PARTNERZY PORTALU
partner portalu partner portalu partner portalu

RODO to naprawdę nie pole minowe

ms
28-08-2018, 10:45
RODO to naprawdę nie pole minowe Dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych (foto: archiwum)
- Tworzymy kompendium postępowania w szczególnie drażliwych sytuacjach występujących w ochronie zdrowia, a dotyczących wdrażania przepisów RODO. Poradnik  chcemy tak zredagować, aby łatwo można było znaleźć odniesienie do konkretnej sytuacji w regulacjach szczegółowych – zapewnia w rozmowie z infoDENT24.pl dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych.

infoDENT24.pl: Słyszymy zewsząd zapewnienia, że nie należy bać się RODO, tymczasem jedno co trzyma wielu świadczeniodawców, prowadzących indywidualne praktyki lekarskie, w jako takiej kondycji psychicznej to złudne przeświadczenie, że wymogi te ich nie dotyczą, bo "skala mojej działalności jest przecież tak niewielka". To pokazuje strach przed nowym.

Dr Maciej Kawecki: Bać się RODO nie ma co, jednak stawianie się poza jurysdykcją, ze względu na niewielką skalę prowadzonej działalności, może zaprowadzić na manowce. Wiem z czego takie myślenie wynika. Twórcy prawa, zwanego potocznie RODO, faktycznie operują sformułowaniem „dane w dużych zakresach” - „large scope processing”. Po pierwsze, pamiętajmy jednak, że wszelkie lecznice publiczne, bez względu na skalę ich działalności, podlegają przepisom RODO. Po drugie, należy sobie uświadomić, że nawet w przypadku świadczeniodawcy, funkcjonującego w branży medycznej w stosunkowo małej skali, mamy do czynienia z bazami danych osobowych opisanymi znacząca liczbą rekordów. Fakt, nie określono w przepisach sztywnej linii odcięcia, granicy „poniżej” i „powyżej”. Należy jednak przyjąć, że poza przypadkami okazjonalnie świadczonych porad lekarskich, nowe wymogi dotyczą praktycznie całego sektora usług medycznych.

infoDENT24.pl: Jeszcze przed wejściem w życie RODO sygnalizowaliśmy w rozmowie z Panem, że lekarz, lekarz dentysta, prowadzący indywidualną praktykę, musi zadecydować czy sam będzie chronił dane osobowe pacjentów - a to wariant bardzo ryzykowny - czy może powinien związać się umową ze specjalistyczną firmą. Ten drugi wybór jest także ryzykiem, bo potknięcie zleceniobiorcy nie zwalnia od odpowiedzialności zlecającego. Uspokajał Pan wówczas, że pewnym buforem bezpieczeństwa będą przepisy umożliwiające certyfikowanie firm, które oferują usługi w zakresie gromadzenia, przechowywania i przetwarzania danych osobowych. Czy zapowiedzi te się urzeczywistniły?

Dr Maciej Kawecki: Nie tylko podtrzymujmy te zapewnienia, ale potwierdzamy, że przepisy umożliwiające takie wsparcie - zostały wdrożone w życie wraz z regulacjami RODO. O taki certyfikat będzie można wystąpić do Prezesa Urzędu Ochrony Danych Osobowych. To swoista pieczęć bezpieczeństwa, dająca istotną gwarancję, że wiążemy się z firmą, która działa według procedur, akceptowanych przez organ nadzorczy. Ważne, że certyfikacją może zajmować się nie tylko UODO, ale także jednostki akredytujące z nadania Polskiego Centrum Akredytacji, to znacznie usprawni proces certyfikacji.

Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, wydawać będzie niewiążące rekomendacje dla poszczególnych branż, także medycznej, mówiące w jaki sposób: technicznie i organizacyjnie zabezpieczać dane osobowe. Do tego UODO ma prawo wynikające wprost z ustawy o ochronie danych osobowych. Nie byłyby to jednak wiążące wskazania, a głos doradczy podpowiadający właścicielom podmiotów leczniczych w jakim kierunku powinni podążać.

infoDENT24.pl: Takie rozwiązanie zwiastuje tylko połowę sukcesu. Sama możliwość nie oznacza jeszcze rzeczywistych działań. Polskie Centrum Akredytacji raczej nie chwali się swoją rolą w tym procesie. Prezes Urzędu Ochrony Danych Osobowych także ma pilniejsze obowiązki niż certyfikowanie firm informatycznych.

