To już ponad 3 lata od momentu rozpoczęcia obowiązywania ogólnego rozporządzenia w ochronie danych, tzw. RODO. Ten akt prawny ma szczególnie znaczenie dla placówek ochrony zdrowia, z racji przetwarzania przez nie danych medycznych pacjentów, które należą do kategorii danych wrażliwych. Jaka jest zatem istota ochrony danych osobowych w podmiotach leczniczych? Jakie praktyczne problemy można najczęściej spotkać przetwarzając dane osobowe w podmiocie leczniczym i jak je rozwiązać? Jaka przyszłość czeka zagadnienie przetwarzania danych osobowych w jednostkach medycznych? Na te i inne pytania odpowie nasz dzisiejszy gość Piotr Kawczyński, Prezes Zarządu Forsafe sp . z o.o., inspektor ochrony danych, członek Grupy Roboczej ds. ochrony danych w Ministerstwie Cyfryzacji oraz doświadczony audytor wiodący i audytor wewnętrzny w obszarze bezpieczeństwa informacji.
Dzień dobry, panie Piotrze.
Dzień dobry.
Znaki identyfikacyjne a ochrona danych osobowych
Bardzo mi miło Pana gościć w naszym podcaście. Będziemy rozmawiali o danych osobowych, czyli temat mi bardzo bliski, który bardzo lubię, więc czekałem długo na możliwość naszego spotkania. Panie Piotrze, zaczniemy od rzeczy bardzo konkretnej, która mnie osobiście niepokoi. Bardzo by mi zależało na poznaniu Pana opinii, a mianowicie chodzi o kwestie planowanej nowelizacji ustawy o działalności leczniczej. Ustawy, która weszła w życie w 2011 roku, czyli jeszcze przed RODO i tam mamy artykuł dotyczący znaków identyfikacyjnych pacjentów. Ja przypomnę tylko krótko słuchaczom, że obecna wersja tego przepisu zakłada, że znaki identyfikacyjne mają pozwalać na ustalenie tożsamości pacjenta, na ustalenie imienia, nazwiska i daty urodzenia. „Pozwalać na ustalenie” – to jest bardzo istotna rzecz. Natomiast nowelizacja tego przepisu, która w założeniu, tutaj chodzi o nowelizację wynikającą z ustawy o jakości w ochronie zdrowia, która w założeniu ma wejść pierwszego stycznia, jak dla mnie osobiście wywraca ten system, bo wprowadza w tym momencie obowiązek, co też jest ważne, na znakach identyfikacyjnych imienia, nazwiska i daty urodzenia. I czy to nie powoduje uwstecznienia całej naszej pracy?
Dziękuję za zaproszenie, ale nie będę już dłużej się rozwodził na temat wstępu, tylko może przejdę do odpowiedzi na to pytanie. Z tymi znakami identyfikacyjnym to jest tak, że faktycznie RODO wprowadziło nam w pewnym momencie złą interpretację w ogóle i postrzeganie personelu w przychodniach, w szpitalach stanęło na głowie. Wprowadziło nam to taką identyfikację pacjenta, gdzie był przywoływany tak zwany absurd RODO, polegający na tym, że pacjent otrzymywał pseudonim i tak go się wywoływało do gabinetu. I znana sytuacja bodajże z województwa małopolskiego, gdzie rodzice doświadczający wypadku, w którym brały udział dzieci, nie mogli uzyskać drogą telefoniczną informacji na temat swoich dzieci. To już było, wydaje mi się, takie stanie pod ścianą trochę. I faktycznie wtedy też to RODO wybrzmiało w tym kontekście, że ono zamiast służyć, zaczyna szkodzić i stoi na przeszkodzie. Odpowiadając na pytanie nie postrzegałbym patrzenia przez pryzmat tego problemu na uwstecznienie się w ogóle całego systemu ochrony danych osobowych. Tylko rozpatrywałbym to w kontekście tak naprawdę pokrycia czy też odpowiedzi na środowisko medyczne, które jeszcze przed obowiązywanie rozporządzenia ogólnego, czyli przed 25 maja 2018 roku w dużej mierze było sceptycznie nastawione do sposobu, w cudzysłowie można powiedzieć, znakowania pacjentów, identyfikowania tych pacjentów. Ja sam osobiście obsługując pewną grupę klinik na terenie Polski, weryfikowałem te systemy też informatyczne, które służyły do generowania opasek, kodów kreskowych, kodów QR i identyfikowania pacjentów za pomocą tych kodów. I problemem nie było znakowanie czy też możliwość odczytywania tych kodów QR poprzez dedykowane aplikacje, bo też prowadziliśmy testy z wykorzystaniem np. publicznie dostępnych aplikacji z tych różnych sklepów mobilnych. Próbowaliśmy odczytywać te kody. Jednymi się udawało i drugimi się nie udawało, w zależności też od systemu, to tak naprawdę problemem nie była możliwość odczytania tych danych i zachowanie poufności tych informacji. Problemem było raczej to, i do tej pory według mnie, problem jest taki, że w sytuacji, w której lekarz ma do wyboru ratowanie życia pacjenta, a po drugiej stronie na szali ma prawo ochrony danych osobowych, które powinno być prawem służącym jednostce, a nie prawem, które stoi na przeszkodzie, by lekarz miał bardzo prosty