infoDENT24.pl: RODO wprowadza kary sięgające 20 mln EUR, ale tak naprawdę mogą być jeszcze wyższe! W branży medycznej taki pułap bardziej wyzwala śmiech niż strach. 90 proc. podmiotów leczniczych można bezpowrotnie zniszczyć stukrotnie niższą karą.
Dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych: Tak, wysokie kary działają na wyobraźnię, ale proponujemy, aby w sektorze publicznym kary były zdecydowanie mniejsze i nie przekraczały 100 tys. zł. Nie oznacza to jednak, że osoby kierujące publiczną placówką medyczną, która przecież nie zapłaci nawet tej pomniejszonej kary z własnej kieszeni - nie dotknie inna dolegliwość. Otóż wprowadzona będzie konieczność zamieszczenia na stronie internetowej upomnianego podmiotu informacji o incydencie naruszenia ochrony danych osobowych. Informacja taka powinna być uzupełniona o kroki jakie podjęto, aby przeciwdziałać takim sytuacjom. Nadszarpnięta reputacja kierującego podmiotem medycznym może być ważną przyczyną utrudniającą takiej osobie kontynuowanie kariery na stanowiskach kierowniczych w branży medycznej.

I jeszcze jedno wyjaśnienie: przyzwyczajmy się do nowej terminologii: znikają bowiem z przestrzeni legislacyjnej dane wrażliwe, a na ich miejsce pojawiają się dane szczególnie chronione.

infoDENT24.pl: Nazewnictwo dla świadczeniodawców w branży medycznej, których dotykają nowe przepisy, jest sprawą niższej wagi. Sektor publiczny to jedno, a indywidualne praktyki lekarskie – drugie. W ich przypadku nadal wisi miecz obciążony gigantyczną kwotą 20 mln EUR.
Dr Maciej Kawecki: Z pewnością tak wysokie kary, a w niektórych przypadkach mogą być nawet wyższe niż 20 mln EUR, mogą bulwersować, ale nikt nie powinien się ich obawiać, wystarczy dopełnić formalności, a te - zapewniam - do ekstremalnie trudnych nie należą.

infoDENT24.pl: Może nie należą do trudnych, ale wiele frustracji przynosi lektura RODO w zakresie wymogów, jakie należy sprostać, bo oto okazuje się, że nie ma żadnej check listy, którą można by wywiesić nad drzwiami gabinetu lekarskiego, aby mieć świadomość, że spełnia się od A do Z wymogi gwarantujące spokojny sen. No i tutaj pojawia się kolejny problem - o czyj sen tak naprawdę chodzi, czy każdej osoby, która jest właścicielem podmiotu leczniczego? Pytanie nie jest bezzasadne, gdyż podczas jednego ze szkoleń z zakresu EDM, dedykowanego lekarzom, padło stwierdzenie, że RODO dotyczy podmiotów przetwarzających dane osobowe pacjentów w dużej skali, a jeśli tak to właściciele jednoosobowych praktyk lekarskich i dentystycznych w zasadzie będą tylko kibicować innym w zmaganiach wynikających z RODO.
Dr Maciej Kawecki: Twórcy prawa faktycznie operują sformułowaniem „dane w dużych zakresach” - „large scope processing”. Nawet w przypadku świadczeniodawcy, funkcjonującego w branży medycznej na małą skalę, mamy do czynienia w skali miesiąca raczej z setkami, a nie z dziesiątkami pacjentów. To czyni w skali roku raczej tysiące, a nie setki danych osobowych. Przy czym baza podmiotu leczniczego, zawiera po roku od rozpoczęcia działalności z reguły tysiące rekordów z danymi osobowymi. Pamiętajmy, że liczba operacji przetwarzających te informacje jest z reguły kilkukrotnie większa. Istnieje realne uzasadnienie, że RODO, poza przypadkami okazjonalnie świadczonych porad lekarskich, dotyczyć będzie całego sektora usług medycznych.

