Choć na przygotowanie się do stosowania nowych przepisów o ochronie danych osobowych podmioty zobowiązane jego przepisami otrzymały od unijnego prawodawcy dwa lata, już widać, że nie wszystkim udało się wdrożyć stosowne rozwiązania, natomiast w niektórych przypadkach wdrożenie zostało wykonane nieprawidłowo lub w niepełnym zakresie, co ma immanentny związek z nadal niewystarczającą edukacją w tym zakresie lub nierzadko z nadinterpretacją przepisów rozporządzenia.
Ile przesady
Zdarzają się nadinterpretacje, brak zrozumienia, ale także wątpliwości, których nawet eksperci nie potrafią jednoznacznie rozstrzygnąć. Znane są oraz opisywane w prasie przypadki wprowadzenia absurdalnych środków zabezpieczających przed ujawnieniem danych osobowych, szczególnie wśród podmiotów świadczących usługi w zakresie ochrony zdrowia. W niektórych szpitalach i przychodniach podczas wywoływania do gabinetu pacjenci zamiast swojego imienia i nazwiska słyszą dziś pseudonimy nadawane im przez osoby pracujące w rejestracji, co spotyka się z niezrozumieniem, a wręcz oburzeniem. Głośnym echem w mediach rozbrzmiała także sprawa rodziców, którzy zaniepokojeni o los swoich dzieci, będących ofiarami wypadku autokaru nie mogli telefonicznie uzyskać od szpitala informacji o nich. Słyszeli przy tym wyjaśnienie, że RODO teraz zabrania takich praktyk. Na pomoc szpitalom i przychodniom ruszyło Ministerstwo Cyfryzacji, które powołało grupę roboczą do spraw ochrony danych osobowych.
Jeden z jej podzespołów zajmuje się problemami w sektorze medycznym. Ponadto w porozumieniu z Ministerstwem Zdrowia wydano poradnik zatytułowany „Przewodnik po RODO w służbie zdrowia”, który ma między innymi na celu pohamować zapędy nadgorliwych interpretatorów rozporządzania o ochronie danych osobowych. W materiale opublikowanym na stronie internetowej Ministerstwa Cyfryzacji znajdują się również odpowiedzi na najczęściej zadawane pytania dotyczące RODO, m.in. o metody rejestracji pacjentów z poszanowaniem ich prywatności, o kwestie związane z opisywaniem leków danymi pacjenta czy o zagadnienia dotyczące możliwości zamieszczania tabliczek ze specjalnością lekarza na drzwiach gabinetów. Przewodnik ten mocno podkreśla, że personel medyczny, stosując się do RODO powinien mieć w pierwszej kolejności na względzie obowiązek ratowania zdrowia i życia ludzkiego poświęcając przy tym dobro jakim jest ochrona danych osobowych pacjentów. Odnotować jednak wypada, że pomoc ze strony specjalistów i urzędników przyszła dopiero po pierwszych czterech miesiącach obowiązywania rozporządzania i skupiła się wyłącznie na wycinku zagadnień związanych z ochroną danych osobowych pacjentów.
Jak postępować
Nie bez znaczenia jednak pozostają podjęte przez Polską Federację Szpitali starania stworzenia kodeksu postępowania, o którym mowa w art 40 RODO, dedykowanego dla sektora ochrony zdrowia. We współpracy z licznym gronem specjalistów i przy wsparciu wielu organizacji udało się przygotować taki kodeks postępowania, który został przedłożony do zatwierdzenia przez prezesa Urzędu Ochrony Danych Osobowych. Zgodnie z przepisami RODO, organ nadzoru zatwierdza kodeksy postępowania, o których mowa w art 40 RODO i daje zielone światło do stosowania się do ustalonych w nich reguł. Niestety, złożony w pierwszej połowie listopadzie ubiegłego roku kodeks postępowania w sektorze ochrony zdrowia czeka wciąż na zatwierdzenie. Podobnie jak inny kodeks branżowy, stworzony przez Federację Związków Pracowników Ochrony Zdrowia Porozumienie Zielonogórskie wraz z grupą specjalistów. Dokument ten skupia się na kwestiach ochrony danych osobowych w małych placówkach medycznych i dla nich jest przeznaczony.
Wszystkie wspomniane działania mające na celu pomoc we wdrożeniu przepisów rozporządzenia o ochronie danych osobowych, są bardzo cenne dla całego sektora medycznego, a przede wszystkich dla pacjentów, którzy korzystają z jego usług stają oko w oko z RODO w szpitalu czy przychodni.
Stosowanie RODO to nie tylko działania utrudniające pracę lekarzy czy codzienność pacjentów szpitala lub przychodni, lecz zmiana podejścia do całokształtu ochrony danych osobowych. Można zerwać ze ścian wszystkie tabliczki z nazwami gabinetów specjalistycznych i nazwiskami lekarzy oraz nadawać pacjentom najdziwniejsze pseudonimy, ale to nie wystarczy aby wykazać, zgodnie z zasadą rozliczalności, przed organem nadzoru, zgodność działań szpitala z RODO. Rozporządzenie powinno zostać zastosowane umiejętnie, a w sposób szczególny powinna zostać zabezpieczona przed nieuprawnionym dostępem dokumentacja medyczna każdej placówki służby zdrowia, tym bardziej że dane w niej zgromadzone są danymi szczególnymi („wrażliwymi”) i wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.