wybór. To znaczy wybierał ratowanie życia ludzkiego. „Znakowanie”, czyli przyznawanie tych kodów zgodnie z przepisami i zakres tych informacji, które znajdowały się na koncie, tak naprawdę uniemożliwiał lekarzom identyfikację. Z prostego powodu: lekarze nie dysponowali odpowiednimi urządzeniami. Tych urządzeń było za mało. Te urządzenia nie były takich rozmiarów i w takiej ilości, w jakiej można byłoby tego oczekiwać. I bardzo często środowisko medyczne przywoływało tutaj przykład tego, że na Zachodzie czy w krajach lepiej rozwiniętych w znaczeniu technologicznie, czy też informatycznie rozwiniętych, tam można sobie na to pozwolić. Natomiast w naszej służbie zdrowia ta technologia nie była rozwinięta na takim poziomie, który by umożliwiał przede wszystkim zachowanie mobilności i dostępności tych urządzeń, a co za tym idzie brak tych dwóch elementów powodował to, że nie mogliśmy identyfikować tego pacjenta, w związku z czym np. zgodnie z raportem NIK-u, który gdzieś tam w pewnym okresie został opublikowany, okazało się, że na próbce 24 szpitalach w ogromnej większości znaki identyfikacyjne zawierały dodatkowe informacje niezgodne z przepisami, czyli najczęściej było to imię i nazwisko, czasami był to numer PESEL. Tak więc tutaj odpowiedź środowiska medycznego była taka: tak, musimy mieć możliwość identyfikacji albo z kodem QR, jeżeli mamy do tego narzędzie, albo jeżeli nie mamy do tego narzędzi, to musimy mieć możliwość identyfikacji wprost, czyli za pomocą imienia, nazwiska, numeru PESEL.
Czyli w sumie można powiedzieć, że to jest w pewnym sensie postulat środowiska, żeby wdrożyć tę zmianę.
W kontekście znaków nie wiem, czy faktycznie było to elementem postulatu i faktycznie ustawodawca to uwzględnił. Wydaje mi się, że biorąc pod uwagę to, że technologię mamy, jaką mamy, też są różne systemy informatyczne, różni dostawcy i niejednokrotnie było tak, że pacjent, za którym jego historia szła do innego podmiotu i chciał np. skorzystać z prawa takiego, żeby te dane z jednego miejsca w wersji elektronicznej pobrać. Czyli mówiąc takim informatycznym językiem ktoś mu to eksportował, a ktoś po drugiej stronie to importował, okazywało się, że dane były niekompatybilne. Czy format tych informacji był niekompatybilny. To też jest kolejna przeszkoda w tym, więc nie wiem akurat, czy postulat został spełniony. Natomiast wydaje mi się, że patrząc z perspektywy czasu, nie tego ostatniego roku czy ostatnich trzech lat od obowiązywania RODO, ale patrząc w ogóle wstecz na cały proces obsługi leczenia pacjenta, to trzeba sobie zadać pytanie co my tak naprawdę chronimy i przed czym? No bo mamy imię i nazwisko i mamy numer PESEL. Czasami tego numeru PESEL tam na tej opasce nie ma. Mamy imię, nazwisko, mamy datę urodzenia. Co my z tymi danymi tak naprawdę dzisiaj jesteśmy w stanie zrobić? Biorąc pod uwagę stanowisko i wyraźną tendencję prezesa Urzędu Ochrony Danych Osobowych, który kwalifikuje, że jak gdzieś jest PESEL, to od razu mamy wysokie ryzyko naruszenia praw i wolności, jeżeli coś się z tym stanie. Ale tak naprawdę z drugiej strony jeżeli tego numeru PESEL nie mamy, a mamy datę urodzenia, to co my z tymi danymi, biorąc pod uwagę, że one są umieszczone na opasce czy gdzieś na karcie, na dokumentach, w szpitalu, na sali, to co my tak naprawdę możemy zrobić i czy były w ogóle znane przypadki wykorzystania tych danych w sposób sprzeczny z prawem? Ja osobiście nie znam takich przypadków. Być może są takie a nawet jeżeli były, to wydaje mi się, że one są w ogromnej mniejszości. Ta skala wykorzystywania tych danych w sposób sprzeczny czy też przez osoby nie upoważnione jest na pewno według mnie w skali mikro w stosunku do tego, do czego te dane się wykorzystuje. Zawsze na to patrzę z perspektywy drugiej, czyli co ja z tymi danymi mogę zrobić jako osoba, jako Jan Kowalski przechodzący przez przychodnię, przez korytarz szpitalny? Kiedy wejdę w posiadanie takich informacji, to co ja za pomocą tego mogę zrobić? To, że ja w tym momencie wymienię jakiś numer PESEL – czy słuchacze, którzy nas słuchają, którzy nie mają dostępu do systemu P1 czy do systemów centralnych jak CDG czy jakiś innych, czyli nie pracują w sektorze e budżetowym, państwowym – czy są w stanie coś z tymi informacjami zrobić poza określeniem daty urodzenia? I bazując na którejś tam cyfrze określić płeć. My ogrom danych osobowych o sobie udostępniamy sami w różnego rodzaju mediach. A z drugiej strony ciężko walczymy o to, żeby nasze dane nie były widoczne na karcie pacjenta w szpitalu.
Mam takie wrażenie, że w przypadku tych znaków identyfikacyjnych mamy dwa argumenty, jeden argument osób, które traktują tę zmianę czy podchodzą do tej zmiany negatywnie. To jest kwestia tej potencjalnej możliwości dowiedzenia się w tym momencie, że Kowalski leżący na tym oddziale, no to są te dane medyczne. W tym momencie wydaje mi się, że to jest jeden z podstawowych argumentów, że mamy zidentyfikowanego Kowalskiego jeszcze z daty urodzenia, który leży na takim oddziale, czyli mamy określone nie tylko te jego dane, nazwijmy to podstawowe, ale mamy też określone dane medyczne. I to jest chyba taki argument, który bardzo często się pojawia. Faktycznie bardzo to jest pytanie zasadne, co my de facto z tymi danymi możemy w tym momencie zrobić – ja jako osoba idąca przez ten korytarz. Z drugiej strony wiemy doskonale o tym, i tu jest ta kwestia, o której Pan wspomniał – ratowania życia czy ratowania zdrowia. Znamy też przypadki, to jest troszeczkę mniej powiązane, chociaż też, jak sądzę, z kwestią identyfikacji pacjenta – z kwestią pomyłek w szpitalach w kontekście właśnie identyfikacji konkretnego pacjenta, podania leków i tak dalej, i tak dalej. No i nie oszukujmy się, to jest zdecydowanie jednak wyższe dobro i ważniejsza rzecz, żeby prawidłowo tego pacjenta zidentyfikować, żeby nie doszło do takiego błędu. Wydaje mi się, że z tej strony patrząc, rzeczywiście to jest niewspółmierne, czyli prawidłowa identyfikacja, a uwzględniając to, o czym pan wspomniał, czyli w przypadku chociażby tych kodów QR, brak wystarczającej ilości czytników, zwiększał ryzyko błędu, a na to de facto placówka medyczna nie może sobie pozwolić.
Proszę pamiętać też o tym, że rozpatrując każdą sytuację indywidualnie w kontekście tak zwanego RODO – rozporządzenia ogólnego, proszę zwrócić uwagę na tytuł tego aktu prawnego, to jest rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem ich danych. Nie chcę teraz być źle zrozumianym – nie chronimy danych osobowych jako takich, natomiast chronimy prawa i wolności osób, których dane dotyczą.
Tak to już od zarania dziejów, że tak powiem, był pomysł czy idea samego RODO, że musimy chronić te osoby fizyczne.
Tak, w związku z przetwarzaniem ich danych. I rozpatrując teraz tę sytuację właśnie ratowania życia ludzkiego, tak naprawdę gwarantujemy, patrząc z perspektywy jednostki medycznej dostęp i możliwość zrealizowania konkretnego uprawnienia tego pacjenta, oczywiście z poszanowaniem jego prawa do prywatności czy prawa ochrony danych osobowych. Wracając do tego pytania, rozstrzygając czy ja mam prawidłowo zidentyfikować osobę, podać jej prawidłowy lek, uratować jej życie, podjąć jakąś niezbędną czynność do tego zmierzającą, to zawsze będzie wygrywało życie ludzkie. Prawo ochrony danych osobowych będzie wtórne. Natomiast myślę, że część z pacjentów też będzie postrzegała prawo ochrony danych osobowych jako swoistego rodzaju hamulec, który będzie im służył jako argument do tego, żeby pewnych informacji jednostka medyczna nie zbierała, nie przetwarzała. To też jest związane z pewnymi zakusami niektórych administratorów do tego, aby zwiększać zakres informacji o pacjencie. Tutaj faktycznie mogą powstawać pytania, czy administrator ma właściwą podstawę prawną albo czy zbyt daleko nie ingeruje w prywatność. Możemy sobie wyobrazić sytuację, w której mamy przetwarzane dane osobowe w postaci zakresu jakichś informacji, tych tzw. danych osobowych zwykłej kategorii, ale mamy jeszcze dane szczególnej kategorii, takie gdzie dzisiaj, w dobie pandemii – nawet badanie temperatury pracownika pod kątem podejrzenia tego, czy osoba może być zarażona wirusem SARS-Cov 2. Dzisiaj stanowisko prezesa urzędu jest takie, że wykonanie takiego badania i pozyskanie informacji, że ktoś ma temperaturę, która przekracza przykładowo te 37,5 stopnia jest już informacją o charakterze