Jeśli placówka medyczna chroni dane osobowe w odpowiedni sposób, zgodnie z obowiązującym prawem, wdrożenie RODO nie będzie dla niej dużym wyzwaniem – przekonują eksperci. Większym problemem będzie zmiana świadomości.



RODO, czyli unijne rozporządzenie dotyczące przetwarzania danych osobowych zacznie obowiązywać już w najbliższy piątek. Co to oznacza dla sektora zdrowotnego? Zdaniem ekspertów na pewno nie rewolucję. Obecne przepisy dobrze chronią dane pacjentów. Placówki medyczne, jako podmioty przetwarzające dane szczególnie wrażliwe, już teraz muszą przestrzegać wielu restrykcyjnych zasad. Inna sprawa, czy rzeczywiście je stosują. Tu eksperci już mają poważne wątpliwości.
Dane bez nadzoru
Doktor Maciej Kawecki, koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, pytany, w których obszarach ochrony zdrowia stosowanie RODO jest największym wyzwaniem, wskazuje tak błahe czynności jak rejestracja pacjentów. – Chodzi o to, by wszyscy oczekujący na wizytę w przychodni nie słyszeli imienia i nazwiska konkrentego pacjenta. Do niekomfortowych sytuacji może doprowadzać oznaczanie drzwi gabinetu tabliczką z informacją o specjalizacji lekarza – mówi.
Częstym przykładem naruszeń przepisów ochrony danych osobowych jest rozkładanie przez lekarza na stole kart chorych, gdzie widzi je wchodzący do gabinetu pacjent. Albo ustawianie monitora w taki sposób, że każdy może przeczytać wyświetlone na nim informacje. To jednak, jak podkreślają eksperci, naruszenia nie tylko RODO, ale już obowiązujących przepisów.
–Regulacje dotyczące ochrony danych mamy od dawna. Dobrze, kiedy o tym mówimy i weryfikujemy swoje procedury, ale to w zasadzie tylko zmiany technicznych sposobów zabezpieczania danych związane z postępem. Uważam, że to jest ponowne przywołanie tematu, który od wielu lat leżał w lecznicach odłogiem – ocenia Rafał Janiszewski, właściciel kancelarii doradzającej służbie zdrowia.
Podobnego zdania jest Piotr Najbuk z kancelarii Domański Zakrzewski Palinka. – Nie od dziś wiadomo, że dane osobowe chorych trzeba chronić. Co więcej, naruszenie tych zasad ogranicza prawa pacjenta. A to łamie zasady RODO – mówi.
– Z naszej praktyki w ramach wdrażania RODO wynika, że bardzo wiele rzeczy zostaje po staremu – dodaje. Przykładowo, jeśli ktoś ma dobrą instrukcję zarządzania systemem informatycznym, dobrą politykę bezpieczeństwa danych osobowych, to procedury w dużej mierze są takie same. – Prawda jest taka, że zwłaszcza w przypadku placówek medycznych okres dostosowawczy do RODO to były nie dwa lata, ale dwie dekady. Jeśli ktoś był przygotowany na obecny stan prawny, to RODO nie jest dużym wyzwaniem – ocenia prawnik.
Rafał Janiszewski podkreśla, że głównym problem w podmiotach leczniczych będzie wprowadzenie zmiany mentalnej. – Żadne przepisy i kary niewiele zdziałają, jeśli sami nie zmodyfikujemy naszego działania – mówi.
Zdaniem ekspertów bardziej niż kar placówki medyczne powinny obawiać się konsekwencji nienależytej staranności. Piotr Najbuk uważa, że dzięki RODO zwiększy się świadomość ludzi, którzy dotychczas coś o ochronie danych słyszeli, ale teraz lepiej rozumieją, co to znaczy. – Dyscyplinująco może działać po pierwsze obowiązek samozgłaszania naruszeń przez administratora danych. Drugi element to nawet nie kary administracyjne, ale odpowiedzialność cywilna. Bo dla placówek publicznych sankcje nie są takie duże, jest ograniczenie odpowiedzialności do 100 tys. zł. To, co będzie bolesne, to np. potencjalna możliwość odpowiedzialności w ramach pozwów zbiorowych. Proszę sobie wyobrazić, że mamy naruszenie danych 5 tys. pacjentów i każdy z nich będzie żądał po 1 tys. zł. To już się robi 5 mln zł – wskazuje Piotr Najbuk.
