Z uwagi na kontrowersje i wątpliwości postanowiliśmy przybliżyć Państwu uregulowania prawne dotyczące przetwarzania danych przez placówki ochrony zdrowia publicznego, w szczególności apteki na tzw. serwerach chmurowych. Przeanalizowane zostały kwestie bezpieczeństwa cyfrowego przetwarzania danych wrażliwych oraz zagrożenia związane z korzystaniem z zewnętrznych serwerów przechowujących dane medyczne. Porównana została w zakresie udostępniania danych agencjom rządowym sytuacja prawna Unii Europejskiej ze Stanami Zjednoczonymi oraz zwracamy uwagę na pewną niezgodność obu systemów prawnych i wynikające z tego konsekwencje.
I. Tworzenie elektronicznej dokumentacji medycznej (EDM)
W dniu 1 stycznia 2019 r. weszły w życie przepisy dot. obowiązku tworzenia elektronicznej dokumentacji medycznej. Do tej pory prowadzenie dokumentacji w postaci elektronicznej było jedynie fakultatywne. Zgodnie z rozporządzeniem Ministra Zdrowia z dnia 8 maja 2018 r. w sprawie rodzajów dokumentacji elektronicznej (Dz.U. 2018 poz. 941, ze zm.), elektroniczną dokumentację medyczną stanowią: informacja o rozpoznaniu choroby, problemu zdrowotnego lub urazu, wynikach przeprowadzonych badań, przyczynie odmowy przyjęcia do szpitala, udzielonych świadczeniach zdrowotnych, ewentualnych zaleceniach w przypadku odmowy przyjęcia pacjenta do szpitala, informacja dla lekarza kierującego świadczeniobiorcę do poradni specjalistycznej lub leczenia szpitalnego o rozpoznaniu, sposobie leczenia, rokowaniu, ordynowanych lekach, środkach spożywczych specjalnego przeznaczenia żywieniowego i wyrobach medycznych, w tym okresie ich stosowania i sposobie dawkowania oraz wyznaczonych wizytach kontrolnych, a także karta informacyjna z leczenia szpitalnego.
Ww. dokumentacja zawiera szereg danych wrażliwych, które wymagają szczególnej ochrony. Przechowywane powinny być więc w sposób i w miejscu zapewniającym ich pełne bezpieczeństwo. Natomiast definicja zawarta w art. 2 pkt 6 ustawy o systemie informacji o ochronie zdrowia (Dz.U. z 2020 r. poz. 702) elektroniczną dokumentacją medyczną określa: dokumenty wytworzone w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym albo z wykorzystaniem sposobu potwierdzania pochodzenia oraz integralności danych dostępnego w systemie teleinformatycznym udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych, tj.: (i) recepty, (ii) określone w przepisach wydanych na podstawie art. 13a oraz (iii) skierowania określone w przepisach wydanych na podstawie art 59aa ust. 2 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz.U. z 2019 r. poz. 1373 ze zm.).
II. Przechowywanie i bezpieczeństwo danych medycznych
Na poziomie Unii Europejskiej aktem prawnym określającym zasady przetwarzania danych w chmurze jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Przepisy zawarte w tej dyrektywie: (i) ustanawiają obowiązki dla wszystkich państw członkowskich dotyczące przyjęcia krajowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych; (ii) tworzą grupy współpracy i zespołów reagowania na incydenty bezpieczeństwa komputerowego oraz (iii) ustanawiają wymogi bezpieczeństwa i zgłaszania incydentów dla operatorów usług kluczowych i dostawców usług cyfrowych, a także obowiązki dla państw członkowskich dotyczące wyznaczania właściwych organów krajowych, pojedynczych punktów kontaktowych oraz sieci zespołów reagowania.
Polski system ochrony zdrowia dosyć sprawnie implementuje założenia procesu cyfryzacji – przykładowo brytyjski system z dużo większa ostrożnością podchodzi do przekazywania danych pacjentów serwerom zewnętrznym. W Polsce przekazywanie danych osobowych zawartych w dokumentacji medycznej do chmury przez przychodnie czy szpitale jest już praktycznie powszechną praktyką. Funkcjonuje, np. Internetowe Konto Pacjenta, które umożliwia korzystanie z e-recepty czy e-skierowania, natomiast Platforma Usług Elektronicznych zapewnia dostęp do e-zwolnienia. Na uwagę zasługuje, że przepisy dotyczące przetwarzania danych medycznych obowiązują nie tylko szpitale i przychodnie, ale również inne placówki ochrony zdrowia publicznego, takie jak apteki – w szczególności w zakresie przetwarzania danych osobowych z wystawianych recept.
