Czy profilowanie pacjentów na podstawie ich danych medycznych przez sieć aptek, po wyrażeniu zgody, to coś złego?
DGP
Prof. Robert Gwiazdowski, adwokat

Nie

DGP
Skoro państwo może profilować osoby, które wyrażą na to zgodę, to czemu nie miałby tego robić biznes? Kluczowe jest to, by zgoda ta była świadoma, a nie dorozumiana. Dobrym rozwiązaniem byłoby wprowadzenie testów konsumenta, jakie są w sprawach dotyczących instrumentów finansowych. Minimum powinno być wyszczególnienie w klarownych punktach, na co za chwilę zgodzi się konsument. Można pomyśleć o robieniu prostych testów osobom wyrażającym zgodę na profilowanie. Od przedsiębiorców oczekuję, że przygotowany przez nich sposób wyrażania zgody przez konsumentów będzie upraszczał zrozumienie sprawy, a nie utrudniał. Oczywiście rozwijająca się technologia to zarówno szansa, jak i zagrożenie. Odnosząc się do sprawy sieci aptek opisywanej przez DGP, uważam, że nie powinno dochodzić do pobierania danych klientów przez podmiot prywatny z obowiązkowego systemu publicznego.
Piotr Sędłak, radca prawny

Tak

Profilowanie to rodzaj automatycznego przetwarzania danych. Musi odbywać się na podstawie prawnej, np. zgody osoby, której dane dotyczą. Problem zaczyna się wówczas, gdy osoba nie wie w gruncie rzeczy, na co wyraża zgodę albo jest wprowadzona w błąd co do: faktycznego celu przetwarzania, niezbędnego zakresu danych, tożsamości administratora czy samego faktu podlegania profilowaniu. Zgodnie z RODO zgoda musi być zaś: świadoma, dobrowolna, jednoznaczna i związana z konkretną operacją przetwarzania. Nie może być też warunkiem realizacji umowy. W każdym innym przypadku mamy do czynienia z wyłudzeniem danych. Dlatego profilowanie danych pacjenta jest kontrowersyjne. Bo może on nie mieć pełnej wiedzy, komu jego dane są udostępniane, w jakim celu i jak są zabezpieczane. Z kolei przy realizacji e-recepty tego typu praktyka jest w ogóle niedozwolona, gdyż ustawodawca jasno określił, że dane z takiej recepty mają być przetwarzane w ramach apteki i tylko w przeznaczonym do tego systemie informatycznym.
Czy przetwarzanie danych o zdrowiu przez komercyjne podmioty może prowadzić do poważnych w skutkach wycieków danych?
Prof. Robert Gwiazdowski, adwokat

Tak, ale

Przetwarzanie danych oczywiście oznacza ryzyko wycieku danych. Gdybyśmy żadnych informacji nie zbierali, to nie musielibyśmy się obawiać, że coś wycieknie. Szkopuł w tym, że nie można się obrażać na nowoczesność. Jeśli więc ktoś jako główne ryzyko w przetwarzaniu danych medycznych widzi ryzyko wycieku, zalecam mu wyjechać do bieszczadzkiej głuszy lub cofnąć się w czasie do 1980 r. Ba, przetwarzanie danych przez komercyjne podmioty jest mniej ryzykowne niż przez podmioty publiczne. Wyobraźmy sobie bowiem dwie sytuacje. W jednej dane medyczne są przechowywane i przetwarzane przez państwo. Okazuje się, że jest luka w systemie i dochodzi do ogromnego wycieku. Druga sytuacja to przypadek, gdy dane zbiera wiele sieci aptecznych. Jeden klient przekazuje informacje jednej, drugi – innej. Dochodzi do wycieku u któregoś z przedsiębiorców. Jakkolwiek więc są ofiary w postaci pacjentów, których dane wyciekły, to jest ich znacznie mniej niż przy wycieku z publicznego źródła.
Piotr Sędłak, radca prawny