Natomiast co do braku specyfikacji mówiącej zrób konkretnie to i to, a będziesz mógł spać spokojnie, to faktycznie takiej listy RODO nie zawiera. Rozporządzenie jest jednym z jeszcze wciąż nielicznych tak zwanych inteligentnych aktów prawnych, a więc takich, które nie tłumaczą krok po kroku schematu postępowania. Nie mamy tutaj do czynienia ze skodyfikowanym  zbiorem zasad i obowiązków. O tym w jaki sposób należy dbać o dane osobowe decyduje podmiot, który tego typu informacje zbiera, magazynuje i przetwarza. Dane osobowe muszą być bezpieczne, a w razie takiej konieczności, na przykład w przypadku kontroli, musimy udowodnić, że dochowaliśmy wszelkiej staranności, aby nie doszło do zdarzeń niepożądanych.

infoDENT24.pl: Trudno uwierzyć, że filozofia RODO sprowadza się do lakonicznego sformułowania typu: każdy musi dochować szczególnej staranności przy gromadzeniu, przechowywaniu, przetwarzaniu i udostępnianiu danych osobowych.
Dr Maciej Kawecki: Szczegółowe instrukcje nie mają najmniejszej racji bytu. Dla przykładu określenie sposobu szyfrowania danych, czy tworzenia haseł dostępu nie dają żadnej gwarancji bezpieczeństwa. To technologie znane firmom informatycznym, aczkolwiek ochrona danych osobowych nie ogranicza się do przetwarzania rekordów zapisanych w bazach danych. W ochronie zdrowia krytycznym etapem jest na przykład fizyczny kontakt z pacjentem i sposób przetwarzania jego danych osobowych na różnym etapie procesu leczenia.

Skalę trudności wzmaga fakt, że w przyszłości pacjent będzie miał prawo wymagać, aby jego dane osobowe udostępnione zostały - oczywiście w sposób bezpieczny - wskazanemu podmiotowi, może to być na przykład kancelaria prawna, ubezpieczyciel, technik dentystyczny. W takich sytuacjach niezbędne będzie zastosowanie bezpiecznych protokołów przesyłu danych, a dane te powinny być zapisywane w ogólnie obowiązujących formatach.

infoDENT24.pl: Z pewnością jednak nowe wymogi formalne się pojawią.
Dr Maciej Kawecki: Zasadniczych jest kilka. Pierwszy dotyczy obowiązku wyznaczenia inspektora ochrony danych osobowych. W obecnych warunkach prawnych taką rolę pełni administrator bezpieczeństwa informacji, fakultatywnie powoływany wewnątrz struktury jednostki przetwarzającej dane osobowe. W momencie wejścia w życie RODO - inspektor ochrony danych osobowych będzie się musiał pojawić w kilku sytuacjach. Należy do niej przetwarzanie danych osobowych szczególnie chronionych (wcześniej zwanych wrażliwymi), a więc dotyczących pacjentów oraz danych osobowych przetwarzanych w szerokim zakresie. O czym już mówiłem, z takimi sytuacjami ma do czynienia w zasadzie każdy operator medyczny.

Kolejny wymóg dotyczy konieczności poinformowania prezesa Urzędu Ochrony Danych Osobowych, który zacznie funkcjonować na miejscu Generalnego Inspektora Ochrony Danych Osobowych - o fakcie naruszenia danych osobowych i to w ciągu 72 godzin po stwierdzeniu naruszenia.

