Niespodziewanie pytania o prywatność, ochronę danych osobowych i zaufanie do cyfryzacji usług publicznych wyłaniają się jako ważne elementy kampanii wyborczej. Wszystko za sprawą ministra zdrowia, według doniesień także kandydata na posła. Adam Niedzielski, ujawniając dane o przepisanych lekach jednego z pacjentów (także lekarza), potencjalnie wysadził w powietrze zaufanie do cyfryzacji w Polsce. Państwowych rejestrów i baz danych jest wiele, regularnie powstają nowe. Czy dziś społeczeństwo może się obawiać ujawniania innego rodzaju danych, w sposób arbitralny?
Minister nie miał prawa udostępniać informacji o pacjencie. I musi zdawać sobie z tego sprawę. Wyraził to zresztą nie wprost wpisem na Twitterze/X z 5 sierpnia, gdzie zgodnie z prawdą wskazał, że na mocy ustawy ma prawo wglądu w dane. Pominął jednak sedno – czy miał prawo takie informacje ujawnić publicznie. Otóż takiej podstawy brak. Co więcej, zasady ochrony danych osobowych wprost wskazują na brak takich możliwości. Informacje o zdrowiu podlegają szczególnej ochronie. Niewątpliwie podanie do publicznej wiadomości kategorii przepisanych leków ujawnia informacje zdrowotne. Leki czemuś służą: terapiom, są przepisywane na konkretne dolegliwości, choroby, stan zdrowia. Z rodzaju leków można wywnioskować informacje o stanie zdrowia.
To, co zrobił Niedzielski, naturalnie rodzi pytanie, czy zachodzi ryzyko ujawniania podobnych danych w przyszłości. Na przykład dotyczących innych osób krytykujących polityków. Danych w różnorakich rejestrach państwowych jest w bród. Właśnie powstający Centralny Rejestr Wyborców, system PESEL, system o świadczeniach medycznych lub społecznych, mObywatel… Albo system automatycznie skanujący tablice rejestracyjne samochodów, wkrótce wdrażany w okolicach Warszawy automat sprawdzający, do kogo należy samochód. Gdzieś trafią informacje o położeniu pojazdu o konkretnym czasie. Pojazdu, zatem i jego kierowcy.
Kluczowym aspektem cyberbezpieczeństwa jest integralność, czyli brak modyfikacji danych w sposób nieuprawniony lub przypadkowy. Dostępność – że można z nich korzystać, gdy jest taka potrzeba. I poufność – to, że nikt niepowołany nie uzyska do nich dostępu, np. nie wykradnie ich lub nie upubliczni. W rzeczonym przypadku naruszono zasadę poufności, podstawowy element cyber bezpieczeństwa, ale także bezpieczeństwa przetwarzania danych osobowych.
Problem naruszenia zaufania do przechowywania takich danych obywateli jest realny. Od tej pory można mieć uzasadnione merytorycznie wątpliwości wobec zaufania do tych systemów. O ile nie zostaną podjęte jakieś działania zapobiegawcze wobec tych systemów albo np. konsekwencje wobec osób. Chodzi o przywrócenie wiary i zaufania w cyfryzację i zarządzanie informacjami o obywatelach. Jeśli jednak w Polsce kształtuje się standard unikania odpowiedzialności za działania, to opcji jest mało. Co nieuchronnie prowadzi do podkopania zaufania do państwa. Czy to koszt, na jaki może sobie ono pozwolić?
Prawo do prywatności i ochrony danych osobowych ma moc konstytucyjną. Na mocy naszej ustawy zasadniczej, a także Karty praw podstawowych Unii Europejskiej. Sprawa jest jasna. Artykuł 107 ustawy o ochronie danych osobowych, uchwalonej przez rząd Zjednoczonej Prawicy, stanowi, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony”, w przypadku „danych dotyczących zdrowia” może się liczyć z karami: „grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech”.