szczególnym, ujawniającym informację o stanie zdrowia zgodnie z artykułem 9 RODO. I teraz przenosząc to znowu na podmiot medyczny i tych danych szczególnej kategorii – mogą być zakusy, żeby zbierać ich więcej, chociażby w kontekście na przykład danych biometrycznych. Możemy sobie wyobrazić sytuację, co prawda nie miałem z taką sytuacją do czynienia w sektorze medycznym, w której pracodawca konstruował sobie proces np. kontroli dostępu do wybranych pomieszczeń, czy też w ogóle na teren przedsiębiorstwa, który był oparty o system biometryczny. Dlaczego? Ponieważ argumentował to w taki sposób, że karty dostępowe pracowników są np. na zmianach podmieniane, wykorzystywane. Pracownik odbija się kartą innego pracownika, co ciągnie za sobą wszystkie te obowiązki wynikające z kodeksu pracy, naliczenie wszystkich tych ekwiwalentów i tak dalej, i tak dalej. Tak więc z jednej strony mamy próbę takiego wykorzystywania i oszustwa, a z drugiej strony mamy przetwarzanie danych biometrycznych, no bo jest to już jednoznacznie identyfikujące konkretną osobę. W podmiocie medycznym jest to tym bardziej prostsze do zrealizowania w sensie argumentowanie pobrania np. odcisku palca, motywując czy argumentując to prawnie uzasadnionym interesem administratora, który ten interes wytłumaczy jako jednoznaczna identyfikacja właśnie pacjenta. Powstaje pytanie, czy my jako administrator jedziemy już o krok za daleko? Próbujemy uargumentować jakieś nasze własne cele, opierając to o przetwarzanie danych pacjentów, co do których nie możemy znaleźć tej podstawy prawnej.
Monitoring pacjentów a ochrona danych osobowych
Muszę powiedzieć, w odniesieniu do tych znaków identyfikacyjnych, miałem w odniesieniu do tej zmiany nieco zdystansowane podejście. Teraz mnie pan przekonał, co do słuszności tego i bardzo za to dziękuję. Natomiast w tym kontekście, o którym pan mówi, tej nadmiarowość, to wydaje mi się, że ta druga zmiana również w tym samym akcie prawnym, czyli w ustawie o działalności leczniczej, jest również bardzo istotna. Myślę tutaj o monitoringu i dosyć zasadniczej zmianie, jeżeli chodzi o przepis. Wiadomą rzeczą jest, że monitoring powierzchni ogólnodostępnych jak np. korytarze, to jest osobna kategoria, ale mnie bardziej chodzi o zmianę dotyczącą możliwości monitoringu pomieszczeń, w których udzielane są świadczenia. Obecnie przepis jest sformułowany w taki sposób, że zakłada taką możliwość, jeżeli ta możliwość wynika z przepisów odrębnych. Co to znaczy? To znaczy, że mamy bardzo tutaj duże ograniczenie w tym zakresie, no bo chociażby taki monitoring przykładowo jest dopuszczany w ramach oddziałów intensywnej terapii, gdzie rzeczywiście opieka nad takim pacjentem musi być wzmożona. Osobiście spotkałem się z bardzo dużą liczbą pytań ze strony naszych klientów w odniesieniu do chociażby obecnej sytuacji z Covid19 i monitorowania stanu pacjentów, którzy powiedzmy nie są pod respiratorem, ale są w stanie mimo wszystko dosyć ciężkim. Pojawiły się liczne pytania: co w takim przypadku. Zmiana, która jest planowana od 1 stycznia, ma polegać po prostu na zmianie sformułowania. Te przepisy odrębne zostaną, przypomnijmy, wykreślone, a pojawi się przesłanka możliwości monitorowania, jeżeli jest to konieczne, w procesie leczenia lub dla zapewnienia bezpieczeństwa pacjenta. Uważam, nie wiem, czy pan się ze mną zgodzi, że jest to krok w dobrą stronę. Rzeczywiście od strony jednostek medycznych już od dłuższego czasu było sygnalizowane, że ten monitoring jest w wielu przypadkach konieczny dla zapewnienia chociażby bezpieczeństwa temu pacjentowi.
Co do zasady się zgadzam. Natomiast z monitoringiem jest w ogóle ciekawa sprawa, bo w 2014 roku nawet powstał pierwszy projekt takiej ustawy o monitoringu wizyjnym.
Tak, nawet nie wiem, co się z nim stało.
Nic się z nim zostało. Generalnie gdzieś tam utknął.
