Pierwsze doświadczenia związane ze stosowaniem RODO w ochronie zdrowia ujawniają zasadnicze problemy, z którymi borykają się placówki medyczne. Co paradoksalne, część z nich wynika ze zbytniej nadgorliwości w ochronie danych osobowych, która w połączeniu z nieznajomością lub niezrozumieniem nowych regulacji prowadzi do absurdalnych, a czasem wręcz potencjalnie groźnych dla pacjenta skutków.
Skala trudności w poprawnym stosowaniu RODO jest na tyle duża, że przy Ministerstwie Cyfryzacji działa już specjalny zespół, który ma wypracować dobrą praktykę w zakresie tego, jak należy postępować w najbardziej problematycznych sytuacjach.
Wysokie sankcje za naruszenia
Kontrole przeprowadzone w ostatnich latach przez NIK wykazały, że wiele podmiotów leczniczych nie przykłada odpowiedniej wagi do prawidłowego prowadzenia dokumentacji medycznej pacjentów (ujawnione nieprawidłowości przyczyniły się nawet do nowelizacji ustawy o prawach pacjenta
i Rzeczniku Praw Pacjenta, która miała zapewnić większy porządek w tym zakresie), a warunki hospitalizacji oraz niewłaściwe zachowanie personelu nie pozwalają na pełną realizację prawa pacjenta do intymności i godności.
Ten obszar funkcjonowania podmiotów leczniczych pozostaje w zbiegu z tematyką danych osobowych, od 25 maja 2018 r. wiele placówek jest na niego szczególnie wyczulona, co jest zapewne konsekwencją świadomości ryzyka wysokich sankcji za naruszenia.
Nie zawsze przynosi to pozytywne skutki, czego najlepszym przykładem jest zachowanie związane z przekazywaniem informacji o hospitalizowanych dzieciach po wypadku autokaru na zakopiance w Tenczynie (rodzice nie mogli uzyskać telefonicznie informacji o tym, czy ich dziecko znajduje się w szpitalu, gdyż odmawiano im odpowiedzi, powołując się właśnie na RODO).
Tymczasem kwestię tego, komu, kiedy i w jakim zakresie podmiot leczniczy może udzielić informacji o pacjencie, regulują przepisy krajowego prawa medycznego. W wyniku tej sprawy do problemu odniósł się Rzecznik Praw Pacjenta, wskazując interpretację zasad udzielania informacji o stanie zdrowia pacjenta w rozmowie telefonicznej.
Pacjent anonimowy
Dającą się wyraźnie zauważyć tendencją jest dążenie do jak najdalej idącej anonimizacji pacjenta i pracowników placówki.
Z łóżek pacjentów znikają karty gorączkowe, oznaczenia pacjentów są wykreślane z kroplówek, rezygnuje się ze stosowania opasek z danymi pacjenta. Część lekarzy ma nawet wątpliwości, czy przebywając na sali chorych może zwracać się do pacjentów po imieniu i nazwisku. Podobnie w przypadku personelu - część podmiotów leczniczych rozważa, czy lekarze powinni nosić identyfikatory, a na drzwiach gabinetów może znajdować się informacja o ich specjalizacji.
W takich sytuacjach należy też pamiętać, że RODO, choć np. wyraźnie wprowadza zasadę minimalizacji danych, nie ma na celu wprowadzenia całkowitej anonimizacji życia społecznego. Jest to szczególnie istotne w przypadku podmiotów leczniczych, musimy bowiem zwrócić uwagę, że wartość, jaką jest życie i zdrowie pacjenta, ma szczególne znaczenie i nie powinna być zagrożona przez działania mające na celu ochronę prywatności.
Potrzebne jest odpowiednie wyważenie tych wartości przy zachowaniu zdrowego rozsądku. Jeżeli np. w określonej sytuacji zastąpienie numerkiem łatwego do zapamiętania i weryfikacji imienia i nazwiska pacjenta może prowadzić do zmniejszenia jego bezpieczeństwa i np. większego prawdopodobieństwa pomyłki przy udzielaniu świadczeń, należy się zastanowić, czy na pewno jest to potrzebne rozwiązanie.
Także potencjalne ryzyko prawne związane np. z błędem medycznym jest już zupełnie inne. Między innymi z powyższych względów bezpieczeństwa w placówkach ochrony zdrowia część danych osobowych musi być w ujawniona, co wynika wprost z przepisów prawa, o czym nie wszyscy pamiętają.
Problem z poufnością w rejestracji
Obok tendencji do ukrywania tożsamości w sytuacjach, w których nie musi być to konieczne, występuje problem niezapewniania jej ochrony wtedy, gdy akurat jest to uzasadnione, w szczególności podczas rejestracji.
Nierzadko pomieszczenia, w których rejestrowani są pacjenci, nie zapewniają warunków gwarantujących poufność prowadzonej rozmowy, przez co jest ona dobrze słyszalna dla osób postronnych czekających w kolejce na korytarzu.
