RODO coraz bliżej medycyny

Autor: Jacek Wykowski • • 08 marca 2018 15:43

Już 25 maja 2018 r. w życie wejdzie nowe unijne rozporządzenie o ochronie danych osobowych (RODO). Emocje budzi m.in. projekt zapisów dotyczących kar finansowych. Czy są w Polsce placówki medyczne, które bezpiecznie będą mogły od razu implementować nowe przepisy?

Wciąż narastające wątpliwości dotyczące implementacji RODO w obszarze usług medycznych stały się przyczynkiem do zorganizowania w Warszawie konferencji z udziałem kilkunastu ekspertów(13 listopada 2017 r. - "RODO na rynku usług medycznych - proste recepty na wdrożenie skomplikowanych zmian").

RODO reguluje kwestie związane z ochroną danych osobowych. Sektor medyczny jest pod tym względem szczególny, jeżeli chodzi o rodzaj, zakres oraz cel przetwarzanych danych. Przy ochronie danych nie można zapominać o innych podstawowych wartościach, takich jak zdrowie i życie ludzkie. Jakie najważniejsze zmiany trzeba wdrożyć w ślad za unijnym rozporządzeniem?

Pierwsza to obowiązek powołania inspektora danych osobowych w szpitalach i innych placówkach medycznych, które przetwarzają dane osobowe na szeroką skalę. Zmianie ulegnie również kwestia szczegółowych warunków przetwarzania danych osobowych pacjentów, w tym choćby zróżnicowanie procedury pozyskiwania zgody samych pacjentów ze względu na cel przetwarzania danych.

Nieproporcjonalne kary i "polityka siekiery"

- Kłopotem jest dla nas to, że po raz kolejny regulator czy legislator na rynku polskim traktuje różnie podmioty w obrębie jednego obszaru. Podmioty publiczne będą traktowane drastycznie inaczej, bo 20 mln euro versus 100 tys. zł to skala nieporównywalna - mówił o karach zawartych w projekcie nowej ustawy o ochronie danych osobowych dr Robert Zawadzki, wiceprezes zarządu ds. operacyjnych spółki Magodent, prowadzącej sieć szpitali onkologicznych.

O co konkretnie chodzi? W projekcie z 12 września obniżono maksymalną karę dla podmiotów publicznych w porównaniu do innych administratorów danych (w szczególności przedsiębiorców) aż czterystukrotnie - z 20 mln euro do zaledwie 100 tys. zł. Kary mają być nakładane za nieprawidłowości w obszarze przepisów RODO, które stwierdzi kontrola. - Chciałem zgłosić oficjalny sprzeciw, to jest protekcjonizm państwa, który, jeżeli ma miejsce, powinien mieć charakter uniwersalny - podkreślił szef Magodentu.

- Przedstawione kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego - uspokajała mec. Marta Gadomska- -Gołąb z kancelar ii prawnej Wierzbowski Eversheds Sutherland.

O umiar zaapelował z kolei Wojciech Szrajber, dyrektor Wojewódzkiego Wielospecjalistycznego Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi. - Apeluję do wszystkich wdrażających organów o to, żebyśmy nie spotkali się z jakąś dziwną nadgorliwością. Żeby przez pewien okres nie było polityki siekiery - nikt nie wie, o co chodzi, ale dla przykładu damy 10 milionów kary i to nagłośnimy. Dajmy sobie szansę, aby ten system mógł łagodnie wejść do szpitalnego krwiobiegu - mówił Szrajber.

Przekonywał, że z czasem "wypłynie tysiące wątpliwości, z których w tej chwili nawet nie zdajemy sobie sprawy".

Rewolucja czy ewolucja

Dr Beata Jagielska, zastępca dyrektora Centrum Onkologii - Instytutu im. Marii Skłodowskiej-Curie w Warszawie i prezes Polskiej Koalicji Medycyny Personalizowanej, przekonywała, że pomimo nie najlepszej atmosfery wokół RODO jego wejście w życie będzie jedynie ewolucją w funkcjonowaniu ośrodków ochrony zdrowia, a nie szumnie zapowiadaną rewolucją.

- Słownik PWN w odniesieniu do słowa rewolucja mówi, że jest to proces gwał townych zmian. Unia Europejska rozpoczęła swoje prace nad zmianą systemu ochrony danych osobowych w 2012 r. W kwietniu 2016 r. projekt został przyjęty przez Parlament Europejski i dostaliśmy dwa lata na jego wdrożenie w polskiej przestrzeni prawnej. Cały proces legislacyjny wyniesie więc 6 lat. Na pewno nie możemy mówić o jakiejkolwiek gwał towności - argumentował dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Jak tłumaczył dr Arwid Mednis z Wydziału Prawa i Administracji UW, akt prawny dotyczący RODO formalnie wszedł już w życie, natomiast 25 maja 2018 r. jego stosowanie stanie się obowiązkowe. - Co to oznacza w praktyce? Są tacy, którzy mówią, że tak naprawdę będzie to dotyczyło danych zebranych po tej dacie. Ja się akurat z tym nie zgadzam - stwierdził.