Maciej Kawecki zwraca uwagę, że przede wszystkim trzeba postępować racjonalnie, adekwatnie do sytuacji. Na przykład podpisywanie imieniem i nazwiskiem kroplówki jest zasadne i często uzasadnione ochroną żywotnych interesów pacjenta. Mówi o tym art. 9 RODO. – Prawo ochrony danych osobowych ma ograniczenia, ustępuje czasami nawet prawu do swobody działalności gospodarczej, a co dopiero prawu do ochrony życia – podkreśla.
Potrzebne wsparcie
Tego spokoju, który cechuje ekspertów, nie podzielają lekarze i szefowie placówek medycznych. – Jest to wyzwanie, bo musimy przeszkolić ludzi, pilnować procedur i usprawniać nasze systemy informatyczne – mówi Jarosław Fedorowski, prezes Polskiej Federacji Szpitali. Podkreśla, że placówki medyczne są w szczególnie trudnej sytuacji, bo w naszym kraju są one słabo finansowanymi jednostkami. – Porównajmy je z bankowością czy firmami ubezpieczeniowymi, dużymi zakładami pracy. One pracują na poziomie finansowania europejskiego, a nasze szpitale – na poziomie ośmiokrotnie niższym niż lecznice w Europie Zachodniej – podkreśla.
Naczelna Izba Lekarska przyznaje, że są medycy, którzy podchodzili dotychczas do sprawy ochrony danych z rezerwą i z pewnością dla nich RODO jest rewolucyjną zmianą. Podkreśla też, że właśnie dużych kar finansowych lekarze obawiają się najbardziej. Niepokoją też koszty związane z przygotowaniem odpowiedniego środowiska IT. Prezydium NRL postulowało, aby podmioty lecznicze, które będą musiały ponieść te nakłady, miały zapewnione większe finansowanie świadczeń.
Ewa Borek, prezes Fundacji My Pacjenci, uważa, że zarówno chorzy, jak i świadczeniodawcy potrzebują wsparcia przy wdrażaniu nowych regulacji. – Rola państwa jest tu ogromna – podkreśla. Jej zdaniem dla świadczeniobiorców RODO zmieni bardzo wiele, ale tylko pod warunkiem, że uzyskają oni pomoc w zarządzaniu swoimi danymi. Ewa Borek podkreśla, że musi to być wsparcie instytucjonalne. Całe społeczeństwo powinno przejść edukację w zakresie ochrony danych medycznych i powinna powstać 24-godzinna infolinia, żeby można było we właściwy sposób podejmować decyzje dotyczące zarządzania danymi.
Kodeks pomoże branży
Choć zdaniem ekspertów rewolucji w związku z RODO nie będzie, pojawią się jednak nowe obowiązki dla placówek medycznych. Pomóc ma im kodeks branżowy, nad którym prace dobiegają końca. RODO, ze względu na swoją uniwersalność, nie może regulować wszystkiego. Kodeks doprecyzuje wdrażanie unijnych przepisów w danej branży, a przestrzeganie go ma być okolicznością przemawiającą za wywiązywaniem się z obowiązków nałożonych przez RODO.
Maciej Kawecki uważa, że to dobre rozwiązanie, bo w stosowaniu RODO bardzo ważna jest racjonalność i rozsądek pracowników służby zdrowia. Ma jednak wątpliwości, czy wystarczy jeden kodeks dla całej branży. – Na pewno potrzebne są szczególne kodeksy dotyczące np. badań genetycznych, diagnostycznych. Nie jest również wykluczone, że konieczne będzie tworzenie kodeksów dostosowanych do określonych specjalizacji lekarskich – podkreśla.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego oraz Rady (WE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE