych szczególnie chronionych, które gromadzone są m.in. w podmiotach leczniczych. Jak sobie z tym radzimy w Polsce?

Dr Maciej Kawecki: - Z perspektywy moich doświadczeń w Ministerstwie Cyfryzacji mogę powiedzieć z całą odpowiedzialnością, że w Polsce nastąpiła w ostatnim czasie bardzo duża poprawa, jeśli chodzi o przestrzeganie przepisów dotyczących ochrony danych osobowych. Świadczą o tym chociażby fora internetowe, m.in. w największych portalach informacyjnych czy aktywność użytkowników mediów społecznościowych - czytając ich wpisy zauważamy, że wiedza o tym, czym jest RODO lub np. dane szczególnie chronione, ma już naprawdę powszechny charakter.

Według opublikowanego przez Komisję Europejską w czerwcu 2019 r. raportu „Special Eurobarometer 487a” Polska jest na trzecim miejscu wśród wszystkich krajów Unii Europejskiej, jeżeli chodzi o świadomość dotyczącą nowych przepisów o ochronie danych osobowych.

Kiedy zaczynaliśmy wprowadzanie reformy związanej nowymi przepisami chroniącymi dane osobowe, najwięcej błędnych, wręcz absurdalnych interpretacji RODO występowało w ochronie zdrowia. Musieliśmy m.in. przygotować wspólnie z Ministerstwem Zdrowia nadzwyczajną konferencję prasową, której celem było wyjaśnienie różnych nieporozumień związanych z błędnymi interpretacjami RODO, jak np. absurdalnego, rzekomego zakazu informowania rodziców przez telefon o stanie zdrowia ich dzieci, które uległy wypadkowi autokaru.

Trzeba jednak zawsze mieć na uwadze, że ochrona zdrowia jest obszarem, w którym przetwarza się najwięcej danych szczególnie chronionych. Chcę podkreślić ogromną poprawę, jeżeli chodzi o przestrzeganie zaleceń RODO w sektorze medycznym, która nastąpiła od wprowadzenia w Polsce 25 maja 2018 r. ogólnego rozporządzenie o ochronie danych obowiązującego w krajach UE.

Od pewnego czasu do Ministerstwa Cyfryzacji nie napływały już sygnały o różnego rodzaju absurdalnych sytuacjach, kiedy pytano nas na przykład o to, czy kroplówki należy oznaczać danymi pacjenta. Pracownicy ochrony zdrowia w naszym kraju podchodzą znacznie bardziej starannie do prywatności pacjentów niż przed wprowadzeniem RODO. Na przykład w coraz większej liczbie recepcji placówek medycznych pojawiają się żółte linie - pacjenci nie stoją bezpośrednio „za plecami” i mogą swobodnie rozmawiać z pracownikiem medycznym, chociażby o odbiorze wyników badań.

- To efekt licznych szkoleń dotyczących RODO, których rynek cały czas kwitnie, a także różnego rodzaju kodeksów branżowych, wreszcie poradnika przygotowanego przez grupę roboczą ds. ochrony danych osobowych działającą przy Ministerstwie Cyfryzacji?
- Może nieco paradoksalne powiem, że chciałbym myśleć, że to nie wynik działań edukacyjnych, ale samo RODO w swojej treści spowodowało, że ludzie zrozumieli najważniejszą ideę tego rozporządzenia. Niestety, chyba aż tak dobrze jeszcze nie jest... Wydaje się więc, że pomogło to nasze, czasami wręcz łopatologiczne, mówienie o zaleceniach RODO.

Pamiętajmy o tym, że w Polsce mamy do czynienia z bardzo formalistycznym, literalnym podejściem do prawa. Tymczasem RODO takie nie jest, dlatego znacznie łatwiej niż i u nas te zasady wdrożono w systemie anglosaskim. Natomiast polskie szpitale i inne podmioty medyczne opierały się w tym obszarze na prostych komunikatach prasowych, eksponujących absurdy - tego nie wolno, tamto jest zakazane itp. Między innymi dlatego zdecydowaliśmy się wydać wspomniany poradnik.

- Jednak głód informacji na temat praktycznego stosowania zaleceń RODO w sektorze medycznym nadal jest duży. Wsparcia w tym zakresie wymagają przede wszystkim mniejsze podmioty - poradnie, gabinety lekarskie, praktyki lekarzy rodzinnych. Właśnie dla takich małych placówek powstał kodeks postępowania RODO, opracowany przez Porozumienie Zielonogórskie. Jak pan ocenia ten dokument, w przystępny sposób opisujący konkretne sytuacje, w których musi poradzić sobie lekarz?
- Oczywiście znam ten kodeks i oceniam go bardzo wysoko. Wydawanie takich kodeksów jest naturalnym procesem. Mają ułatwić stosowanie RODO w tych obszarach, w których jest to najtrudniejsze. Taką sferę stanowi neutralność technologiczna tych zaleceń, czyli to, że nie wiemy dokładnie, w jaki technicznie sposób mamy zabezpieczać dane osobowe. RODO nie daje bowiem odpowiedzi na to pytanie. Wskazuje natomiast wyraźnie, że musimy je chronić możliwie jak najbardziej skutecznie, ale i pozwala na tworzenie kodeksów branżowych, które precyzują zasady, zgodnie z którymi zabezpieczamy dane osobowe.

Taki właśnie kodeks wydało Porozumienie Zielonogórskie, dostosowując ten dokument do wymogów służby zdrowia, w tym poszczególnych sektorów i typów świadczonych usług medycznych.

