Niewątpliwą zasługą ostatnich dni urzędowania ministra Adama Niedzielskiego jest uczynienie z ochrony danych osobowych medycznych tematu, który królował we wszystkich mediach. Zastanawialiśmy się, jakie dane o naszym zdrowiu trafiają do centralnych baz danych, jak są chronione i kto ma do nich dostęp.

To ostatnie można akurat łatwo sprawdzić dzięki RODO i – co może wydawać się dziwne – dzięki temu, że te dane są przechowywane w centralnym systemie informatycznym, jakim jest system e-zdrowia (P1). Częścią systemu P1 jest SIM, czyli System Informacji Medycznej, który służy przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej, udostępnianych przez systemy teleinformatyczne usługodawców. W ramach tego systemu realizowane są np. e-recepty i e-skierowania.

38 stron danych

Prawo do otrzymania informacji o odbiorcach naszych danych osobowych gwarantuje nam art. 15 ust. 1 lit. c RODO. O „odbiorcach”, czyli o każdej osobie fizycznej lub prawnej, organie publicznym, jednostce lub innym podmiocie, któremu ujawnia się dane osobowe. Co przy tym dodatkowo istotne, zgodnie z niedawnym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C 154/21 Österreichische Post AG w przypadku, gdy dane osobowe zostały ujawnione odbiorcom, na administratorze danych ciąży obowiązek podania osobie, której dane dotyczą, dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe ich zidentyfikowanie. Obowiązujące prawo daje nam więc możliwość ustalenia tożsamości – komu zostały ujawnione nasze dane osobowe, w tym o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, a ponieważ znajdują się one w jednym, centralnym systemie (P1), uzyskanie tych informacji jest stosunkowo łatwe. Z pewnością jest to łatwiejsze, niż gdyby nasze dane medyczne były przechowywane w rozproszonej dokumentacji, papierowej lub elektronicznej, prowadzonej przez każdego ze świadczeniodawców osobno.

Z czysto naukowej ciekawości, na fali zainteresowania bezpieczeństwem danych medycznych wywołanej przez ministra Niedzielskiego postanowiłem skorzystać z opisanej wyżej możliwości: złożyłem stosowny wniosek przez ePUAP i już po kilkunastu dniach (RODO daje możliwość udzielenia odpowiedzi po 30 dniach, więc ukłony w stronę osoby, która przygotowała odpowiedź wcześniej) otrzymałem 38 (!) stron raportu. Tak, 38 stron informacji o odbiorcach moich danych za okres niespełna sześciu lat, a w tym czasie nie korzystałem z opieki szpitalnej, sanatoryjnej itp. – można powiedzieć, że uznaję się za zdrowego człowieka w średnim wieku.

O czym się dowiedziałem?

Czego możemy się z tego raportu dowiedzieć? Raport składa się z sześciu kolumn: data i czas, podmiot, osoba, typ danych, numer dokumentu i zakres danych. Najwięcej informacji, przynajmniej w moim przypadku, to dane dotyczące realizacji e-recept, wraz z imieniem i nazwiskiem farmaceuty, który tę receptę realizował (co oznacza, że wyrok w sprawie C 154/21 działa). Tam, gdzie pojawiają się świadczenia udzielane przez zakłady opieki zdrowotnej, również dowiadujemy się, kto konkretnie – z imienia i nazwiska – przetwarzał nasze dane osobowe. „Przetwarzał”, bo raport zawiera informacje o udostępnianiu danych z systemu P1, ale także o raportowaniu zdarzeń medycznych do systemu P1.

System P1 zgodnie z przepisami prawa powinien działać tak, że informacje o odbiorcach danych zapisują się w nim automatycznie. Nie do końca jest dla mnie jasne, dlaczego do jednego worka wraz z odbiorcami wrzucono osoby raportujące zdarzenia medyczne do systemu (w moim przypadku np. szczepienia ochronne), ale tym lepiej z punktu widzenia tego, kto poszukuje informacji o swoich danych medycznych.

Czego wiedzieć nie będę?

Beczka miodu? Tak by się wydawało – ale w tej beczce miodu widzę jednak kilka łyżek dziegciu.

Po pierwsze, samo pojęcie odbiorcy danych – z tego pojęcia z definicji (i jest to definicja wynikająca wprost z RODO) są wykluczone podmioty publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. Nie dowiemy się więc np., że w naszych danych osobowych myszkował ktoś z NFZ w ramach postępowania kontrolnego. Co więcej, RODO nie znajduje zastosowania w stosunku do policji, ABW i innych służb specjalnych. Mamy co prawda polskie przepisy ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, ale z uwagi na szereg wyłączeń spod zakresu jej zastosowania i brak realnych uprawnień kontrolnych podobnych do tych przewidzianych przez RODO jest to bardziej wydmuszka niż rzeczywista ochrona. Nie dowiemy się więc też, czy ktoś z tzw. służb pozyskiwał nasze dane medyczne, a to bardzo istotny wyłom w systemie. Po drugie, nigdy nie mamy pewności, czy rzeczywiście jest tak, że informacje o odbiorcach danych zapisują się w systemie automatycznie. (Ciekawe, czy taka informacja zapisała się w przypadku lekarza, którego dane ujawnił minister Niedzielski?). Musimy ufać, że tak się dzieje, a tym samym dochodzimy do trzeciej sprawy, czyli do kwestii zaufania obywateli do władzy publicznej. Wyrażałem w ostatnich latach już tę myśl wielokrotnie, ale wyrażę ją jeszcze raz: ostatnie lata spowodowały, że w kwestiach ochrony informacji o to zaufanie trudno – wybory kopertowe, Pegasus, niejasny dostęp do danych o szczepieniach przeciwko COVID-19 itd. – władza publiczna postarała się bardzo, żeby to nasze zaufanie utracić.

Czy sposobem na odbudowę tego zaufania jest odejście od wnioskowego trybu dostępu do informacji o odbiorcach danych na rzecz udostępniania tych informacji automatycznie, na Internetowym Koncie Pacjenta lub w aplikacji mobilnej? Moim zdaniem nie, bo problem nie leży w tym, że tych danych nie możemy uzyskać (jak widać, możemy), ale w tym, czy te dane są kompletne i czy im ufamy. ©℗