Tak, on był i przynajmniej ja pokładałem w tym projekcie duże nadzieje, żeby to zostało uregulowane bardzo wyraźnie.
Był faktycznie taki projekt i gdyby ten projekt wszedł w jakiejś formie, to on na pewno by zdecydowanie rozwiązał większość problemów z zastosowaniem monitoringu. Dzisiaj monitoring znajduje się w kodeksie pracy. Są tzw. inne formy monitoringu, pod które podpada też prowadzenie analityki, np. na poczcie służbowej pracownika.
Powiem szczerze, moim zdaniem ten przepis jest trochę kulawy, ale to jest osobna rzecz.
Tak, ale nie będziemy poruszali innych form monitoringu. Natomiast monitoring też jest oczywiście w takim rozumieniu powszechnym jako wykorzystywanie urządzeń rejestrujących obraz czy z możliwością rejestracji dźwięku, bo oczywiście co do zasady rejestracji dźwięku nie możemy przeprowadzać. Natomiast tu zwracam uwagę na to, o czym pan wspomniał, czyli tam jest, jeżeli dokładnie mielibyśmy przytoczyć „lub zapewnienia bezpieczeństwa”.
„Konieczne w procesie ich leczenia lub dla zapewnienia im bezpieczeństwa”.
I to jest w mojej ocenie bardzo szeroko interpretowane. Będziemy mieli sytuację, już nawet są teraz te sytuacje, one się dzieją, gdzie administratorzy danych, czyli podmioty medyczne, będą korzystały z tej przesłanki, żeby pokrywać stosowanie monitoringu w każdym dostępnym miejscu. Będą to argumentowały tym, że pacjent, gdy jest przenoszony, asystowany, przewożony, przemieszcza się z punktu A do punktu B, musi być zapewnione bezpieczeństwo. „Historycznie mieliśmy jednego w skali roku, który musiał się poruszać przy asyście innej osoby. W związku z tym wdrożyliśmy monitoring. Czy jest adekwatny w tym stosunku”? W mojej ocenie – absolutnie nie. Wdrażamy monitoring w miejscach socjalnych, w toaletach, więc zaczynamy narażać się na ryzyko tego, że będziemy przetwarzali dane nie tylko pacjentów, ale być może osoby odwiedzające, która skorzysta z tej toalety. Więc w mojej ocenie brakuje tutaj jakiegoś przepisu wykonawczego, bo jeżeli to pozostanie w takiej formie, w jakiej jest, to nadal nam to nie rozwiąże problemu. Ja oczywiście prawnikiem nie jestem, ale w mojej ocenie to problemu nie rozwiąże.
Ja się z tym całkowicie zgodzę.
Znowu powstanie bardzo duża przestrzeń do własnej interpretacji, co to jest to „bezpieczeństwo pacjenta”.
Powiem tak, oceniam to jako krok w dobrą stronę, ale rzeczywiście szerokość tej przesłanki, tak jak Pan mówi, będzie powodowała określone ryzyko. Zresztą to już się dzieje w kontekście tego kodeksu pracy, o czym pan wspomniał, bo tam też mamy tę przesłankę bezpieczeństwa mienia i tak dalej, i tak dalej. I bardzo często się przecież zdarza, że wchodzimy do konkretnej firmy i widzimy, że te kamery są wszędzie. I uzasadnienie tego jest właśnie takie „zdarzyła się taka sytuacja, że pracownik wyniósł śrubkę”. Oczywiście, teraz to troszeczkę trywializuję, ale niestety tak się zdarza i te kamery są wszędzie.