Dr Maciej Kawecki: Mówimy o pomocy, a nie o antidotum. Faktem jest, że przepisy wynikające z RODO nie mogą wskazywać w żaden sposób konkretnych zabezpieczeń danych. O tym decyduje każda placówka medyczna i to się nie zmieni. Dla przykładu, nikt nie podaje procedur w jaki sposób prowadzić dokumentację księgową, aby spełniała obligatoryjne wymogi.

W dobie rozbudowanych systemów przetwarzania danych szczegółowe instrukcje: kto i w jaki sposób powinien zajmować się elektroniczną dokumentacją - nie mają najmniejszej racji bytu. Określenie obligatoryjnego sposobu szyfrowania danych, czy sposobu tworzenia haseł dostępu nie daje żadnej gwarancji bezpieczeństwa. Tym bardziej, że ochrona informacji o pacjentach nie ogranicza się do przetwarzania rekordów zapisanych w bazach danych.

W sektorze zdrowia ważnym etapem jest z pewnością fizyczny kontakt z pacjentem i sposób korzystania z jego danych osobowych na różnym etapie procesu leczenia.

W wielu sytuacjach wystarczy posługiwanie się zdrowym rozsądkiem, który nie musi być wsparty biegłą znajomością ustawowych paragrafów. Trudno na przykład o logiczne wytłumaczenie wykładania przez lekarza na biurku wszystkich kart chorych w zasięgu wzroku pacjenta przebywającego akurat w gabinecie. Nie sposób obronić zwyczaj wywoływania po nazwisku chorych oczekujących w kolejce do lekarza. Odrobina dobrej woli wystarczy, aby zapanować nad nadmiernym stłoczeniem pacjentów w bezpośredniej bliskości okienka do rejestracji. Najprostszym sposobem może być wyznaczenie linii buforowej na posadzce. Takie przykłady można by mnożyć.

infoDENT24.pl: Rodzice nie mogą telefonicznie ustalić czy ich dziecko, uczestniczące w poważnym wypadku drogowym, znajduje się w konkretnym szpitalu; kroplówki nie są podpisywane imieniem i nazwiskiem chorego, a to zwiększa ryzyko pomyłki; brak nazwiska dawcy na opakowaniu narządu do przeszczepu uniemożliwia przeprowadzenie transplantacji, hospitalizowani pacjenci nie godzą się na rozmowę z lekarzami o stanie ich zdrowia w obecności innych chorych przebywających na sali. To tylko kilka przykładów swobodnej implementacji filozofii RODO, opisanej lakonicznym sformułowaniem: każdy musi dochować szczególnej staranności przy gromadzeniu, przechowywaniu, przetwarzaniu i udostępnianiu danych osobowych. Chyba nie chodziło właśnie o taki efekt wdrożenia unijnych przepisów zawartych w Rozporządzeniu Ogólnym o Ochronie Danych Osobowych.

Dr Maciej Kawecki: Nie ma takiej możliwości, aby stworzyć precyzyjne kompendium, zgodnie z którym należałoby krok po kroku realizować proces postępowania z pacjentem, z uwzględnieniem najlepszej praktyki w zakresie ochrony jego danych osobowych. Mnogość zdarzeń i złożoność przebiegu procesu leczenia nie pozwala na stosowanie sztywnych procedur. Nie zapominajmy, że obowiązki wykonywane przez lekarzy, lekarzy dentystów oraz pozostały personel medyczny zdeterminowane są dbałością o zdrowie, a nierzadko walką o życie pacjenta. 