Przypomniał, że w Polsce został opublikowany nie tylko sam projekt ustawy o ochronie danych osobowych, ale też projekt przepisów ją wprowadzających, zawierających propozycje zmian w ponad 130 aktach prawnych (m.in. w kodeksie pracy, ustawie o świadczeniu usług drogą elektroniczną i ustawie prawo telekomunikacyjne). - Tych zmienianych aktów jest już ok. 150, a będzie jeszcze więcej - sprecyzował dr Maciej Kawecki.

Zmiany - co trzeba zrobić

Wojciech Szrajber tłumaczył, że jego szpital do RODO przygotowuje się już od wielu lat, a mimo to jest jeszcze do wykonania "ogrom zadań". - Trzeba wyedukować wszystkich możliwych interesariuszy tej regulacji - po co to jest, jak tego używać. Po to, żeby to nie było prawo teoretyczne. Bardzo duży problem może być jednak nie tyle z personelem, co z pacjentami - powiedział dr Zawadzki.

- Ja bym bardzo chciała, żeby RODO nie zniszczyło rejestrów medycznych; te dane są bezcenne. Wiele z nich jest wykorzystywanych w praktyce - mówiła z kolei dr Joanna Didkowska, kierownik Zakładu Epidemiologii i Prewencji Nowotworów Centrum Onkologii - Instytutu im. Marii Skłodowskiej-Curie w Warszawie.

- Dla mnie dużym wyzwaniem, ale również dla Koalicji, jest współpraca z pacjentami. Mam nadzieję, że uda nam się stworzyć platformę współpracy, aby w dobry sposób przekazać naszym pacjentom informacje, co to jest RODO, jak się z nim zmierzyć i co to tak naprawdę oznacza dla nich samych - tłumaczyła dr Beata Jagielska.

Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, porównywała systemy IT chroniące dane osobowe w bankach i szpitalach. - W bankach idą na to miliony złotych rocznie. Dane powinny być oczywiście chronione dobrze, ale proszę sobie dla porównania wyobrazić środki, którymi na taką ochronę dysponuje szpital - mówiła.

Dyrektor Szrajber wspomniał o problemach związanych z udzielaniem informacji o pacjencie, z którymi - szczególnie dyrektorzy szpitali - mają do czynienia bardzo często. - Mam codziennie telefony - a to od ministra, marszałka, prezydenta (miasta - red.) z prośbą, pytaniem, "jak się czuje Kowalski". Wszyscy powinniśmy się w tym systemie nastawić na asertywność - podkreślił Szrajber.

Czy to w ogóle zadziała?

Dr Zawadzki zwrócił uwagę, że głównym zadaniem dla osób kierujących jednostkami ochrony zdrowia będzie "próba znalezienia studium wykonalności dla tych regulacji". - Możemy napisać świetne procedury, ogłosić je na wielkich landszaftach wiszących na ścianach szpitala, ale jeżeli personel, a szczególnie nasi pacjenci, nie będą rozumieli, w jaki sposób realizować te obowiązki, to pozostaną one fikcją - tłumaczył.

Dodał, że zmierzając w stronę elektronicznej dokumentacji medycznej, "liczba kontaktów personelu medycznego z systemem informatycznym będzie rosła w postępie geometrycznym". - Jeżeli ten dostęp "ubierzemy" w zabezpieczone w jakiś histeryczny sposób obszary przetwarzania danych, to takie przedsięwzięcie się nigdy nie uda. Już teraz zwraca się uwagę, że jeżeli jakaś czynność dostępowa w systemie wymaga więcej niż sześciu kliknięć myszką, to jest problem - skonstatował.

- Jeden z niemieckich przedstawicieli tzw. szkoły wolnego prawa powiedział, że każda ustawa zawiera tyle luk, ile słów. Trzeba zachować więc pewien sceptycyzm wobec nowych regulacji - przekonywał prof. Tomasz Giaro, dziekan Wydziału Prawa i Administracji UW.

Aby monitor nie zasłonił pacjenta

Jarosław Pinkas, były wiceminister zdrowia, obecnie sekretarz stanu w Kancelarii Premiera, stwierdził, że dla niego pojęcie anonimowego pacjenta jest oksymoronem. Podkreślił, że relacji lekarz-pacjent nie da się ubrać w prawo. - Ta relacja musi być powiązana z wiedzą, empatią, człowieczeństwem, szlachetnością. "Paragrafy" niezwykle utrudniają nam pracę - mówił minister Pinkas.

Jak zobrazował, cały czas wydaje mu się, że przed pacjentem jest stawiany coraz większy monitor. Pinkas podkreślił, że boi się, by ten monitor - przez RODO - jeszcze bardziej nie zasłaniał pacjenta. - Dochodzimy w pewnym momencie do absurdu. Za chwilę będzie tak, że nie będzie Instytutu Psychiatrii i Neurologii, tylko zostanie sam Instytut - bo musi zostać zanonimizowany. Dlaczego? Bo stygmatyzuje pacjentów - stwierdził.

Prof. Adam Fronczak, kierownik Zakładu Zdrowia Publicznego WUM, były wiceminister zdrowia, zakończył dyskusję odważną tezą, że "nie ma w Polsce szpitala, który mógłby od jutra implementować bezpiecznie RODO - chyba, że ma wyłącznie sale jednoosobowe".

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum