Problemy z wydawaniem dokumentacji medycznej, przetwarzanie danych w innych celach, niż zostały uzyskane, nieprawidłowości w stosowaniu monitoringu w szpitalach i przychodniach – to kwestie najczęściej się powtarzające zarówno w skargach, jak i pytaniach kierowanych do Urzędu Ochrony Danych Osobowych (UODO) w związku z RODO.
Choć unijne rozporządzenie w sprawie ochrony danych osobowych obowiązuje już dziewięć miesięcy, jego stosowanie nadal sprawia problemy placówkom medycznym. Aby im to ułatwić, opracowano Kodeks Branżowy w ochronie zdrowia. W listopadzie zeszłego roku został on złożony do UODO w celu zatwierdzenia. O postępach tych prac dyskutowano wczoraj na konferencji „RODO w sektorze medycznym”.
Sytuacje niejednoznaczne
Paulina Dawidczyk z UODO podkreślała, że trwa to długo, ponieważ wiele kwestii wymaga szczegółowego wyjaśnienia. Jako przykład wskazała wysyłanie pacjentom zaproszeń na badania profilaktyczne. Jest to przetwarzanie danych w innych celach, niż zostały zebrane. – W tym kontekście należy odpowiedzieć na pytanie, gdzie kończy się profilaktyka, a zaczyna marketing – mówiła. Podkreślała, że prezes UODO w żadnym razie nie chce ograniczać możliwości prowadzenia profilaktyki przez placówki medyczne, ale musi wyważyć interes obu stron, biorąc pod uwagę, że skargi od pacjentów, którzy sobie tego nie życzą, już do urzędu trafiają. Przyznała, że jest to jedna z najważniejszych kwestii, a pogodzenie obu stron będzie dużym wyzwaniem. Pojawiła się propozycja, by takie praktyki musiały być uzasadnione stanem zdrowia, odnotowane w dokumentacji pacjenta, ale rozwiązanie to nie zawsze się sprawdzi (np. w przypadku badań przesiewowych).
Innym trudnym do rozstrzygnięcia problemem – zgłaszanym głównie przez środowisko farmaceutyczne – są przypadki mylnego wydawania pacjentom lekarstw. W takiej sytuacji naturalnym odruchem pracownika apteki jest telefon do przychodni z prośbą o udostępnienie danych pacjenta. Czy można je podać? Zdaniem Pauliny Dawidczyk w przepisach RODO są ku temu przesłanki, ale każdy taki przypadek powinien być rozpatrywany indywidualnie.
Według Piotra Najbuka z kancelarii DZP, jednego z koordynatorów prac nad kodeksem, jeśli z analizy ryzyka wynika, że jakiś wymóg związany z ochroną danych może zagrozić bezpieczeństwu i zdrowiu pacjenta, to jego dobro musi przeważać. – Taka jest moja rekomendacja jako prawnika i jest ona zgodna ze stanowiskiem UODO – podkreślał.
Błędy ludzkie
Wśród problemów, z którymi najczęściej się styka, doradzając placówkom medycznym, Piotr Najbuk wymienił m.in. kwestie uregulowania relacji pomiędzy podmiotami, czyli zawieranie umów o przetwarzaniu danych. Wskazywał, że są one zawierane nagminnie – każdy z każdym, również wtedy, gdy nie ma takiej konieczności. A to, jak podkreślał, może mieć swoje konsekwencje. Może dojść do sytuacji, że strona takiej umowy, np. przychodnia, z którą szpital podpisał umowę na określone badania, w przyszłości sprzeciwi się, gdy będzie on chciał np. zawrzeć umowę z nowym dostawcą sprzętu informatycznego.
Zwrócił uwagę, że ochrony w związku z RODO domagają się także lekarze. Jak mówił, coraz częściej pojawiają się głosy, że nie życzą sobie oni, by ich nazwisko było na plakietce czy tabliczce na drzwiach gabinetu. Zdarzyło się nawet, że lekarz z miasta powiatowego sprzeciwiał się, by w internecie była informacja o tym, kto danego dnia dyżuruje. Jak argumentował, dzięki temu złodzieje będą wiedzieli, że nie ma go w domu. Piotr Najbuk podkreślił jednak, że tu wytyczne są jednoznaczne: lekarzom jako wykonującym zawód zaufania publicznego należy się mniejsza ochrona niż pacjentom.
Wskazał, że w związku z RODO została już nałożona pierwsza kara administracyjna na szpital. Miało to miejsce w Portugalii, a problem dotyczył kwestii zarządzania uprawnieniami. Pracowało tam ok. 200 medyków, a kont lekarskich było ok. 900. Zaznaczył, że w Polce również jest wiele lecznic, które nie mają rozsądnych zasad zarządzania hasłami. Personel medyczny ma tam dostęp do danych wszystkich pacjentów, niezależnie, czy ich leczy, podobnie administracja. Nie aktualizuje się kont – ludzie odchodzą, konto zostaje. – Jest pokusa, by możliwie jak najszerzej zapewnić dostęp do danych, ale to bardzo ryzykowne działanie – ocenił.
Paulina Dawidczyk wskazywała, że naruszenia przestrzegania RODO, o których informacje trafiają do UODO, najczęściej są efektem błędów ludzkich. Są to np. kradzieże sprzętu z danymi, udostępnianie danych pacjenta podmiotom nieuprawnionym. Jak mówiła, naruszenia i skargi są dla urzędu inspiracją do kontroli – źródłem wiedzy, gdzie tkwią problemy. Tym bardziej że ich tematy często się pokrywają.