Najwięcej przypadków niezgodnego z prawem ujawniania danych osobowych występuje w sektorze ochrony zdrowia. Częstą ich przyczyną są błędy ludzkie, a nie brak odpowiednich zabezpieczeń technicznych - mówi dr Gabriela Bar, radca prawny i partner zarządzający w kancelarii Szostek Bar i Partnerzy.

Od początku pandemii koronawirusa widzimy dynamiczny rozwój usług e-medycyny. Czy przeniesienie części świadczeń medycznych poza gabinet lekarski to z punktu widzenia RODO krok w dobrą stronę czy niebezpieczna tendencja?
To właściwy kierunek. Nie sądzę, aby RODO stało rozwojowi tego rodzaju usług na przeszkodzie. Oczywiście pojawiają się obawy dotyczące elektronicznego przesyłania wrażliwych danych, ale wynika to wyłącznie z tego, że technologia rozwija się w tak zawrotnym tempie, że często nie rozumiemy, jak działa. Ciekawe społecznie jest jednak to, że obawiamy się nowych technologii stosowanych w usługach opieki zdrowotnej, jednocześnie instalując aplikacje zbierające informacje o aktywnościach i zdrowiu użytkownika. Na rynku jest ich ponad 300 tys. Coraz częściej smartfony monitorują nasz stan zdrowia (puls, ciśnienie krwi, poziom cukru itd.), a my nie zadajemy sobie nawet pytania, do kogo trafiają te dane, jak są zabezpieczone i jak mogą być wykorzystane bez naszej wiedzy. Tymczasem to właśnie w tzw. mHealth znajdują się najpoważniejsze luki w wymogach dotyczących bezpieczeństwa.
Czy wyciek informacji np. o naszym ciśnieniu może być niebezpieczny?
Wszystko zależy od kontekstu. Są przypadki oczywiste, np. upublicznienie informacji, że ktoś jest nosicielem wirusa HIV, które może spowodować dla tej osoby negatywne skutki nie tylko w sferze majątkowej (np. utrata pracy), ale i osobistej (np. wykluczenie lub ostracyzm). Innym przykładem – podawanym przez Grupę Roboczą art. 29 w wytycznych dotyczących zgłaszania naruszeń – jest ujawnienie imienia i nazwiska oraz adresu rodzica adopcyjnego rodzicowi biologicznemu, co może mieć bardzo poważne konsekwencje dla rodzica adopcyjnego i dziecka.
Należy jednak pamiętać, że w związku z dynamicznym rozwojem rozwiązań wykorzystujących sztuczną inteligencję dane, które dotychczas były traktowane jako nieosobowe, mogą stać się osobowymi, i to nawet wrażliwymi (sensytywnymi). Na przykład przetwarzane osobno informacje o wzroście, wadze i wieku zazwyczaj mają charakter nieosobowy, ale zestawione razem przez oprogramowanie do analizy danych i połączone z konkretnym pacjentem mogą stać się danymi o stanie zdrowia, bo będą wskazywały na to, że osoba ta jest np. otyła. Jeśli do tego dołożymy dane o płci i pochodzeniu etnicznym, to możliwe stanie się wyciąganie wniosków co do zagrożenia tej osoby określonymi chorobami.
Na co w kontekście ochrony danych powinni zwrócić uwagę pacjenci korzystający z usług e-medycyny?
O bezpieczeństwo danych powinni zadbać ich administratorzy, czyli w tym przypadku podmioty lecznicze. Obowiązki w tym zakresie wynikają dla nich nie tylko z RODO, ale również z przepisów szczególnych, np. dotyczących prowadzenia dokumentacji medycznej, ustawy o systemie informacji w ochronie zdrowia itd. Pacjent przed udostępnieniem swoich danych może jednak sprawdzić, czy dany usługodawca jest w ogóle podmiotem leczniczym w rejestrze podmiotów wykonujących działalność leczniczą (RPWDL). Może również, powołując się na RODO, zażądać od administratora (czyli przychodni lub szpitala) konkretnych informacji. Może pytać, jakie dane są przetwarzane, w jakich celach i przez jaki okres będą przechowywane, komu są ujawniane oraz czy będą przekazywane poza obszar EOG (a więc tam, gdzie RODO nie obowiązuje). Administrator musi też udzielić informacji, czy na podstawie naszych danych dokonuje profilowania lub zautomatyzowanego podejmowania decyzji, a jeśli dane osobowe nie zostały zebrane od nas bezpośrednio, podać wszelkie dostępne informacje o ich źródle.