Jak to było w Portugalii
Warto wspomnieć o bezprecedensowym dotychczas zdarzeniu, jakie miało miejsce w Portugalii. Portugalski organ nadzoru nad ochroną danych osobowych podjął się kontroli szpitala w miejscowości Barreiro (Centro Hospitalar Barreiro Montijo) i wnikliwe sprawdził wdrożenie rozporządzenia w tej placówce. W wyniku tej kontroli wydana została decyzja nakładająca na szpital karę w wysokości łącznie 400 tys. euro, co daję kwotę ponad milion siedemset tysięcy złotych.
Organ nadzoru dokonując kontroli stwierdził, że doszło w szpitalu do trzech grup naruszeń. Pierwszym było naruszenie art. 5 ust. 1 lit. c) RODO, czyli zasady minimalizacji danych, poprzez umożliwienie masowego dostępu do nadmiernej liczby danych osobowych pacjentów przez nieupoważnionych do tego pracowników. Za to naruszenie, na podstawie art. 83 ust. 5 lit. a) RODO tj. za naruszanie podstawowych zasad przetwarzania, wymierzono szpitalowi karę pieniężną o wartości 130 tysięcy euro. Drugim było naruszenie zasady integralności i poufności w wyniku niestosowania środków technicznych i organizacyjnych w celu uniemożliwienia bezprawnego dostępu do danych osobowych zgodnie z art. 5 ust. 1 lit. f) RODO i także na podstawie art. 83 ust. 5 lit. a) RODO wymierzono szpitalowi karę w wysokości 150 tysięcy euro. Przy czym wspomnieć wypada, że za powyższe nieprawidłowości mogła zostać nałożona na szpital kara wysokości maksymalnej, po ziszczeniu się innych okoliczności, nawet 20 milionów euro lub 4 procent całkowitego rocznego obrotu.
Organ wymierzył szpitalowi również karę na podstawie art. 32 ust. 1 lit. b) RODO za niezdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług leczniczych, a także za niewdrożenie środków technicznych w celu zapewnienia prawidłowego poziomu bezpieczeństwa adekwatnego do ryzyka, w tym procesu regularnego testowania i oceny środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Za to trzecie naruszenie kara wyniosła 100 tysięcy euro, chociaż maksymalna jej wysokość wynosić mogła nawet 10 milionów euro lub 2 procent całkowitego rocznego obrotu.
W swojej decyzji portugalski organ nadzoru wskazał na szereg powodów, które legły u jej podstaw faktycznych. W szpitalu odnotowano wiele zaniedbań nie tyle w zakresie wykonywania tych najczęściej wskazywanych obowiązków nałożonych przez RODO, takich jak psedonimizacja pacjentów, wykonywanie obowiązków informacyjnych wobec podmiotów danych czy nawet kwestie legitymowania się stosowną podstawą do przetwarzania danych osobowych, lecz w zakresie działania systemów informatycznych służących do rejestracji pacjentów i gromadzenia dokumentacji medycznej. Brak było odpowiednich procedur tworzenia kont użytkowników systemu szpitalnego, w których przetwarzano dane osobowe. Pracownicy z personelu pozamedycznego posiadali dostęp do danych, które były przeznaczone wyłącznie na potrzeby leczenia pacjentów. W systemie gromadzącym dane wrażliwe pacjentów było aktywnych 985 profili lekarskich, a zgodnie z oficjalnym wykazem kadr, medyków zatrudnionych w tym szpitalu było tylko 296, co oznacza, że dostęp do danych osobowych pacjenta mogli posiadać również lekarze niepracujący w tej jednostce i nieudzielający świadczeń pacjentom tego szpitala. Te zarzuty doprowadziły organ nadzoru do przekonania, że szpital świadomie naraził dane osobowe swoich pacjentów na ich ujawnienie osobom nieupoważnionym. ?
Marcel Góra radca prawny w kancelarii APLaw
Bardzo często pojawiającym się w kontekście RODO pytaniem są nowe wymogi dla systemów informatycznych zdefiniowane w rozporządzeniu. Pytanie nie bezzasadne, bo już przed wejściem w życie RODO, ustawa o ochronie danych osobowych stawiała szereg wyzwań technicznych przed administratorami danych. Od najbardziej oczywistych, takich jak firewalle czy ochrona antywirusowa, po tak nielubiane jak wymóg okresowej zmiany hasła minimum raz na 30 dni. Istniały też bardzo precyzyjne wymogi dotyczące oprogramowania, jak chociażby konieczność rejestrowania identyfikatora użytkownika wprowadzającego lub modyfikującego dane osobowe oraz czas tej operacji. Niestety w rozporządzeniu brak jakichkolwiek szczegółowych i precyzyjnych wymogów technicznych w stosunku do systemów IT. Wynika to głównie z faktu zmiany podejścia do kwestii bezpieczeństwa i zastąpienia konkretnej listy zabezpieczeń procesem analizy ryzyka, którego efektem mają być zabezpieczenia adekwatne do zidentyfikowanych zagrożeń. Z uwagi na charakter danych medycznych, które stanowią dane szczególne w rozumieniu RODO (wrażliwe w rozumieniu dawnej ustawy) istotnym jest, aby poziom zabezpieczeń systemu, w którym przetwarzane są te dane był wysoki.
Link do publikacji na stronie RP: https://www.rp.pl/Firma/304059961-RODO-jaki-poziom-zabezpieczen-systemu-ochrony-danych-osobowych.html