Chmielowiec uczestniczył w konferencji "Tajemnica medyczna. Praktyczne dylematy ochrony danych pacjentów", poświęconej unijnemu ogólnemu rozporządzeniu o ochronie danych osobowych (RODO). Przyjęte w maju 2016 r. w prawodawstwie Unii Europejskiej RODO zastępuje dyrektywę w tym zakresie z 1995 r. RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Zacznie obowiązywać w UE 25 maja br.
Jak mówił Chmielowiec, skargi, które wpłynęły do biura Rzecznika Praw Pacjenta, dotyczyły głównie obecności monitoringu wizyjnego w miejscach przyjmowania pacjentów oraz dostępności tych miejsc dla osób spoza personelu medycznego, a także przyjmowania pacjentów i przekazywania informacji o ich zdrowiu w obecności innych osób.
"To są najczęstsze sygnały, jakie trafiają do biura rzecznika związane z naruszeniem godności i intymności pacjenta" - podkreślił Chmielowiec.
Dodał, że w związku ze zbliżaniem się terminu rozpoczęcia obowiązywania RODO branża medyczna pracuje nad kodeksem branżowym dotyczącym praktycznego stosowania przepisów rozporządzenia. W pracach uczestniczy także Rzecznik Praw Pacjenta. "To jest ogrom prac. Wyzwanie, przed jakim stoimy, to interpretacja przepisów RODO w praktyce" - powiedział Chmielowiec.
Jako przykład podał zapisy, które znajdują się w art. 15 RODO dotyczące nieodpłatnego przekazania kopii danych osobowych komuś, kogo dane są przetwarzane.
"Powstaje pytanie, jak to się ma do dokumentacji medycznej i przepisów, które mówią o możliwości pobierania opłaty za udostępnianie tej dokumentacji. Czy to są pojęcia tożsame? Czy możemy mówić, że dokumentacja medyczna zawiera w sobie dane osobowe, bo ona zawiera oczywiście dane osobowe, ale zawiera także inne dane. Czy w związku z tym należy przekazywać nieodpłatnie dane osobowe, a za dane medyczne pobierać opłaty?" - pytał Chmielowiec.
Rzecznik zwrócił też uwagę na kwestię przekazywania dokumentacji medycznej drogą elektroniczną. "Czy ta dokumentacja powinna być przekazywana normalną drogą bez żadnego szyfrowania? Czy też jednak ta dokumentacja powinna być szyfrowana, a np. pacjent powinien otrzymać hasło do ich odszyfrowania?" - wymieniał różne możliwości. Podkreślił, że bardzo ważna jest kwestia zabezpieczenia danych przetwarzanych przez podmioty medyczne przed cyberprzestępcami.
Prezes Naczelnej Izby Pielęgniarek i Położnych Zofia Małas mówiła, że występują wątpliwości, w jaki sposób mają być przetwarzane dane osobowe w ramach koordynowanej opieki medycznej.
"Sami nie wiemy tak naprawdę, bo to nie jest ściśle doregulowane, w jaki sposób w aspekcie koordynowanej opieki zdrowotnej będziemy mogli przetwarzać dane pacjentów" - mówiła. Jak oceniła, wyzwaniem jest - z jednej strony - zachowanie ciągłości leczenia, a z drugiej - zapewnienie, aby dane osobowe pacjenta były bezpieczne.
Małas zwróciła uwagę, że nie w każdym przypadku udaje się zachować intymność pacjenta, np. podczas obchodu lekarskiego w szpitalu, w którym uczestniczy czasami kilkanaście osób - ordynator, lekarze, pielęgniarki, czasami studenci.
"Często zbiera się te informacje przy innych pacjentach i ich rodzinach" - dodała.
Generalny inspektor ochrony danych osobowych Edyta Bielak-Jomaa wskazała, że RODO do danych osobowych w dziedzinie zdrowia zalicza te informacje, które mówią o przeszłym, obecnym i przyszłym stanie fizycznym lub psychicznym danej osoby.
Chodzi m.in. o dane, które są zbierane podczas rejestracji osoby do usług medycznych, w trakcie świadczenia takich usług, informacje pochodzące z badań laboratoryjnych, lekarskich, danych genetycznych, badań płynów ustrojowych, próbek biologicznych, wszelkie informacje dotyczące ryzyka chorób, historii chorób, leczenia klinicznego.
"To jest ogromna ilość danych, która jest przetwarzana w związku z procesami medycznymi, procesem leczenia. Trzeba pamiętać, że dane te mogą być przetwarzane w celu ochrony zdrowia, czy świadczenia usług medycznych" - dodała.
Zwróciła uwagę, że ważne są nie tylko zabezpieczenia techniczne przetwarzanych danych osobowych, lecz także zabezpieczenia organizacyjne. "Zawsze najsłabszym ogniwem jest człowiek" - podkreśliła, dodając, że - jak wynika z doświadczenia GIODO - "w znakomitej liczbie przypadków to nie urządzenia, system zawiódł, tylko człowiek który nie miał wiedzy, nie miał świadomości albo zrobił to celowo".
Poinformowała, że do biura GIODO wpływają skargi dotyczące przetwarzania danych osobowych w służbie zdrowie, które np. dotyczą braku poufności, bo rejestracja przyszłych pacjentów jest tak zorganizowana, że wszyscy słyszą nie tylko imię, nazwisko i adres, lecz także PESEL czy rodzaj badania, na jakie dana osoba się zapisuje. Skargi dotyczyły również tego, że monitory komputerów były tak ustawione, iż "w zasadzie były dostępne dla nieograniczonego kręgu osób".
Z kolei sekretarz stanu w kancelarii premiera Jarosław Pinkas (były wiceminister zdrowia) zwrócił uwagę, że wiele informacji na temat swojego zdrowia pacjenci udostępniają w internecie.
"Pacjent po powrocie do domu siada przed komputerem i w internecie zamieszcza na portalu znanylekarz.pl opinie i precyzyjnie opisuje swój stan zdrowia. Następnie dokładnie robi to samo na Facebooku. To wszystko jest w sieci. Niczego nie ma prostszego niż stworzenie prostej nakładki informatycznej, żeby zebrać to, co pojawia się w sieci, i wyciągnąć wnioski na temat problemów zdrowotnych danej populacji" - dodał.