Pożądane zmiany w tym zakresie mogą czasami wiązać się z dostosowaniami o charakterze techniczno-organizacyjnym, co ze względu na ewentualne dodatkowe koszty nie ułatwia zadania.
Podobnie kwestią problematyczną pozostaje wzywanie pacjentów do gabinetów lekarskich – w sytuacji, gdy placówki nie stać na wdrożenie elektronicznego systemu identyfikacji pacjentów, możliwe jest zastosowanie innych rozwiązań np. wywołanie przez imię i godzinę zaplanowanej wizyty.
Powierzyć, czy nie powierzyć
Stosunkowo mało odczuwalną dla pacjenta, ale wywołującą problemy dla kierownictwa placówki kwestią są obecnie także umowy powierzenia przetwarzania danych osobowych.
Część podmiotów leczniczych nie zawsze wie, kiedy są konieczne, a kiedy nie ma potrzeby ich zawierania. Kłopotliwa okazuje się w szczególności ta druga sytuacja, bowiem gdy umowa taka nie jest potrzebna, w obliczu jakichkolwiek wątpliwości co do tego, część podmiotów dla własnego błędnie rozumianego bezpieczeństwa prawnego „na wszelki wypadek” stara się wymusić na drugiej stronie zawarcie takiej umowy, niekiedy uzależniając od tego realizację usługi.
Tymczasem związanie się taką umową wiązać się będzie z zobowiązaniem do spełnienia warunków przewidzianych dla umów powierzenia w art. 28 RODO, np. ograniczeniem swobody w wyborze poddostawców (dalszych podmiotów przetwarzających) dla strony, której dane powierzono do przetwarzania.
Podmiot wykonujący działalność leczniczą jako administrator danych może i powinien zawrzeć umowę powierzenia przetwarzania danych osobowych z tzw. procesorem, czyli podmiotem przetwarzającym dane osobowe w imieniu administratora i wyłącznie na jego udokumentowane polecenie.
W praktyce takie umowy powinny być zawierane np. z dostawcami oprogramowania IT czy dostawcami usług chmurowych. W przypadku sektora ochrony zdrowia często będzie dochodzić jednak do sytuacji, w których podmiot leczniczy udostępnia dane pacjentów innemu podmiotowi, który staje się ich samodzielnym administratorem, a nie procesorem (zawarcie umowy powierzenia nie będzie więc uzasadnione). Przykładem takiej sytuacji może być np. udostępnienie dokumentacji medycznej niezbędnej do zapewnienia ciągłości świadczeń zdrowotnych innemu podmiotowi wykonującemu działalność leczniczą.
Wsparcie nadchodzi
Niezależnie od powyższych problemów wciąż należy pamiętać o zachowaniu należytej staranności wśród personelu placówki.
Jeszcze niedawno zdarzały się sytuacje, w których np. dokumentacja medyczna zamiast do niszczarki trafiała do wprost do kosza na śmieci, czy też osoby wykonujące zawody medyczny rozmawiały z pacjentem lub między sobą o stanie jego zdrowia na korytarzu,
w obecności osób postronnych. Dlatego też podmioty lecznicze powinny poświęcić więcej uwagi na prawidłowe, przemyślany wdrożenie RODO, systemowe dostosowanie wewnętrznych procedur, które na podstawie przeprowadzonej oceny ryzyka, uwzględniającej specyfikę danego podmiotu, powinny wskazywać sposób postępowania w problematycznych obszarach) oraz szkolenia dla personelu.
Problematyczne jest też przy tym fakt, że wciąż nie przyjęto nowelizacji przepisów sektorowych.
W związku z tym części wątpliwości, które rozwiązałaby zmiana obecnych przepisów dostosowująca je do RODO, nie udało się uniknąć. Przykładem może być wydawanie bezpłatnej pierwszej kopii dokumentacji medycznej – w tej kwestii, odpowiadając na liczne zapytania przedstawicieli podmiotów leczniczych, oficjalne stanowisko zajął Rzecznik Praw Pacjenta.
W związku z m.in. przywołanymi problemami związanymi ze stosowaniem RODO w ochronie zdrowia, Minister Cyfryzacji powołał specjalną grupę roboczą, która ma opracować wytyczne dotyczące najbardziej problematycznych kwestii, tak by uchronić pacjentów, lekarzy i innych uczestników systemu ochrony zdrowia przed absurdami związanymi z niewłaściwym wdrożeniem nowych zasad ochrony danych osobowych.
W ramach grupy roboczej działa podzespół dedykowany zdrowiu. W dalszym ciągu trwają też prace nad kodeksem branżowym dla ochrony zdrowia, który precyzować będzie wiele problematycznych kwestii z zakresu stosowania RODO.
Paweł Kaźmierczyk i Piotr Najbuk z Kancelarii Domański Zakrzewski Palinka