III. Rozwiązania chmurowe – potencjał czy ryzyko
Należy pamiętać, że cyfryzacja usług medycznych łączy się z powierzeniem danych osobowych i należy mieć pewność, że dostawca chmury spełnia wymogi bezpieczeństwa określone w przepisach o ochronie danych osobowych, rekomendacjach np. Ministra Cyfryzacji dotyczących warunków przetwarzania w chmurze publicznej danych podmiotów publicznych i w konsekwencji zawrzeć świadomą umowę o powierzenie danych osobowych.
Wykaz potencjalnych zagrożeń związanych z rozwiązaniami chmurowymi na szczeblu europejskim zawarty jest w opinii 5/2012 Grupy Roboczej art. 29, w której przeanalizowano kwestie istotne dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów. Zgodnie z powyższą opinią, przekazując dane osobowe do systemów zarządzanych przez dostawcę usługi w chmurze, klienci tej usługi nie mają już dalszej wyłącznej kontroli nad przekazywanymi danymi. Oznacza to, że mogą nie mieć możliwości zastosowania środków technicznych i organizacyjnych w celu zapewnienia dostępności, integralności, poufności, przejrzystości, czy odizolowania danych. Niewystarczająca ilość informacji na temat operacji przetwarzania w chmurze stanowi zagrożenie dla administratorów, jak i dla osób, których dane dotyczą przy braku świadomości potencjalnych zagrożeń i tym samym niemożności podjęcia odpowiednich środków.
W zakresie przetwarzania danych medycznych należy przeanalizować przepisy o ochronie danych osobowych. Od 25 maja 2018 r. w Unii Europejskiej obowiązują ujednolicone warunki prawne w zakresie ich przetwarzania w związku z wejściem w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO. Art. 5 ust. 1 RODO wskazuje na następujące zasady przetwarzania danych osobowych: zgodności z prawem, rzetelności i przejrzystości przetwarzania, ograniczonego celu, minimalizacji danych, prawidłowości, ograniczoności przechowywania, integralności i poufności danych. Oznacza to, że dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane oraz w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Szczególnie poszanowanie zasady poufności i integralności jest istotne przy przekazywaniu danych do serwerów zewnętrznych. Podmioty danych muszą mieć pewność, że ich dane są bezpieczne i nie zostaną wykorzystane przez podmioty nieuprawnione.
IV. Poszukiwanie rozwiązań lokalnych
- Gaia-X odpowiedzią na US CLOUD Act
W celu zapewnienia jak najlepszego poszanowania ochrony danych osobowych powstała inicjatywa paneuropejskiego projektu Gaia-X – europejskiej chmury, będącej alternatywą dla serwerów amerykańskich. Wysokie standardy europejskie w zakresie ochrony danych osobowych zapewniają pewniejszą ochronę danych oraz większą kontrolę nad ich przepływem.
Jednakże to prawo kraju, w którym siedzibę ma administrator danych, a nie dostawcy usług hostingowych, obowiązuje w zakresie ochrony danych osobowych i zasad ich przetwarzania w chmurze. W jakim celu powstał więc projekt Gaia-X?
W dniu 23 marca 2018 r. w życie wszedł US CLOUD Act, wprowadzający zgodne z prawem udostępnianie danych przechowywanych na serwerach – również tych znajdujących się poza Stanami Zjednoczonymi, ale hostowanych przez przedsiębiorstwa podlegające przepisom amerykańskim – agencjom rządowym USA, a także agencjom rządowym państw trzecich, które zawarły ze Stanami Zjednoczonymi adekwatne porozumienie. Amerykańskie przedsiębiorstwa zgodnie z nowymi przepisami są zobligowane do udostępniania danych dotyczących postępowań karnych o najcięższe przestępstwa, takich jak terroryzm, jednocześnie nie są zobowiązane do poinformowania o udostępnieniu podmiotów tych danych ani administratorów.[1]
W związku z wejściem w życie w dniu 25 maja 2018 r. RODO aktualne stanowisko Europejskiej Rady Ochrony Danych oraz Europejskiego Inspektora Ochrony Danych zwraca uwagę na potrzebę zawarcia porozumienia pomiędzy Stanami Zjednoczonymi a UE w omawianym zakresie, aby US CLOUD Act nie był sprzeczny z RODO, w szczególności z art. 48 RODO, zgodnie z którym: Wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą zostać uznane lub być egzekwowalne wyłącznie, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim, bez uszczerbku dla innych podstaw przekazania. Jak dotąd umowa taka nie została zawarta.
