Duże zmiany w ochronie danych. Polskie szpitale czeka "ogrom zadań"

Wciąż narastające wątpliwości dotyczące implementacji RODO w obszarze usług medycznych stały się przyczynkiem do zorganizowania w Warszawie konferencji z udziałem kilkunastu ekspertów. Dyskusja odbyła się 13 listopada br. i nosiła tytuł: "RODO na rynku usług medycznych - proste recepty na wdrożenie skomplikowanych zmian".

RODO reguluje kwestie związane z ochroną danych osobowych. Sektor medyczny jest pod tym względem szczególny, jeżeli chodzi o rodzaj, zakres oraz cel przetwarzanych danych. Przy ochronie danych nie można zapominać o innych podstawowych wartościach takich jak zdrowie i życie ludzkie.

Jakie będą najważniejsze zmiany, które będzie trzeba wdrożyć w ślad za unijnym rozporządzeniem?

Pierwszy to obowiązek powołania inspektora danych osobowych w szpitalach i innych placówkach medycznych, które przetwarzają dane osobowe na szeroką skalę.

Zmianie ulegnie również kwestia szczegółowych warunków przetwarzania danych osobowych pacjentów, w tym choćby zróżnicowanie procedury pozyskiwania zgody samych pacjentów ze względu na cel przetwarzania danych.

Nieproporcjonalne kary i „polityka siekiery”

- Kłopotem jest dla nas to, że po raz kolejny regulator czy legislator na rynku polskim traktuje różnie podmioty w obrębie jednego obszaru. Podmioty publiczne będą traktowane drastycznie inaczej, bo 20 mln euro versus 100 tys. zł to skala nieporównywalna - mówił o karach zawartych w projekcie nowej ustawy o ochronie danych osobowych dr Robert Zawadzki, wiceprezes zarządu ds. operacyjnych spółki Magodent, prowadzącej sieć szpitali onkologicznych.

O co konkretnie chodzi? W projekcie z 12 września obniżono maksymalną karę dla podmiotów publicznych w porównaniu do innych administratorów danych (w szczególności przedsiębiorców) aż czterystukrotnie - z 20 mln euro do zaledwie 100 tys. zł. Kary mają być nakładane za nieprawidłowości w obszarze przepisów RODO, które stwierdzi kontrola.

- Chciałem zgłosić oficjalny sprzeciw, to jest protekcjonizm państwa, który, jeżeli ma miejsce, powinien mieć charakter uniwersalny - podkreślił szef Magodentu.

- Przedstawione kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego - uspokajała mec. Marta Gadomska-Gołąb z kancelarii prawnej Wierzbowski Eversheds Sutherland.

O umiar zaapelował z kolei Wojciech Szrajber, dyrektor Wojewódzkiego Wielospecjalistycznego Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi.

- Apeluję do wszystkich wdrażających organów o to, żebyśmy nie spotkali się z jakąś dziwną nadgorliwością. Żeby przez pewien okres nie było polityki siekiery - nikt nie wie o co chodzi, ale dla przykładu damy 10 milionów kary i to nagłośnimy. Dajmy sobie szansę, aby ten system mógł łagodnie wejść do szpitalnego krwiobiegu - mówił Szrajber.

Przekonywał, że z czasem „wypłynie tysiące wątpliwości, o których w tej chwili nawet nie zdajemy sobie sprawy”.

Rewolucja czy ewolucja

Dr Beata Jagielska, z-ca dyrektora Centrum Onkologii - Instytutu im. Marii Skłodowskiej-Curie i prezes Polskiej Koalicji Medycyny Personalizowanej przekonywała, że pomimo nienajlepszej atmosfery wokół RODO jego wejście w życie będzie jedynie ewolucją w funkcjonowaniu ośrodków ochrony zdrowia, a nie szumnie zapowiadaną rewolucją.

- Słownik PWN w odniesieniu do słowa rewolucja mówi, że jest to proces gwałtownych zmian. Unia Europejska rozpoczęła swoje prace nad zmianą systemu ochrony danych osobowych w 2012 r. W kwietniu 2016 r. projekt został przyjęty prze Parament Europejski i dostaliśmy dwa lata na jego wdrożenie w polskiej przestrzeni prawnej. Cały proces legislacyjny wyniesie więc 6 lat. Na pewno nie możemy mówić o jakiejkolwiek gwałtowności - argumentował dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Jak tłumaczył dr Arwid Mednis z Wydziału Prawa i Administracji UW, akt prawny dotyczący RODO formalnie wszedł już w życie, natomiast 25 maja 2018 r. jego stosowanie stanie się obowiązkowe.

- Co to oznacza w praktyce? Są tacy, którzy mówią, że tak naprawdę będzie to dotyczyło danych zebranych po tej dacie. Ja się akurat z tym nie zgadzam - stwierdził.

Przypomniał, że w Polsce został opublikowany nie tylko sam projekt ustawy o ochronie danych osobowych, ale też projekt przepisów ją wprowadzających, zawierających propozycje zmian w ponad 130 aktach prawnych (m.in. w kodeksie pracy, ustawie o świadczeniu usług drogą elektroniczną i ustawie prawo telekomunikacyjne).

REKLAMA

- Tych zmienianych aktów jest już ok. 150, a będzie jeszcze więcej - sprecyzował dr Maciej Kawecki.

Zmiany - co trzeba zrobić

Wojciech Szrajber tłumaczył, że jego szpital (Wojewódzkie Wielospecjalistyczne Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi) do RODO przygotowuje się już od wielu lat, a mimo to jest jeszcze do wykonania „ogrom zadań”.

- Trzeba wyedukować wszystkich możliwych interesariuszy tej regulacji - po co to jest, jak tego używać. Po to, żeby to nie było prawo teoretyczne. Bardzo duży problem może być jednak nie tyle z personelem, co z pacjentami - powiedział dr Zawadzki.

- Ja bym bardzo chciała, żeby RODO nie zniszczyło rejestrów medycznych; te dane są bezcenne. Wiele z nich jest wykorzystywanych w praktyce - mówiła z kolei dr Joanna Didkowska, kierownik Zakładu Epidemiologii i Prewencji Nowotworów Centrum Onkologii-Instytutu im. Marii Skłodowskiej-Curie w Warszawie.

- Dla mnie dużym wyzwaniem, ale również dla Koalicji, jest współpraca z pacjentami. Mam nadzieję, że uda nam się stworzyć platformę współpracy, aby w dobry sposób przekazać naszym pacjentom informacje, co to jest RODO, jak się z nim zmierzyć i co to tak naprawdę oznacza dla nich samych - tłumaczyła dr Beata Jagielska.

Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, porównywała systemy IT chroniące dane osobowe w bankach i szpitalach.

- W bankach idą na to miliony złotych rocznie. Dane powinny być oczywiście chronione dobrze, ale proszę sobie dla porównania wyobrazić środki, którymi na taką ochronę dysponuje szpital - mówiła.
Dyrektor Szrajber wspomniał o problematyce udzielania informacji o pacjencie, z którą - szczególnie dyrektorzy szpitali - mają do czynienia bardzo często.

- Mam codziennie telefony a to od ministra, marszałka, prezydenta (miasta - red.) z prośbą, pytaniem, jak się czuje Kowalski. Wszyscy powinniśmy się w tym systemie nastawić na asertywność - podkreślił Szrajber.

Czy to w ogóle zadziała?

Dr Zawadzki zwrócił uwagę, że głównym zadaniem dla osób kierujących jednostkami ochrony zdrowia będzie "próba znalezienia studium wykonalności dla tych regulacji".

- Możemy napisać super procedury, ogłosić je na wielkich landszaftach wiszących na ścianach szpitala, ale jeżeli personel, a szczególnie nasi pacjenci, nie będą rozumieli, w jaki sposób realizować te obowiązki, to pozostaną one fikcją - tłumaczył.

Dodał, że zmierzając w stronę elektronicznej dokumentacji medycznej, "ilość kontaktów personelu medycznego z systemem informatycznym będzie zwielokrotniała się w postępie geometrycznym".

REKLAMA

- Jeżeli ten dostęp "ubierzemy" w zabezpieczone w jakiś histeryczny sposób obszary przetwarzania danych, to to się nigdy nie uda. Już teraz zwraca się uwagę, że jeżeli jakaś czynność dostępowa w systemie wymaga więcej niż sześciu kliknięć myszką, to się nie uda - skonstatował.

- Jeden z niemieckich członków tzw. szkoły wolnego prawa powiedział, że każda ustawa zawiera tyle luk, ile słów. Trzeba zachować więc pewien sceptycyzm wobec nowych regulacji - przekonywał prof. Tomasz Giaro, dziekan Wydziału Prawa i Administracji UW.

Jarosław Pinkas, były wiceminister zdrowia, stwierdził, że dla niego pojęcie anonimowego pacjenta jest oksymoronem. Podkreślił, że relacji lekarz-pacjent nie da się ubrać w prawo.

- Ta relacja musi być powiązana z wiedzą, empatią, człowieczeństwem, szlachetnością. „Paragrafy” niezwykle utrudniają nam pracę - mówił Pinkas w imieniu lekarzy, którym jest także on sam.
Jak zobrazował, cały czas wydaje mu się, że przed pacjentem jest stawiany coraz większy monitor. Pinkas podkreślił, że boi się, by ten monitor - przez RODO - jeszcze bardziej nie zasłaniał pacjenta.

- Dochodzimy w pewnym momencie do absurdu. Za chwilę będzie tak, że nie będzie Instytutu Psychiatrii i Neurologii, tylko zostanie sam Instytut - bo musi zostać zanonimizowany. Dlaczego? Bo stygmatyzuje pacjentów - skonstatował.

Prof. Adam Fronczak, były wiceminister zdrowia, zakończył dyskusję odważną tezą, że „nie ma w Polsce szpitala, który mógłby od jutra implementować bezpiecznie RODO - chyba, że ma sale jednoosobowe”.

Jacek Wykowski/Rynek Zdrowia

REKLAMA