RODO a podmioty lecznicze. Coraz lepsza ochrona danych
Minęły już ponad trzy lata od wejścia w życie unijnego ogólnego rozporządzenia o ochronie danych osobowych*. Jak RODO wpłynęło na placówki medyczne? Z Pauliną Dawidczyk, zastępcą dyrektora Departamentu Skarg w Urzędzie Ochrony Danych Osobowych, rozmawia Lidia Sulikowska.
RODO wywołało ogromne poruszenie w podmiotach leczniczych. Czy strach przed wprowadzeniem nowych przepisów był uzasadniony?
Rzeczywiście, wraz z rozpoczęciem stosowania tego rozporządzenia powstało wiele obaw w jednostkach ochrony zdrowia. Obserwując tę dyskusję, miałam wrażenie, że przepisy dotyczące ochrony danych osobowych dopiero zaczynają funkcjonować w naszym kraju, a przecież one obowiązują od ponad 20 lat. RODO jedynie wprowadziło dodatkowe obowiązki na administratorów danych osobowych, ale ich główna część jest z nami od dawna.
Jednym z głośniejszych tematów rozmów była kwestia wywoływania pacjentów po nazwisku w obecności innych oczekujących przed gabinetem lekarskim. Pewna przychodnia zasłynęła tym, że zaczęła przydzielać „ksywki”, przez co do lekarza wzywany był Batman, Terminator, a nawet Gargamel.
Nie rozumiem, dlaczego sprawa ta spowodowała aż tak duże poruszenie, bo przecież zanonimizowane wzywanie pacjentów obowiązywało na długo przez RODO. Oczywiście rozwiązanie, jakie wprowadziła ta placówka, można zaliczyć do RODOabsurdów, bo można było zastosować inne mechanizmy zapewniające pacjentowi prywatność w poczekalni. Pozytywne jest to, że po wejściu w życie nowych unijnych przepisów baczniej zaczęto zwracać uwagę na kwestię ochrony danych osobowych. RODO na pewno uświadomiło wielu jednostkom ochrony zdrowia, że mają lepiej dbać o prywatność swoich pacjentów.
Czy do UODO wpływa wiele skarg w związku z naruszeniem przepisów RODO przez podmioty lecznicze?
Otrzymujemy zgłoszenia dotyczące stosowania nieprawidłowych praktyk, ale nie jest to jakaś ogromna liczba. Rocznie wpływa średnio kilkaset takich indywidualnych skarg od pacjentów. W ostatnim, pandemicznym roku było ich nieznacznie więcej. Podsumowując trzy lata funkcjonowania RODO, można jednak stwierdzić, że w zdecydowanej większości placówek medycznych wprowadzono niezbędne procedury, aby chronić dane osobowe pacjentów. Pozostaje jeszcze kwestia liczby zgłoszeń naruszeń ochrony danych osobowych przez samych administratorów danych, bo RODO nakłada na nie taki obowiązek, ale to temat na odrębną rozmowę.
Na co najczęściej skarżą się pacjenci?
Przede wszystkim napływają do nas skargi związane z nieuprawnionym dostępem do danych osobowych. Najczęściej chodzi o błędne udostępnianie informacji gromadzonych w dokumentacji medycznej, czyli np. wydanie danych bez weryfikacji tożsamości osoby, której one dotyczą lub osobie nieuprawnionej. Zazwyczaj takie sytuacje wynikają nie tyle ze złego przygotowania placówki do zabezpieczania danych osobowych, ale z błędu ludzkiego. To znaczy, że wdrożono wszystkie niezbędne procedury, ale pracownik ich nie zastosował.
Na samym początku stosowania RODO często zdarzały się skargi na nieprawidłową realizację prawa dostępu do danych, ale obecnie raczej już ten problem nie występuje. Przedmiotem zgłoszeń są także sytuacje, w których podmiot medyczny gubi nośnik z danymi wrażliwymi pacjenta. Pojawiają się także skargi w związku z wystawianiem recepty na dane innego pacjenta. Zdarzyły się też doniesienia na lekarzy, którzy nadużywają swojego prawa dostępu do platformy usług elektronicznych ZUS, służącej do wystawiania zwolnień lekarskich.
Pacjenci zgłaszali, że otrzymywali za pośrednictwem PUE ZUS informację, że lekarz, u którego się nie leczyli, uzyskał dostęp do ich danych za pośrednictwem tego portalu. Później lekarze w toku prowadzonych przez nas postępowań przyznawali, że np. chcieli sprawdzić, czy ich znajomy/krewny przebywał w danym okresie na zwolnieniu lekarskim. Mając na uwadze to wszystko, Prezes Urzędu Ochrony Danych Osobowych i Rzecznik Praw Pacjenta podpisali porozumienie o wzajemnej współpracy, tak aby lepiej chronić pacjentów, ale też budować odpowiednią świadomość zarówno wśród pacjentów, jak i administratorów danych na temat ochrony danych osobowych.