Tak

Przetwarzanie danych osobowych zawsze wiąże się z ryzykiem. Im więcej danych, im większa organizacja, tym większe ryzyko, że może dojść do naruszenia. Im zaś wrażliwsze dane, tym większe prawdopodobieństwo, że skutki incydentu będą powodować bardzo wysokie ryzyko naruszenia praw i wolności osób, których one dotyczą. Przeciwdziałać ma temu nie tylko ustanowienie surowych regulacji (część wynika z RODO), ale również i odpowiedni system zarządzania bezpieczeństwem informacji. Rolą administratora jest tych regulacji przestrzegać, a system – wdrożyć (art. 24 i 32 RODO). W kontekście sieci aptek, o której pisał DGP, sprawa jest klarowna – nie wolno, co do zasady, udostępniać danych pacjenta (art. 103 ust. 2 pkt 4a prawa farmaceutycznego). Problemem jest jednak to, że pojedyncza apteka może stać się trybikiem w korporacji. Ryzyko naruszenia danych rośnie, gdy taki podmiot podlega odgórnemu zarządzaniu i ostatnie słowo zawsze należy do właściciela sieci. A ten nakierowany jest przede wszystkim na zysk, więc dane pacjenta może traktować instrumentalnie.
Czy przekazywanie danych medycznych globalnym korporacjom może przynieść jakieś korzyści pacjentom?
Prof. Robert Gwiazdowski, adwokat

Nie

To znaczy jakieś zapewne może, ale mam poważne obawy o to, w jaki sposób mogą być wykorzystywane dane przez największe globalne korporacje. Każdemu, kto się nie obawia, polecam zrobić prosty test: skontaktować się w jakiejkolwiek sprawie z biurem Facebooka i cokolwiek załatwić. Człowiek najpierw przez wiele godzin szuka jakiegokolwiek kontaktu, a potem ma wrażenie, że rozmawia z maszyną. Jako zwolennik rozproszonego gromadzenia danych muszę być konsekwentny. Skoro uważam, że bezpieczniejsze jest przechowywanie ich przez wielu przedsiębiorców, to zarazem nie podobałby mi się model, w którym ostatecznie i tak trafiają one do jednego kotła. Na marginesie, gdy widzę oburzenie na gromadzenie danych osobowych przez prywatne podmioty, przypomina mi się anegdota. Na początku 90. XX w., gdy pracowano nad przepisami o ochronie danych osobowych, Jan Maria Rokita przekonywał wówczas nieprzekonanych, że po wejściu w życie ustawy nareszcie do skrzynek pocztowych obywateli przestaną być wrzucane śmieciowe ulotki. Jak wyszło, wszyscy widzimy. Nie ma więc co oburzać się na nowoczesność, lecz po prostu musimy ją zrozumieć.
Piotr Sędłak, radca prawny

Nie

Globalne korporacje traktują małe kraje jak przestrzeń neokolonialną. Mają bardzo luźne podejście do obowiązującego w nich prawa. Modelowym przykładem tego są właśnie podmioty prowadzące apteki sieciowe w Polsce. Lekceważąco odnoszą się one do wielu nakazów i zakazów, jakim podlegają, np. obowiązku płacenia podatków w kraju czy uczciwego konkurowania (nieprzekraczania progów koncentracji, nienaruszania zakazów reklamowych etc.). Ostatni skandal, związany z – jak wiele na to wskazuje – bezprawnym przetwarzaniem danych pacjentów w specjalnej aplikacji oraz wyprowadzaniem ich na zagraniczne serwery, to jedynie konsekwencja realizowanej wcześniej strategii biznesowej. W kontekście tego można powiedzieć, że niezwykle ryzykowne jest udostępnianie danych pacjenta globalnym korporacjom, które traktują je jako rodzaj waluty. W sytuacjach kryzysowych, np. wycieku danych, konsekwencje takich naruszeń mogą być bardzo poważne, zwłaszcza w odniesieniu do danych wrażliwych.