Prośba zatem o niefetyszyzowanie rangi ochrony danych osobowych. Zgoda, jest to kwestia niezwykle ważna, szczególnie ważna w sektorze ochrony zdrowia, jednak w tym właśnie sektorze mamy najczęściej do czynienia z wartością nadrzędną. O ile RODO znajdzie się w konflikcie z konstytucyjnym wymogiem ochrony życia i zdrowia - absolutnie wygrywa życie i zdrowie. W takich sytuacjach nie można mieć obaw o jakiekolwiek reperkusje natury prawnej. To niedorzeczność.

infoDENT24.pl: Logika nakazuje tak postępować, ale z tytułu głowy majaczy myśl "a może właśnie ten pacjent pewnego razu pojawi się z bezwzględnym prawnikiem udowadniającym, iż zagrożenia życia de facto nie było, tymczasem chory poniósł poważną szkodę na skutek pozaproceduralnego pozyskania informacji o doskwierających mu dolegliwościach".

Inna sytuacja: przekazanie przez telefon informacji o stanie zdrowia dziecka osobie podającej się za rodzica - do procesu leczenia już z pewnością nie należy, zatem trudno w takim przypadku powoływać się na ochronny parasol wyższej konieczności.

Dr Maciej Kawecki: Zachowajmy logikę rozumowania. W tej konkretnej sytuacji nawiązanie kontaktu z rodzicami dziecka jest głęboko uzasadnione względami medycznymi. Lekarze, ratujący życie dziecka, często nie wiedzą czy młody pacjent ma przewlekłe schorzenia, na co jest uczulony, czy bierze, a jeśli tak - to jakie leki. Nie można pozbawiać się tego typu bezcennych informacji, ze względu na – być może – zbyt niski poziom ufności co do weryfikacji danych personalnych rozmówcy.

infoDENT24.pl: Zgoda. Co jednak poradzić odpowiedzialnym za realizowanie procesu kształcenia studentów medycyny i młodych lekarzy, którzy uczestniczą w badaniu pacjenta - przecież nie w charakterze osób leczących, lecz dopiero zdobywających doświadczenie? Chory może nie chcieć dzielić się swoimi problemami zdrowotnymi z większą grupą osób. Żądanie podpisywania takiej zgody przy przyjmowaniu do szpitala godzi w prawa pacjenta.

Dr Maciej Kawecki: Przepisy gwarantują pacjentowi prawo do poszanowania intymności i godności w czasie udzielania świadczeń zdrowotnych. Stanowią, że osoby wykonujące zawód medyczny, inne niż udzielające świadczeń zdrowotnych, uczestniczą przy udzielaniu tych świadczeń tylko wtedy, gdy jest to niezbędne ze względu na rodzaj świadczenia.

infoDENT24.pl: Niestety otoczenie branży medycznej także nie ułatwia spokojnej pracy. Trudno wymagać od tych, których obciążają obowiązki związane z RODO, zachowania zimnej krwi - skoro zewsząd atakują ich oferty firm prawniczych lub okołoprawniczych mówiące wprost, że tylko skorzystanie z fachowej, niestety najczęściej nie taniej, pomocy - uchroni realizatora usług medycznych od tragedii.

Dr Maciej Kawecki: W stosunku do prywatnych firm stosuje się zasadę - co nie jest zabronione, jest dozwolone. Nie możemy wiec zabronić tego typu aktywności. Widząc jednak problem, chcemy wprowadzić przepisy, w tym także przepisy prawa karnego, które skutecznie penalizowałyby działania firm wprowadzające w błąd kontrahentów co do obowiązku podejmowania przez nich określonych aktywności wyznaczanych przepisami RODO i w ten sposób wymuszających zakup określonych usług.

Podjęliśmy wysiłek, aby w sposób najbardziej przejrzysty informować o obowiązkach, zagrożeniach i prawach podmiotów w zakresie RODO. Taki kompleksowy przekaz zawiera, uruchomiony przez Ministerstwo Cyfryzacji, cykl filmów na You Tube #Oto_RODO, gorąco polecam.

infoDENT24.pl: Warto tę wiedzę przyswoić, jednak w branży medycznej w kategorii zbawienia mówi się raczej o kodeksach branżowych. Miały one roztoczyć płaszcz bezpieczeństwa nad tymi, którzy wezmą sobie do serca przygotowywane specjalnie dla nich regulacje. Wskazania miały być dedykowane poszczególnym dziedzinom medycyny. Tymczasem RODO obowiązuje - kodeksów nie ma.