Co możemy zrobić, gdy dojdzie do wycieku naszych danych z placówki medycznej?
Jeśli istnieje przy tym ryzyko naruszenia praw lub wolności pacjenta, podmiot leczniczy ma 72 godziny na to, aby zawiadomić prezesa Urzędu Ochrony Danych Osobowych. Przy czym jako zasadę trzeba przyjąć, że jeśli dane nie były zaszyfrowane, to w większości przypadków ze względu na ich sensytywność taki obowiązek wystąpi. Zgłoszenie musi opisywać charakter naruszenia, rodzaj danych, a także możliwe konsekwencje oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia jego skutkom.
Na tej podstawie organ nadzorczy może nakazać administratorowi, aby poinformował o naruszeniu osobę bezpośrednio dotkniętą tym incydentem. Jeśli ryzyko naruszenia praw i wolności pacjenta w związku z naruszeniem jest wysokie, administrator musi powiadomić taką osobę bez sygnału od prezesa UODO. Zawiadomienie to ma na celu przekazanie informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby mogą podjąć, aby uchronić się przed jego potencjalnymi negatywnymi skutkami naruszenia.
Jakie są przykłady środków ochronnych?
Na przykład założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania aktywności kredytowej, zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu i telefonu, samodzielne zgłoszenie naruszenia danych osobowych właściwym organom ścigania w celu zapobieżenia kradzieży tożsamości.
Chcę podkreślić, że incydentem bezpieczeństwa będzie nie tylko wyciek danych, ale także utrata dostępu do nich – choćby miała tymczasowy charakter. Utrata dostępu do danych medycznych w szpitalu może wiązać się z istotnym ryzykiem naruszenia praw i wolności osób fizycznych w postaci konieczności odwołania operacji, która jest niezbędna dla uratowania życia pacjenta. Dlatego tak ważne jest wprowadzenie w placówkach medycznych stosownych procedur zapobiegających takim sytuacjom.
W 2020 r. do UODO wpłynęło ponad 7500 zgłoszeń naruszeń RODO w odniesieniu do placówek medycznych. To dużo czy mało?
Mając na uwadze, że wedle statystyk prezesa UODO za 2019 r. w odniesieniu do sektora prywatnego od podmiotów opieki zdrowotnej wpłynęło 206 zgłoszeń naruszeń, a w sektorze publicznym było ich 166, co razem daje niecałe 400 zgłoszeń, to 7500 w 2020 r. to bardzo duża liczba. Niestety potwierdza to pewną tendencję, że to właśnie w sektorze ochrony zdrowia występuje najwięcej przypadków niezgodnego z prawem ujawniania danych osobowych.
Urząd wskazuje, że najczęstsze przypadki naruszeń w tym sektorze dotyczyły wysyłki dokumentacji medycznej do niewłaściwego adresata oraz wydawania wyników badań i recept nieuprawnionym osobom.
Z mojej praktyki wynikają podobne wnioski – bardzo częstą przyczyną naruszeń ochrony danych osobowych są po prostu błędy ludzkie, a nie np. brak odpowiednich zabezpieczeń technicznych. Prowadzenie dokumentacji medycznej i zarządzanie nią wiąże się ze szczególną odpowiedzialnością, dlatego placówki powinny przede wszystkim zadbać o ustawiczne szkolenie swojego personelu. Tak, by uświadamiać osobom mającym dostęp do danych osobowych, jakie spoczywają na nich obowiązki i jak ważne jest stosowanie się do przepisów RODO, ustaw szczególnych i regulacji wewnętrznych.
Co ważne, przy podawaniu swoich danych lub odbiorze wyników badań pacjenci powinni żądać prywatności. Niedopuszczalne jest wymaganie podawania na głos danych osobowych przy recepcji, gdy obok stoją inne osoby.
Placówka medyczna wysłała do innego pacjenta nasze wyniki badań bądź skan dokumentacji medycznej. Co dalej? Czy można jakoś przymusić nieuprawnionego odbiorcę do usunięcia naszych danych?
Niestety nie sposób „przymusić” nieuprawnionego odbiorcę danych do ich zwrotu lub usunięcia. Oczywiście administrator powinien go do tego wezwać. Jeśli ów odbiorca nie zastosuje się do wezwania administratora i będzie w jakikolwiek sposób korzystał z tych danych, to w większości przypadków będzie to czyn karalny lub niedozwolony podlegający odpowiedzialności karnej lub cywilnej. ©℗
Rozmawiała Dorota Beker