Rzecznik Praw Obywatelskich interweniował u ministra zdrowia w sprawie ewentualnego wycieku danych osobowych pacjentów z recept elektronicznych, bo zabezpieczenia systemu są odpowiednie. Praktyk miała się dopuścić jedna z aptek sieciowych. Tymczasem minister zdrowia odpowiedział Adamowi Bodnarowi (RPO), że owszem można zaś mówić o podejrzeniu wykorzystania danych niezgodnie z prawem przez konkretną aptekę i spółkę prowadzącą sieć, do której ona należy. To właśnie te podmioty mogły nadużyć zaufania pacjentów.

Minister zdrowia wskazał też, że kierując się dążeniem do zabezpieczenia danych osobowych pacjentów, Centrum e-Zdrowia zablokowało konto tej apteki, a o sprawie poinformowano organy ścigania.

Zabezpieczenie danych osobowych na e-receptach w aptekach sieciowych

Sprawa dotyczy opisywanych jakiś czas temu przez media praktyk polegających na wykorzystywaniu i przetwarzaniu w aplikacji, udostępnianej przez sieć aptek, a służącej rezerwowaniu leków w wybranej aptece, danych osobowych pacjentów. Na podstawie danych osobowych z e-recepty ma dochodzić do profilowania pacjentów. Problem ten Prezesowi UODO miała  sygnalizować wcześniej Naczelna Rada Aptekarska, która wskazywała, że na recepcie może się znaleźć ponad 60 różnych danych, a kilka recept pozwala stworzyć wirtualną kopię pacjenta.

Sprawą zajął się Rzecznik Praw Obywatelskich, który spytał o nią Prezesa UODO bo od początku wprowadzenia e-recepty do RPO zgłaszają się zarówno pacjenci, jak i lekarze zaniepokojeni kwestiami ochrony prywatności w procesie informatyzacji ochrony zdrowia. Konstytucja zapewnia zaś obywatelom w art. 51 prawo do samodzielnego decydowania o ujawnianiu innym informacji na swój temat, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów.

Rzecznik z aprobatą odnosi się do rozwiązań, które poprawiają warunki funkcjonowania systemu ochrony zdrowia, w tym przez jego informatyzację i dostosowanie do realiów życia współczesnego społeczeństwa. Uważa też, że należy jednak uważnie monitorować i reagować na praktyki, które mogłyby stanowić nadmierne wkroczenie w konstytucyjnie chronioną prywatność jednostek.

 

A dane dotyczące zdrowia powinny być szczególnie chronione, ponieważ należą do kategorii informacji intymnych i wpływających na wiele innych aspektów naszego życia.

Minister Zdrowia wskazał RPO, że dostrzega ogromne zalety stopniowej informatyzacji polskiego systemu, ale jest jednocześnie świadomy potencjalnych zagrożeń i ryzyk związanych z cyfryzacją tego systemu i potrzeby utrzymywania odpowiednich rozwiązań techniczno-organizacyjnych umożliwiających ich mitygowanie.

Zabezpieczenie danych osobowych na e-receptach jest na dobrym poziomie

Niewątpliwie kwestia ochrony danych osobowych pacjentów przetwarzanych w systemie, o którym mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, ściśle powiązana z zapewnieniem właściwej realizacji konstytucyjnie zagwarantowanego prawa jednostki do prywatności, stanowi jeden z węzłowych obszarów wymagających zapewnienia szczególnych środków zabezpieczających celem uchronienia przedmiotowych danych przed takowymi zagrożeniami.

Mając to na uwadze Minister Zdrowia stwierdza, że we współpracy z Centrum e-Zdrowia wdrożył wszelkie adekwatne rozwiązania techniczne oraz organizacyjne służące zapewnieniu ochrony danych osobowych pacjentów gromadzonych w Systemie e-Zdrowia. System ten zabezpieczają mechanizmy techniczne, odpowiadające wymogom wynikającym z obowiązujących przepisów prawnych, w tym z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Minister zdrowia wskazał, że System e-Zdrowia gwarantuje również, by przetwarzane w nim dane osobowe pacjentów, były udostępniane w sposób bezpieczny i stricte na zasadach określonych prawem, w tym przede wszystkim zgodnie z przepisami ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.

Dane przechowywane są w zaszyfrowanej formie i podlegają pseudonimizacji, tzn. odseparowaniu danych medycznych od danych identyfikujących konkretną osobę. Dzięki temu, w przypadku dostępu do bazy danych gromadzącej dane medyczne, nie jest możliwe ustalenie, jakiej osoby dane te dotyczą.

Mechanizmy uwierzytelniania i autoryzacji, separacja ról i uprawnień, a także odnotowywanie każdego udostępnienia danych przyczyniają się do zapewnienia wysokiego poziomu bezpieczeństwa. Również samo przekazywanie danych następuje poprzez zabezpieczone, szyfrowane połączenie zestawione bezpośrednio pomiędzy podmiotami. Podkreślenia wymaga też, iż pracownicy medyczni oraz usługodawcy uzyskują dostęp do danych osobowych pacjenta – o ile nie przysługuje im on ex lege – na podstawie zgody samego pacjenta.

To pacjent wyraża zgodę na przetwarzanie danych

Minister zdrowia wytłumaczył także RPO, że w przypadku e-recepty zgoda ta jest wyrażana w sposób świadomy poprzez podanie PIN konkretnej recepty wraz z numerem PESEL pacjenta. Ponadto wszyscy usługodawcy podłączeni do Systemu e-Zdrowie (P1) posiadają certyfikaty zapewniające ich jednoznaczną identyfikację oraz zabezpieczenie kanału transmisji danych. Dodatkowo każde żądanie udostępnienia danych z Systemu e-Zdrowie (P1) jest podpisywane, co pozwala zachować pewność i kompletność informacji, a przekazane w tym kontekście pozostałe informacje jednoznacznie identyfikują osobę, która pobiera lub zapisuje te dane.

Odnosząc się natomiast do opisanego w ostatnich dniach w mediach przypadku wykorzystywania – przez spółkę prowadzącą sieć aptek – danych osobowych pacjentów zawartych w receptach elektronicznych w sposób budzący istotne wątpliwości prawne,  minister zdrowia wskazał RPO, iż nie mamy do czynienia z „wyciekiem informacji” z Systemu e-Zdrowia (P1), gdyż do takiego wycieku, z uwagi na te zabezpieczenia danych,  nie doszło.

W tym przypadku- jak wskazał minister- mówimy natomiast o podejrzeniu wykorzystania danych niezgodnie z prawem przez konkretną aptekę i spółkę prowadzącą sieć, do której należy ta apteka. I to właśnie te podmioty istotnie mogły nadużyć zaufanie pacjentów, którzy w dobrej wierze podali im dane niezbędne do realizacji recepty, jeśli oczywiście podejrzenia opisane w mediach się potwierdzą.

Resort zrowia wskazuje, że wobec otrzymanych niepokojących sygnałów o stosowanej przez niektóe podmioty praktyce, Centrum e-Zdrowia, we współpracy z Ministrem Zdrowia, niezwłocznie podjęło właściwe czynności wyjaśniające celem ustalenia mechanizmu, na którym opiera się ta praktyka, w szczególności w kontekście przetwarzania danych osobowych pacjentów gromadzonych w Systemie e-Zdrowia.