Czy wraz z pojawieniem się pandemii COVID-19 pojawiły się nowe rodzaje skarg?
Zdecydowanie tak. Pandemia postawiła przed podmiotami leczniczymi nowe wyzwania w zakresie ochrony danych osobowych. W związku z rozprzestrzenianiem się koronawirusa trzeba było przeorganizować sposób komunikacji placówki medycznej z pacjentem – tak, aby kontakt nie był bezpośredni. Jednocześnie należało jednak pamiętać o ochronie danych osobowych pacjentów, aby nie trafiły do osób nieuprawnionych. Czasem się to nie udawało.
Dlatego też Rzecznik Praw Pacjenta oraz Prezes UODO przygotowali „Wytyczne dotyczące realizacji prawa do informacji przez osoby uprawnione na odległość”, które zawierają rekomendowane rozwiązania pozwalające na realizację prawa osoby upoważnionej do informacji o stanie zdrowia pacjenta na odległość z uwzględnieniem praw pacjenta, a jednocześnie przestrzegają zasad wynikających z regulacji dotyczących ochrony danych osobowych.
Pamiętam skargę dotyczącą placówki medycznej, która postanowiła wystawić przed swoją siedzibą dwa kartony z kopertami, w których znajdowały się recepty i skierowania na badania oraz do specjalistów, opisane imieniem i nazwiskiem pacjentów. Do takiego kartonu mógł podejść każdy i zabrać ich zawartość. Nie było tam osoby nadzorującej wydawanie kopert. Zdarzyła się też skarga na lekarza, który wystawił pacjentowi zaświadczenie zwalniające z obowiązku zasłaniania ust i nosa z uwagi na chorobę, na którą ten człowiek cierpiał. Pacjent poskarżył się, że na dokumencie widniało zbyt wiele informacji dotyczących jego stanu zdrowia.
Pojawiają się też zgłoszenia dotyczące posługiwania się czyimiś danymi w systemie rejestracji na szczepienia. Pacjent dzwoni do przychodni w celu zapisania się na szczepienie, ale okazuje się, że jest on już umówiony. Zdarzają się też pomyłki w rejestrze osób zakażonych koronawirusem – trafiają tam osoby zdrowe, które nawet nie miały wykonywanego testu na obecność SARS-CoV-2, co oznacza że ich dane wpisano tam błędnie. Ostatnio wpłynęła też skarga, w której pacjent zwrócił uwagę, że przychodnia chciała – w jego ocenie – pozyskać zbyt wiele danych przed szczepieniem przeciw COVID-19. Pacjent otrzymał do wypełnienia aż trzy ankiety, w tym jedną onkologiczno-kardiologiczną.
Ile z tych skarg jest zasadnych?
Około połowa. Dotychczas w razie potwierdzenia nieprawidłowości zgłaszanych w ramach zgłoszeń indywidualnych udzielaliśmy tylko upomnień administratorom danych. Prezes UODO może też nałożyć kary finansowe, ale w sprawach skargowych, o których rozmawiamy, taka kara nie została dotąd nałożona. Często jednak zdarza się, że skargi nie są zasadne, a wynikają z nieporozumienia na linii pacjent – personel medyczny/administracyjny lub wręcz osobistego żalu do placówki medycznej.
Kogo najczęściej dotyczą skargi? Indywidualnych praktyk lekarskich, a może większych podmiotów leczniczych?
Naruszenia zdarzają się zarówno w niewielkich, jak i dużych jednostkach ochrony zdrowia. Nie ma też znaczenia, czy jest to placówka prywatna, czy publiczna ani z jakiego regionu pochodzi.
W wypełnianiu wymogów RODO placówkom medycznym miały pomóc kodeksy branżowe. W ostatnim czasie prezes UODO wydał pozytywne opinie w sprawie dwóch projektów takich kodeksów w obszarze ochrony zdrowia, w tym jednego, w tworzeniu którego uczestniczyła Naczelna Izba Lekarska.
Wartość tych opracowań jest ogromna. Będą one przydatne dla każdego podmiotu leczniczego. Tak jak pani powiedziała, jest już pozytywna opinia Prezesa UODO na temat tych dokumentów, ale aby zaczęły one obowiązywać, trzeba jeszcze poczekać na uzyskanie akredytacji przez podmiot monitorujący.
*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO).
RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, stosowane jest od 25 maja 2018 r. Dotyczy ono podmiotów wszystkich branż, w tym także medycznej. Przed jego wprowadzeniem obowiązywała ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, implementująca postanowienia dyrektywy 95/46/ WE Parlamentu Europejskiego i Rady WE. Organem nadzorującym, czy ochrona danych osobowych jest właściwie realizowana, jest Prezes Urzędu Ochrony Danych Osobowych, który zastąpił GIODO. Prezes UODO, w razie wykrytych nieprawidłowości, może nałożyć kary w wysokości do 20 mln euro lub do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego.