- Operator Chmury Krajowej (OChK)
W zakresie przetwarzania danych osobowych w chmurach nie można nie wspomnieć o polskim Operatorze Chmury Krajowej, który w 2019 r. rozpoczął świadczenie swoich usług. W dniu 5 maja 2020 r. spółka Microsoft ogłosiła plan inwestycyjny w polską transformację cyfrową. Celem współpracy jest wsparcie lokalnych organizacji w procesie ich transformacji cyfrowej oraz rozwoju rynku innowacji. Przewiduje się w szczególności wykorzystanie możliwości nowego regionu na rzecz polskich instytucji publicznych i przedsiębiorstw z sektorów takich, jak administracja rządowa, ochrona zdrowia, edukacja, produkcja, handel detaliczny, energetyka czy finanse oraz ubezpieczenia. Tym samym Operator Chmury Krajowej dołącza do globalnej infrastruktury regionów chmurowych Microsoft. Zapewni w ten sposób przedsiębiorcom lokalny dostęp do pełnej oferty usług w chmurze Microsoft.
Strategicznym partnerem Operatora Chmury Krajowej jest również Google. Podmioty zawarły w 2019 r. umowę o partnerstwie, której celem było stworzenie w Warszawie tzw. regionu Google Cloud, będącego centrum infrastruktury i oprogramowania, przeznaczonym do użytku przez klientów z Polski oraz regionu Europy Środkowo-Wschodniej. W związku z zawartym porozumieniem do oferty Operatora Chmury Krajowej włączone zostały produkty Google Cloud Platform. Celem współpracy jest stworzenie warunków do istotnego zwiększenia wykorzystania technologii chmurowych przez polskie przedsiębiorstwa i przyspieszenie cyfryzacji polskiej gospodarki.
Współpraca z amerykańskimi korporacjami sprawia, że dane polskich przedsiębiorców mogą zostać narażone na ryzyko udostępnienia agencjom rządowym USA. Choć stanowisko polskiej centrali Google zapewnia poszanowanie ochrony danych osobowych, w rzeczywistości amerykański koncern, który podlega rodzimemu prawu, może nie mieć wyjścia w sytuacji mającego podstawę prawną zawezwania do udostępnienia danych. Podkreślenia jednak wymaga, że przepisy US CLOUD Act przewidują obowiązek udostępnienia danych przechowywanych na amerykańskich serwerach jedynie w przypadku podejrzenia o najcięższe przestępstwa, za co można byłoby uznać ważne względy interesu publicznego, o którym mowa w art. 49 ust. 1 lit. d RODO. Grupa Robocza w sprawie wspólnej wykładni art 26 ust. 1 dyrektywy 95/46/WE z 24.10.1995 r. (WP 114) (już uchylonej), oceniając charakter i istotę interesu publicznego, wskazała, że interes musi być ważny, a sytuacje zastosowania tego przepisu powinny być ograniczone do przypadków wyraźnego ich zidentyfikowana i zdefiniowania w ustawodawstwie wewnętrznym państwa odbiorcy. Jednocześnie taki ważny interes publiczny powinien być sformułowany w prawie unijnym lub państwa EOG, z którego dokonywany jest transfer. Grupa Robocza podkreśliła również, że transfer danych w tych przypadkach nie może mieć charakteru masowego, lecz musi odnosić się do postępowań prawnych w konkretnych przypadkach, a ponadto że przekazania danych nie może uzasadniać interes organów władzy publicznej w państwie trzecim, lecz interes organów państwa członkowskiego UE. W związku z tym ostatnim stwierdzeniem, należałoby raczej wykluczyć możliwość powołania się tu na interes publiczny.
V. Podsumowanie
W zakresie wyboru operatora chmury zaleca się kierowanie kryterium poszanowania przepisów o ochronie danych osobowych oraz poziomem standardów ustanowionych w danej jurysdykcji oraz wytycznymi czy rekomendacjami sektorowymi. Przepisy w zakresie ochrony danych osobowych w UE po wejściu w życie RODO zapewniają wysoki standard ochrony danych i zabezpieczają podmioty danych przed naruszaniem ich praw. W związku z powyższym należy stwierdzić, że dane dotyczące ochrony zdrowia, przetwarzane przez szpitale, przychodnie i apteki mogą być przechowywane na serwerach chmurowych.
W przypadku pytań, zapraszamy do kontaktu: mail: kancelaria@kancelariajbw.com.pl, tel: (+48) 58 305 46 63
dr Marlena Wach, radca prawny
Małgorzata Puto, prawnik
[1] Wprowadzenie takich przepisów do prawa Stanów Zjednoczonych związane jest z odmową przez Microsoft Corporation udostępnienia danych osoby ściganej przez amerykański wymiar sprawiedliwości w związku z podleganiem tych danych prawu Irlandii, gdzie lokalizację ma serwer, na którym dane te są przetwarzane (sprawa Stany Zjednoczone przeciwko Microsoft Corp. 548 US, 2018).