- Według szacunków jednej z grup ekspertów zajmujących się ochroną danych osobowych, ponad połowa polskich podmiotów medycznych nie wdrożyła zaleceń RODO. W przypadku małych praktyk i gabinetów lekarskich odsetek ten może być jeszcze wyższy. Bomba z opóźnionym zapłonem? Posypią się wielomilionowe kary?
- Z moich doświadczeń absolutnie nie wynika, jakoby ponad połowa polskich podmiotów medycznych nie wdrożyła zaleceń RODO. Myślę, że informacja o tak wysokim odsetku placówek niestosujących RODO nie jest prawdziwa. Nie sądzę więc, by zalecenia RODO w polskiej ochronie zdrowia można określać jako „bombę z opóźnionym zapłonem”.

Według mojej wiedzy, dotychczas Urząd Ochrony Danych Osobowych nałożył tyko dwie kary w związku z nieprzestrzeganiem zaleceń RODO, ale żadna z nich nie dotyczyła sektora medycznego w naszym kraju. Nie oznacza to oczywiście, że w polskich podmiotach medycznych nie są prowadzone postępowania kontrolne dotyczące stosowania ogólnego rozporządzenia o ochronie danych. Myślę, że nie zakończyły się jeszcze decyzjami.

Natomiast bardzo wysokie kary finansowe za nieprzestrzeganie zaleceń RODO o bezpieczeństwie danych osobowych pacjentów nałożono już na jeden ze szpitali w Holandii oraz w Portugalii (w pierwszym przypadki 460 000, w drugim 400 000 euro - przyp. red.).

- Najczęstsze błędy w ochronie zdrowia związane ze stosowaniem RODO dotyczą kwestii udzielania zgody na przetwarzanie danych i dostępu do dokumentacji medycznej. Na czym te błędy polegają?
- Jednym z tych problemów jest nagminne gromadzenie zgód na przetwarzanie danych, swoista „zgodoza”. Zresztą ta kwestia nie dotyczy tylko sektora medycznego. W większości przypadków w służbie zdrowia przetwarzane są informacje w oparciu o obowiązek wynikający z powszechnie obowiązujących przepisów prawa lub w zakresie niezbędnym do realizacji umowy zawartej z danym pacjentem.

Odbieranie zgód w sytuacjach, w których takie zgody nie są podstawą przetwarzania danych jest naruszeniem prawa z prostego powodu - art. 13 RODO nakłada obowiązek poinformowania o podstawie przetwarzania danych oraz czy komuś przysługuje prawo do ich usunięcia. Ponieważ wyrażenie zgody jest oświadczeniem woli, zawsze można je wycofać, co powinno zostać ujęte w odpowiedniej klauzuli.

W praktyce jest tak, że podmiot medyczny, z uwagi na okres retencji - wynikający z przepisów prawa - nie może usunąć tych danych, stąd często placówki medyczne błędnie informują pacjentów o prawie do usunięcia danych, które im jednak nie przysługuje; naruszają tym samym wspomniany art. 13 przepisów RODO. Czasami obserwuję też odwoływanie się w klauzuli do nieaktualnych już przepisów ustawy dotyczącej ochrony danych osobowych z 1997 roku.

Innym zagadnieniem jest dostęp do dokumentacji medycznej. Przepisy powszechnie obowiązującego prawa od 1 maja br. - za sprawą nowelizacji ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta - nakładają na podmioty lecznicze obowiązek nieodpłatnego udostępniania pacjentowi pierwszej kopii dokumentacji medycznej. I tak się w praktyce dzieje; natomiast pozostaje pytanie, czym jest owa pierwsza kopia dokumentacji medycznej?

Docierają do mnie sygnały, że np. na początku czerwca pacjent wystąpił z pierwszym żądaniem uzyskania kopii dokumentacji i otrzymał ją nieodpłatnie. Ale miesiąc później występuje o nią ponownie, lecz spotyka się z odmową nieodpłatnego wydania kopii, ponieważ już raz ją uzyskał.

Należy więc wyjaśnić, że jeśli w międzyczasie nastąpiły istotne zmiany w treści dokumentacji, wskutek na przykład hospitalizacji czy dołączenia wyników nowych badań diagnostycznych, to w zakresie właśnie tych nowych treści dostęp do dokumentacji (jej pierwszej kopii) powinien być nieodpłatny. Natomiast pobranie opłaty jest uzasadnione w odniesieniu do tej części dokumentacji, której kopię pacjent już wcześniej raz uzyskał bezpłatnie.

- 30 lipca br. złożył pan rezygnację ze stanowiska dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji. Jaki był powód takiej decyzji?
- Mam poczucie, że moja misja w Ministerstwie Cyfryzacji się zakończyła. Byłem dyrektorem zadaniowym, a moje działania dotyczyły wdrożenia nowych przepisów o ochronie danych osobowych, w tym zaleceń RODO, a także zadbanie o prywatność na styku przepisów RODO i nowych technologii. Te zasady zostały wprowadzone w życie. Wydany też został obszerny raport dotyczący internetu rzeczy, kładący duży nacisk na te właśnie tematy.

Przychodziłem do Ministerstwie Cyfryzacji (w 2016 r., najpierw jako doradca ministra - przyp. red.) na 3 miesiące, a zostałem ponad trzy lata. Każdy ma prawo do podejmowania nowych wyzwań. Szukałem oddechu od zajmowania się głównie tematyką związaną z RODO.

1 sierpnia br. objąłem funkcję dziekana w Wyższej Szkole Bankowej w Warszawie, wchodzącej w skład największej w Polsce sieci uczelni niepublicznych, z dużą liczbą kierunków nauczania, w tym także medycznych. Ochrona danych osobowych nadal pozostanie w kręgu moich zawodowych zainteresowań, ale chciałbym też znacznie poszerzyć swoją aktywność na polu nauki oraz rozwoju nowych technologii.

 

 

 

 

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum