UODO na konferencji „Dzień ochrony danych osobowych w medycynie”

Konferencja „Dzień ochrony danych osobowych w medycynie” zorganizowana została przez redakcję kwartalnika „ABI Expert” oraz wydawnictwo Presscom. W pierwszym panelu spotkania wykład wygłosiła Monika Krasińska, dyrektor Departamentu Prawa i Nowych Technologii Urzędu Ochrony Danych Osobowych.

Konferencja była okazją do wymiany opinii pomiędzy czołowymi ekspertami z dziedziny ochrony danych osobowych w sektorze medycznym. W trakcie spotkania omówiono kluczowe aspekty prawne i organizacyjne ochrony danych w placówkach medycznych, sposoby minimalizacji ryzyka naruszeń oraz wdrażania skutecznych środków bezpieczeństwa.

Wydarzenie otworzyła członkini Społecznego Zespołu Ekspertów przy Prezesie UODO, prof. Marlena Sakowska-Baryła z Uniwersytetu Łódzkiego, która odpowiadała za koncepcję merytoryczną konferencji.

Jednym z pierwszych poruszonych tematów była kwestia stosowania kodeksów postępowania w obszarze medycznym. Jak podkreślali uczestnicy spotkania, medycyna to jedyna branża, która doczekała się kodeksów postępowania tworzonych na podstawie RODO; w roku 2022 Prezes UODO zatwierdził pierwszy taki kodeks.

Kodeksy mają pomóc w stosowaniu RODO, ale są także potwierdzeniem, że obszar danych jest punktem zainteresowania interesariuszy rynku medycznego. Należy je również traktować jako wsparcie w standaryzacji metod i sposobów ochrony danych osobowych.

W swoim wystąpieniu Monika Krasińska zaznaczyła, że wytyczne dotyczące kodeksów postępowania wydała w 2019 r. Europejska Rada Ochrony Danych, więc stanowią one podstawę działania przy tworzeniu tego rodzaju dokumentów, ale należy przy tym pamiętać, że kodeksy nie są zbiorem tylko dobrych praktyk czy zasad etycznych, ponieważ „kodeksy postępowania w rozumieniu RODO są instrumentem prawnym o znaczeniu regulacyjnym, co oznacza, że jesteśmy kreatorami kodeksu, ale on musi być osadzony w RODO oraz w przepisach krajowych”.

Kodeksy – jak wyjaśniła dyrektor Krasińska – są zawsze dobrowolne, a ważną rolę odgrywają konsultacje, które stanowią istotny etap początkowy prac nad ich treścią. Co ważne, kodeks musi zawierać mechanizmy monitorowania jego przestrzegania przez członków kodeksu. Mechanizmy te są stosowane przez podmiot monitorujący, akredytowany przez Prezesa UODO.

Kodeksy pomagają również  o wiele precyzyjniej przeprowadzić analizę ryzyka ochrony danych osobowych. Warto też w tym kontekście odnotować – zauważyła dyrektor DPNT Urzędu – że do tej pory przez Prezesa UODO nie została nałożona jakakolwiek kara na członka kodeksu.

Wśród kolejnych tematów konferencji pojawiła się m.in. rola inspektorów ochrony danych przy zgłaszaniu naruszeń w obszarze służby zdrowia, sprawa tajemnicy lekarskiej w perspektywie RODO (obowiązek dochowania tajemnicy nie dotyczy wszystkich pracowników danej jednostki medycznej, natomiast RODO obowiązuje wszystkich), szczególnej wrażliwości sektora medycznego, jeśli chodzi o ryzyko wystąpienia naruszeń (ze względu na dane szczególnej kategorii, ich ilość oraz ryzyko dla zdrowia i życia), kwestia problemów z definiowaniem tajemnicy zawodowej w kontekście ochrony danych osobowych (ustawa o zawodach medycznych vs RODO – inne podstawy prawne i inny zakres obowiązywania).

Dyskutowano także o zasadzie minimalizacji danych w sektorze medycznym (np. lekarze mogą pozyskiwać informacje konieczne do wystawienia zwolnienia z pracy, ale nie mogą wchodzić w posiadanie danych o wysokości opłacanych przez pacjenta składek), zasadzie tworzenia programów cyfrowych „secure by design” (aranżowanie bezpiecznej przestrzeni informatycznej dla danych już na etapie projektu), etyce w rozwijaniu sztucznej inteligencji w medycynie, ryzyku korzystania z usług chmurowych w branży oraz o przepisach RODO i ich wyłączaniu przy globalnych badaniach klinicznych.

Ważnym zagadnieniem, które pojawiło się w czasie konferencji, a które wiązało się też z ostatnimi, omawianymi również w mediach wydarzeniami, był monitoring wizyjny w placówkach medycznych. Podkreślono, że przepisy dot. stosowania tego rodzaju monitoringu wynikają także z art. 6 RODO, natomiast w odniesieniu do specjalnych miejsc w jednostce medycznej stosuje się przepisy wynikające z szczegółowych rozporządzeń ministerialnych – to choćby takie lokalizacje, jak oddziały psychiatryczne, zespoły porodowe, pokoje łóżkowe, gabinety intensywnej terapii czy oddziały dziecięce. Co wydaje się zasadnicze, obowiązek informacyjny spoczywa za każdym razem na podmiocie prowadzącym monitoring, a taka informacja musi być podana w widocznym miejscu, które powinno się znajdować przed przekroczeniem przez pacjenta granicy obszaru monitorowanego.

W trakcie spotkania zwrócono też uwagę, że w ostatnim czasie nastąpił w Polsce znaczny wzrost liczby różnego rodzaju cyberataków na sektor medyczny: w roku 2023 było to 405 incydentów, a w 2024 r. już 1028 (w tym szantaże wykradzenia danych dla okupu, ataki ransomware).