Tak, nawet jeżeli mielibyśmy się przenieść teraz z tego obszaru medycznego na obszar prywatny różnego rodzaju firm, to są sytuacje, w których nawet kamery są ustawione centralnie, np. nad klawiaturą konkretnego pracownika, po to, żeby weryfikować, czy właściwie on stuka we właściwe klawisze i czy nie spędza na komputerze czasu służbowego, przeznaczając go na jakieś prywatne czynności. Albo właśnie czy nie próbuje wykraść jakiś danych objętych tajemnicą przedsiębiorstwa. To jest to ryzyko. Natomiast proszę zwrócić uwagę, że zarówno w kontekście tego przywołanego projektowanego przepisu, który będzie obowiązywać od stycznia przyszłego roku i w ogóle korzystania z monitoringu wizyjnego na terenie zakładów pracy, też podmiotów medycznych, korzysta się z prawnie uzasadnionego interesu administratora. W każdym przypadku, kiedy wykorzystujemy prawnie uzasadniony interes administratora, my musimy legitymować się jako administrator, jako osoba prowadząca taki podmiot. Czy będąc pracodawcą musimy legitymować się odpowiednim, tak zwanym testem proporcjonalności. To jest takie trochę enigmatyczne dla osób niesiedzących w temacie. Czyli po prostu trzeba sobie zmierzyć i zważyć po której stronie jest ciężar tego właśnie prawnie uzasadnionego interesu. Czy określając nasz cel, nie naruszamy, nie wchodzimy i ingerujemy zbyt daleko w naruszenie praw i wolności tego chociażby pracownika. Natomiast na pewnym etapie tego testu jest takie jedno fajne pytanie, które ja zawsze zadaję osobom, dla których pracuję, dla których świadczę swoje usługi, dla ich zespołów i pytam, czy istnieje inna alternatywna możliwość dojścia do tego samego celu, ale bez ingerencji, bez wykorzystania takich środków jak np. monitoring. Bo jeżeli chodzi o ochronę obiektu, to tutaj możemy powiedzieć, że w mojej ocenie nie ma innej alternatywnej metody. Jeżeli mamy np. ochronę miejsca jakiegoś załadunkowego, park maszyn, czy mamy właśnie kontrolę dostępu jakąś do jakichś pomieszczeń, to nie ma innych alternatywnych metod. Natomiast jeżeli rozpatrujemy to właśnie w kontekście takim, że monitorujemy, załóżmy te pomieszczenia socjalne, stołówki, toalety, zakresem monitoringu objęte jest również, np. wydzielone miejsce na palarnie na zewnątrz budynku. To w mojej ocenie tutaj jesteśmy w stanie dojść do tego samego celu albo modyfikując ustawienie takiego monitoringu, albo ograniczając jego zakres, albo korzystając po prostu z innych metod, albo po prostu nie przetwarzać takich danych. Bo trudno mi jest sobie wyobrazić teraz argumentację takiego podmiotu medycznego, który wdroży monitorowanie wszystkich toalet na terenie swojego zakładu.
To ja muszę powiedzieć, że gdyby taki pomysł się pojawił, to w zakresie danych osobowych pytanie jak to uargumentować, przyszłoby do nas, jako do osób, które obsługują takie podmioty pod kątem danych osobowych. Ja bym nie miał pomysłu, że tak powiem, na jakieś uzasadnienie tego. Prawdopodobnie to mogłoby się opierać, rzeczywiście od strony administratora, na jakimś argumencie dotyczącym jakiegoś pojedynczego przypadku, że „coś się zadziało, czyli w takim razie bezwzględnie konieczne jest to, żeby tutaj był monitoring”. Placówki medyczne, to już z mojego doświadczenia, ale myślę, że Pan również może to potwierdzić. To jest placówka medyczna, to jest tygiel ludzi. Masa pacjentów, osób odwiedzających, masa ludzi po prostu w cudzysłowie mówiąc z ulicy. Ci ludzie są różni i różne sytuacje się zdarzają i może się zdarzyć sytuacja bardzo często, niestety, że jest jakaś awantura na korytarzu szpitalnym czy w placówce. Przyszedł pan odwiedzający, który w pewnym momencie wdaje się w jakąś kłótnię i awanturuje się z pielęgniarkami. I nie jest to przypadek odosobniony. Niestety zdarzają się przypadki, w których to jest chociażby argument – pielęgniarki poczuły się zagrożone, w związku z czym trzeba umieścić dodatkowe kamery w określonych miejscach. Osobiście się z tym spotkałem. No i tutaj rzeczywiście, tak jak pan powiedział, jest kwestia tego testu i kwestia tego pytania.
Tylko czy kamery rozwiążą problem?
Czy my możemy to zrobić inaczej, a nie poprzez kamery?
Tak, bo kamera tak naprawdę będzie tylko urządzeniem, które zarejestruje pewną sytuację i nic więcej.
I to jeszcze bez dźwięku. Podkreślmy to, bo to często jest element, który jest bardzo istotny, ale nie możemy tego robić.
Tak, nie dalej jak tydzień temu analizowałem sytuację u pewnego przewoźnika publicznego na terenie Polski w pewnym województwie, gdzie była osoba, która jak się okazało później w toku analizy i nagrania i spraw, które miała założone przez policję i również analizy swojego kanału na YouTubie, który ma otwarty i publicznie dostępny, więc doszliśmy do wniosku, że jest prowokatorem, czyli czeka tylko i wykonuje różne czynności po to, żeby sprowokować inne osoby i nagrywa to. Właśnie u jednego z takich przewoźników, gdzie dźwięk nie był nagrany, bo nie może być nagrany. Nagranie monitoringu jest co najmniej dwuznaczne, widać pewne zachowania, natomiast nie można określić, czy jedna strona była prowokatorem, czy też druga strona po prostu przechodziła i rozpoczęła jakąś dyskusję. Więc tak naprawdę nagranie z monitoringu w tej konkretnej sytuacji niewiele nam zmieni, bo będziemy mieli słowo przeciwko słowu. Natomiast na terenie oddziału, na terenie jednostki medycznej, czy w miejscu takim, o którym pan wspomniał, gdzie dochodzi do skontaktowania się z pielęgniarkami, będą też inne osoby, będą inni świadkowie. I to tak naprawdę w takiej sytuacji, mojej ocenie przynajmniej, to będzie przeważającym tutaj stanowiskiem, że w celu odpierania jakichś tam roszczeń. Też oczywiście spotykam się z takimi pomysłami i administratorzy też przychodzą właśnie albo „biznes” po prostu przychodzi i mówi, że chce zrobić to i to, i kamera, jakaś inna forma monitoringu jest najlepszym sposobem ku temu. No i właśnie zadajemy sobie to pytanie i próbujemy znajdować rozwiązania, które doprowadzą do tego samego celu, ale nie w tak ingerujący sposób.