Dr Maciej Kawecki: Choć nie jest rolą Ministerstwa Cyfryzacji przygotowywanie, ani nawet monitorowanie tego procesu, to bacznie obserwujemy postępy prac w tym zakresie . Z tego co wiem trwają prace w tym kierunku. Pewne jest, że aby taki kodeks mógł obowiązywać, jego ostateczna wersja musi być poddana konsultacjom społecznym. Gotowy dokument powinien trafić jeszcze do prezesa UODO, w celu jego zatwierdzenia.

infoDENT24.pl: Przepisy, ograniczone do ogólnych zasad, nie są jednak wystarczającą rękojmią dla tych, których dotyczą. Trudno się dziwić, że świadczeniodawcy, funkcjonujący w branży medycznej, natarczywie dopytują o konkretne przepisy wskazujące konkretne ścieżki postępowania w konkretnych sytuacjach. Okazuje się, że mają rację, bo urząd, który niejako wprowadzający RODO do Polski, jakim jest Ministerstwo Cyfryzacji, ulega tym żądaniom. Chodzi o zapowiedź opublikowania komunikatów, określających zasady postępowania w drażliwych sytuacjach, jakich nie brakuje w procesie realizowania świadczeń zdrowotnych.

Dr Maciej Kawecki: Cóż, specyfika branży medycznej rodzi wiele dylematów, chcemy pomóc świadczeniodawcom – a jak widać zbiór uzusów jest najbardziej przez nich oczekiwany. Z pozoru może to i najprostsze rozwiązanie, ale z pewnością nie można w precyzyjny sposób opisać rzeczywistości. Im prędzej to zrozumiemy, tym mniej popełnimy rażących błędów. Nie możemy dopuścić do tego, aby w obszarze RODO zaczęło obowiązywać prawo powielaczowe, chociaż rozumiemy, że prosta zasada: konkretna sytuacja, konkretne pytanie – konkretna odpowiedź, przynajmniej z pozoru, rozwiązuje najbardziej palące problemy.

Rozumiemy, że lekarz, lekarz dentysta, prowadzący prywatną praktykę, nie ma czasu wczytywania się w przepisy, nie ma także pieniędzy, aby zadanie to komuś zlecić. Każdy oczekuje jasnych i szybkich odpowiedzi na postawione pytanie.

Podjęto zatem decyzję o stworzeniu kompendium postępowania w szczególnie drażliwych sytuacjach. Przewodnik chcemy tak zredagować, aby łatwo można było znaleźć odniesienie do konkretnej sytuacji w przepisach szczegółowych.

infoDENT24.pl: Powstała sytuacja oceniana jest przez świadczeniodawców – pewnie w sposób nieuprawniony – jako poruszanie się po polu minowym bez dokładnych planów zaminowania. Zagrożenie karą rzędu 20 mln EUR rozpoznaje się bojem. Pewnie nie uspokoi ich na przykład liczba zgłoszeń naruszenia przepisów RODO od momentu wejścia ich w życie, czyli od 25 maja 2018 r.?

Dr Maciej Kawecki: Zdecydowanie to zbyt daleko idące porównanie. Zgłoszenie naruszenia nie oznacza automatycznie wyroku skazującego, którego skutki można by porównywać do eksplozji. Po pierwsze, samo zgłoszenie o niczym nie świadczy, bo skarga musi być zasadna, po drugie ważna jest skala i waga uchybień, po trzecie – o ile nawet zostanie wdrożona procedura urzędowa, to najczęściej skończy się ona zaleceniem wprowadzenia kroków zaradczych. O jakichkolwiek karach można mówić przede wszystkim w przypadku podejmowania działań z premedytacją. Zaś kwota 20 mln EUR jest m.in. pochodną realizowanego przez firmę obrotu, a o odpowiadającą jej skalę realizowanych świadczeń na rynku usług medycznych raczej w Polsce trudno.

 

Podobał się artykuł? Podziel się!
SŁOWA KLUCZOWE
ochrona danych osobowych   RODO  

POLECAMY W SERWISACH

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.