Upublicznienie to przetwarzanie. Jak traktować te zapisy w tym przypadku? Działania podjęły osoba fizyczna, urzędnik państwowy czy też ustawowa instytucja, tj. „minister właściwy ds. spraw zdrowia”? Według unijnego rozporządzenia o ochronie danych osobowych RODO (w Polsce implementuje je ustawa o ochronie danych osobowych) dane osobowe dotyczące stanu zdrowia uwzględniają przepisane rodzaje leków, jako informacje ujawniające stan zdrowia, związane z określonymi świadczeniami (tu przepisanymi receptami). Czy w tym przypadku tzw. interes publiczny mógłby uzasadniać ujawnienie jakichś informacji? To nie nasz problem! Z pewnością nie było potrzeby ujawnienia wyczerpujących informacji o konkretnym rodzaju leków. Nie było takiej potrzeby.
Jeśli już zaszła chęć lub potrzeba skontrowania wypowiedzi lekarza, to można było powiedzieć, że leki zostały przepisane. Ujawniając nadmiarowo precyzyjne informacje – o rodzaju leków – przekroczono ten próg. Dane o zdrowiu podlegają szczególnej ochronie, a zgodnie z art. 83 RODO Urząd Ochrony Danych Osobowych w wyniku śledztwa może nałożyć karę pieniężną. Nie będzie to kwota do 20 mln euro – rząd zmniejszył wysokość kary dla podmiotów publicznych. Maksymalna grzywna, którą można nałożyć, wynosi 100 tys. zł, w przybliżeniu ekwiwalent rocznych zarobków sekretarki/sekretarza we Francji.
Teraz będzie jeszcze absurdalniej. Jeśli uznać, że to minister zdrowia formalnie jest administratorem systemów ministerstwa, to organ ten, tj. ustawowy minister zdrowia, powinien zgłosić fakt naruszenia ochrony danych osobowych przez osobę pełniącą obowiązki ministra zdrowia do Urzędu Ochrony Danych Osobowych (UODO). W ciągu 72 godzin od faktu pozyskania wiedzy o naruszeniu, czyli od momentu upublicznienia danych. W przypadku zaniechania tego obowiązku UODO zyskuje kolejne przesłanki w ewentualnym postępowaniu.
Czy do postępowania dojdzie…? To już zależy od niezależnego na mocy ustawy prezesa UODO. Ponieważ jednak Naczelna Izba Lekarska poinformowała o złożeniu skargi, można oczekiwać, że i tak trafi ona na biurko szefa UODO. Sprawa pozornie wydaje się prosta, choć UODO może zechcieć przeprowadzić ogólniejszą kontrolę systemów IT ochrony zdrowia oraz zasad dostępu do danych. Być może zachodzą przesłanki weryfikacji procedur w związku z tzw. ryzykiem cyberbezpieczeństwa insider threat. System i zasady ich działania powinny ograniczać nadużycia ze strony osób, które z racji miejsca pracy mogą mieć do nich dostęp, a zdecydują się tego dostępu nadużyć. W tym przypadku bulwersuje też, że te informacje zostały upublicznione na prywatnym koncie w mediach społecznościowych pracownika ministerstwa (tj. ministra).
Nikomu nie życzę życia w świecie, gdzie prywatne i wrażliwe informacje o receptach i świadczeniach zdrowotnych są upubliczniane. Sprawa ta jeszcze raz podkreśla, jak złym pomysłem byłoby wprowadzenie wyborów elektronicznych przez internet. Takie systemy są przez kogoś administrowane, nadzorowane. Wyjaśniałem wielokrotnie wiążące się z tym problemy (np. „Nie spieszmy się głosować przez internet”, DGP 27/07/19). Z cyfryzacją trzeba ostrożnie. Natychmiastowy dostęp do danych o obywatelu to duża odpowiedzialność. Powinno być to powierzane osobom, które nie tylko potrafią używać komputera i internetu, lecz także z tej odpowiedzialności zdają sobie sprawę i potrafią działać w sposób dojrzały. ©℗