Przypadki naruszeń ochrony danych
To wszystko, o czym rozmawiamy, powoduje pewne ryzyko w zakresie naruszenia zasad ochrony danych osobowych. I chciałbym, żebyśmy chwilkę porozmawiali pod kątem jednostek medycznych ściśle na przestrzeni tych 3 lat, jak obowiązuje RODO i jakie mieliśmy takie najczęstsze przypadki w skali europejskiej, ale również być może w skali polskiej naruszeń, które zostały przez organy zakwalifikowane jako naruszenie i wiązały się z tym określone sankcje, bo kilka tych przypadków było mniej lub bardziej spektakularnych.
No więc jeżeli chodzi o same naruszenia, to też trzeba powiedzieć o tym i myślę, że słuchacze powinni też o tym wiedzieć, że mamy coś takiego, co się nazywa incydentem czy jakimś zdarzeniem bezpieczeństwa, które niekoniecznie musi być naruszeniem. Naruszenie jest wtedy, kiedy zaczyna grać rolę prawdopodobieństwo naruszenia tych praw i wolności osób, których dane dotyczą. W pierwszym podejściu nie ocenia organ, tylko ocenia administrator czy to, z czym miał do czynienia jest naruszeniem, czy pozostaje po prostu incydentem. To też jest kwestia prawidłowego prowadzenia polityki zarządzania incydentami i naruszeniami. Incydentów co do zasady się nie zgłasza. Naruszenia, w zależności od przyjętej metodyki i poziomu wartości tego oddziaływania, zgłasza się do Urzędu Ochrony Danych Osobowych w Polsce bądź do innych krajowych organów na terenie Unii Europejskiej właściwych dla osoby zgłaszającej. I w wyniku takiego zgłoszenia urząd może po prostu nie wysłać żadnej informacji, w żaden sposób się nie wypowiedzieć, po prostu przejść nad tym do porządku dziennego. Może zwrócić się do administratora o udzielenie jakichś dodatkowych wyjaśnień, może zwrócić się do administratora z nakazem np. uzupełnienia jakichś informacji albo nakazać administratorowi np. wykonanie jakichś czynności, czyli np. poinformować osobę. A czasami w wyniku tej oceny administrator zarówno musi zgłosić to do prezesa urzędu i od razu wie o tym, że musi poinformować osobę. I w niektórych przypadkach jest tak, że organy, na terenie Unii Europejskiej nasz polski organ, w wyniku przeprowadzonego postępowania najczęściej po naruszeniu, jest uprawniony do nałożenia administracyjnej kary pieniężnej. Wszyscy wiedzą, że to jest albo 4%, albo 20 milionów euro w zależności od tego, w jakim to trybie.
To jest ten pierwszy element, którym zawsze, od samego początku, jak tylko RODO się pojawiło, to zawsze najpierw wszyscy mówili o karach, a potem zajmowali się sensem RODO jako takim.
Mówili o karach później. Przez pierwszy rok jeszcze o tych karach tak bardzo nie mówili, bo z kolei używali argumentu, że jeszcze nie było tej pierwszej kary, więc nie ma problemu. A jak się zaczęły pojawiać i zaczęły te kary rosnąć, chociaż to nie można powiedzieć, że tendencja jest wzrostowa, bo ona jest bardzo różna. Ostatnio widziałem chyba jakąś tam karę 10 czy 20 tysięcy złotych, zresztą nomen omen dla jakieś spółki łódzkiej, która nie chciała współpracować z prezesem Urzędu Ochrony Danych Osobowych, dostała karę 20 tys. zł, po prostu za brak odpowiedzi.
Ciekawe, bo ja kojarzę, że była chyba kara w wysokości, o ile dobrze pamiętam, 20-kilku czy 20 tysięcy dla szkoły. Ale oczywiście wszystkim utkwiła w pamięci ta pierwsza, bardzo spektakularne otwarcie urzędu, że tak powiem, o czym też trzeba pamiętać, że ta sprawa nie zakończyła się na tej karze, bo ona miała swoją kontynuację na poziomie sądowym, sądowoadministracyjnym. Niemniej rzeczywiście to było takie spektakularne uderzenie urzędu.