infoDENT24.pl: Nawet jeśli  do obowiązków podchodzi się sumiennie, zgodnie z najlepszymi intencjami, nie oznacza, że robi się to w zgodzie z wymogami prawa, które przecież nie zostało napisane tak, aby mogli je samodzielnie implementować lekarz i lekarz dentysta. Bez pomocy prawników, a dokładnie wąskiej grupy specjalistów od ochrony danych osobowych, trudno będzie nie popełnić błędów. U kogo szukać fachowej rady, a nawet jeśli się taką osobę znajdzie, to pewnie niewielu będzie stać na zewnętrzne wsparcie.
Dr Maciej Kawecki: Zdecydowanie nie ma takich wymogów, aby korzystać z usług wyspecjalizowanych firm, co więcej nie ma nawet takiej potrzeby. W przypadku tak rozbudowanego sektora, jakim jest ochrona  zdrowia, ogromne znacznie będą miały tzw. kodeksy branżowe. RODO wprowadza instytucję kodeksów postępowań. Wskazane jest, aby podmioty funkcjonujące w poszczególnych branżach gospodarczych, tworzyły schematy przetwarzania rekordów, zawierających dane szczególnie chronione.
Zgoda, ochrona zdrowia jest specyficzną sferą, daleką od każdej innej formy aktywności gospodarczej, ale fakt ten nie może jej uczestników uwalniać od dbałości o ochronę danych pacjentów. Wręcz przeciwnie taka dbałość, zważywszy na dokumentację medyczną pacjentów, musi być szczególnie rozwinięta.

infoDENT24.pl: Jeśli tak, to zapewne będzie budującym fakt istnienia specjalnej komisji, która ma przygotować właśnie kodeks branżowy. Prace nad przygotowaniem kodeksu branżowego w sektorze ochrony zdrowia rozpoczęły się w lipcu 2017 r. z udziałem m.in.: Polskiej Federacja Szpitali, Fundacji Telemedycznej Grupa Robocza, Pracodawców Medycyny Prywatnej, Konfederacji Lewiatan, Polskiej Izby Informatyki i Telekomunikacji, Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Podmioty te współtworzą kodeks branżowy wraz z przedstawicielami strony publicznej m.in. z Ministerstwem Zdrowia i Centrum Monitorowania Jakości w Ochronie Zdrowia oraz CSIOZ. Lista jednostek, pracujących nad kodeksem branżowym, nie jest zamknięta i kolejne podmioty będą mogły dołączyć do komitetu sterującego na dalszych etapach prac. Czy to dobry kierunek?
Dr Maciej Kawecki: Zdecydowanie tak. Pamiętajmy jednak, że kodeks, który respektowałyby podmioty należące do branży, powinien uzyskać pieczęć urzędu nadzorującego, dokładnie Prezesa Urzędu Ochrony Danych Osobowych.

Nieporozumieniem jednak jest próba opracowania jednego kodeksu dla branży medycznej. Różnorodna specyfika funkcjonowania: placówek POZ, gabinetów stomatologicznych, praktyk specjalistycznych, jednostek leczenia szpitalnego - praktycznie uniemożliwia stworzenie spójnego kodeksu, taka koncepcja byłaby nieracjonalnym działaniem.

Indywidualna praktyka lekarska nie może być porównywana do działalności jaką prowadzi na przykład szpital, który przetwarza dane osób żyjących i osób zmarłych, dysponuje bazami danych prenatalnych, genetycznych, operuje gigantycznymi zbiorami jednostek chorobowych.

Należałoby raczej wyodrębnić podmioty, których schemat postępowania wobec pacjenta i zasady przetwarzania jego danych medycznych - byłyby jednolite. Koordynowaniem tworzenia takich kodeksów, na przykład w przypadku branży stomatologicznej, zająć mogłaby się Komisja Stomatologiczna NRL.

Kodeks jest ważny jeszcze z jednego powodu. RODO jednoznacznie mówi, że – o ile dojdzie do wymierzenia kary, to kara ta musi być wyraźnie mniejsza, jeśli obciążony nią podmiot legitymuje się, dedykowanemu jego branży, kodeksem postępowania.

infoDENT24.pl: Przestrzeganie prawa zdeterminowane jest nieuchronnością kary, a ta może wynikać z protokołu pokontrolnego podpisanego przez inspektora UODO, a więc urzędu, który od momentu powołania do życia boryka się z niedostatkiem kadr. Mówiąc wprost, jak dotychczas właściciel firmy musiałby mieć wyjątkowego pecha, aby do jego drzwi zapukali kontrolerzy z planową kontrolą.
Dr Maciej Kawecki: W najbliższej przyszłości to może się zmienić, gdyż budżet GIODO, a faktycznie UODO, ma wzrosnąć z 21 mln do ponad 40 mln zł.

infoDENT24.pl: Tak będzie o ile z dnia na dzień znajdzie się aż tylu specjalistów chętnych do pracy w urzędzie państwowym. Dodajmy przy tym, że specjalista, biegle poruszający się w tym obszarze wiedzy, nie czeka na oferty pracy.
Dr Maciej Kawecki: Pamiętajmy jednak, że aktywność organu nadzorczego nie jest jedyną drogą dochodzenia roszczeń przez obywateli, a ci są coraz bardziej świadomi swoich praw w zakresie ochrony danych osobowych, które stają się dobrem osobistym. Co to oznacza? To, że naruszenie danych osobowych są samodzielną podstawą prawną do wystąpienia z pozwem do sądu o naruszenie dóbr osobistych. Nie trzeba zatem wykazywać poniesionej szkody, wystarczy udokumentowanie, że doszło w tym zakresie do naruszenia prawa.

infoDENT24.pl: Sądy cywilne, w których sprawy toczą się latami to nie tylko czasochłonna, ale i dość kosztowna forma walki o przestrzeganie prawa. Lekarz, lekarz dentysta, prowadzący indywidualną praktykę, który nigdy nie był dyrektorem większej a nawet mniejszej placówki medycznej, ma zadecydować czy sam będzie chronił dane osobowe pacjentów - a to wariant bardzo ryzykowny - czy może powinien związać się umową ze specjalistyczną firmą. Taki wybór jest także ryzykiem, bo potknięcie zleceniobiorcy nie zwalnia od odpowiedzialności zlecającego. Mówi się, że to jest wpisane w ryzyko biznesowe. Usługi medyczne, są jednak dość specyficznym biznesem.
Dr Maciej Kawecki: Nieco może pomóc certyfikowanie firm, zakładamy, że o taki certyfikat będzie można wystąpić do prezesa urzędu ochrony danych osobowych. Taka swoista pieczęć bezpieczeństwa da istotną gwarancję, że wiążemy się z firmą, która działa według procedur, akceptowanych przez urząd nadzorczy. Uwaga jednak, certyfikat będzie pewnym drogowskazem, ale nie gwarancją, że taka firma nie popełni błędu, za który odpowiadać będzie właściciel danych osobowych.

infoDENT24.pl: Wybór spośród firm certyfikowanych, to wybór z mniejszej puli, a jeśli tak, to zgodnie z prawem popytu i podaży – oznacza rozwiązanie droższe.
Dr Maciej Kawecki: Nie musi tak być. Prowadzimy rozmowy, aby certyfikacją zajmował się nie tylko urząd nadzorczy, ale także jednostki akredytujące z nadania Polskiego Centrum Akredytacji, to znacznie usprawni proces certyfikacji.

Istnieje propozycja, aby prezes urzędu ochrony danych osobowych, jako organ nadzorczy wydawał niewiążące rekomendacje dla poszczególnych branż, mówiące w jaki sposób: technicznie i organizacyjnie zabezpieczać dane osobowe. Nie byłyby to jednak wskazania, a głos doradczy podpowiadający właścicielom podmiotów leczniczych w jakim kierunku powinni podążać.

infoDENT24.pl: To jednak oni będą musieli właściwie ocenić ryzyko i wybrać najlepsze rozwiązanie chroniące dane osobowe. Taka decyzja uwzględniać powinna środki powszechnie dostępne, uznane za skuteczne i stabilne technologiczne.
Dr Maciej Kawecki: Powinno to wyraźnie wybrzmieć: kary pieniężne nie  będą podstawowym narzędziem uruchamianym wobec podmiotów źle chroniących dane osobowe. W pierwszej kolejności zastosowane zostaną upomnienie, czy nakaz usunięcia uchybień. Decyzja co do kary uzależniona będzie od stopnia współpracy z kontrolerem, od faktu wdrożenia kodeksu, od stosowanego mechanizmu certyfikacji, w końcu od odpowiedzi na pytanie czy naruszenie było umyślne, czy nie.

***

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zacznie obowiązywać w Polsce 25 maja 2018 r.