Druga kara, która była taka spektakularna, która dotyczyła pewnej spółki technologicznej, w zeszłym tygodniu, bo dzisiaj mamy 9 listopada, a na początku listopada, ta kara również została zaskarżona i została cofnięta w takim znaczeniu, że spółka się odwołała i wygrała to odwołanie. Natomiast jakby w kontekście naruszeń, wracając do tego, że mamy administracyjną karę pieniężną i przypadkiem takim europejskim, pierwszym znanym to była kara w Portugalii, która dotyczyła właśnie jednego ze szpitali i dotyczyła sytuacji, która ma miejsce również w wielu podmiotach w Polsce. Mianowicie dotyczyła sytuacji, gdzie w systemie informatycznym tegoż szpitala były aktywne konta użytkowników, pracowników czy też byłych pracowników, które to konta miały możliwość po prostu zalogowania się na konto. Czyli mówiąc inaczej były pracownik jeżeli uzyskał w jakiś sposób dostęp do infrastruktury szpitala czy to poprzez fizyczną obecność, czy to poprzez załóżmy jakąś formę zdalną poprzez przeglądarkę, bo znał pewnie technologiczne możliwości połączenia się np. z siecią szpitalną, to mógł z wykorzystaniem swojego konta mimo tego, że nie był już pracownikiem, uzyskać dostęp do danych osobowych. I to była taka pierwsza w tym kontekście medycznym kara. Przenoszę też to na nasz tutaj lokalny rynek, bo w wielu podmiotach ten problem istnieje. Ja się zawsze śmieję z tego, że jak Kowalski zaczyna istnieć w organizacji, to jest potrzeba chwili, jest presja czasu, obowiązków, żeby mu to konto stworzyć.
To jest tzw. szybki on-bording.
Tak, natomiast jak Kowalski staje się podmiotem danych do tego RODO, czyli nie jest już pracownikiem, to jego konto w systemie informatycznym jakimś cudem już pozostaje sierotą. Nie generalizuję, że tak jest w każdym przypadku, ale to się często zdarza i dochodzi do takich sytuacji, gdzie w wyniku prowadzonego audytu wewnętrznego czy jakiejś weryfikacji takich systemów i porównując chociażby ilościowo konta w systemach informatycznych versus liczbę pracowników czy też liczbę wydanych upoważnień do przetwarzania danych osobowych, w czym się tak polski organ też lubuje, że musi być wydane upoważnienie do przetwarzania danych osobowych, pomimo tego, że tak naprawdę wprost ten obowiązek na gruncie RODO nie wynikał z przepisów.
Ale nie ma Pan wrażenia, jeżeli jesteśmy przy upoważnieniach. Może się mylę, ale tak patrząc jak to rzeczywiście wygląda, to trochę jest tak, że to jest element, który jest najprościej skontrolować, bo to jest zero jedynkowe, jest albo go nie ma.
Tak i np. dostaję takie pytania od swojego zespołu, gdzie dyskutujemy na poniedziałkowych zebraniach o różnego rodzaju problemach i coraz częściej pojawia się takie podejście „po co te upoważnienia wydawać, przecież to generuje same problemy tylko, są tony papieru, to są godziny poświęcone na wypełnianie tych papierów, wycofywanie…
…na określenie zakresu… to wcale nie jest takie proste jakby się mogło wydawać.
Tak i tutaj można byłoby się w ogóle z tego doktoryzować i można byłoby tak naprawdę zatrudniać, tak jak mamy w niektórych instytucjach stanowisko archiwisty, tak moglibyśmy mieć samodzielne stanowisko do spraw nadawania upoważnień do przetwarzania danych osobowych. Zresztą w ogóle uwielbiam, gdy słyszę „problematyka upoważnień do przetwarzania danych osobowych”, to staram się bardzo szybko uciekać daleko i szybko tam gdzie mnie ten problem nie dosięgnie. Ale nie podejmę się osobiście i nie znam chyba nikogo, kto by się podjął w Polsce wydania opinii czy też nakłonienia któregoś z administratorów, żeby odszedł od wydawania upoważnień. Bo patrząc z drugiej strony właśnie na to, co się dzieje w trakcie kontroli, chociażby kilka tygodni temu organizowaliśmy Konwent Ochrony Danych i Informacji. Jednym z prelegentów był dyrektor Departamentu Kontroli, Pan dyrektor Młotkiewicz, drugim z prelegentów był też adwokat w jednej z ogólnopolskich kancelarii, który ma dosyć dużą praktykę zbudowaną jeżeli chodzi o procesy kontrolne, w ogóle, o kontrolę u swoich klientów. I to było takie zestawienie, gdzie właśnie UODO mówiło jedno a rzeczywistość przekazana przez pana mecenasa mówiła o tym, że kontrola jak wchodzi to pierwsze co, to poprosi te sławne papierki, upoważnienia, politykę, instrukcję, która już nie wynika z niczego, bo to już przecież nie jest dokument, który pojawił się w rozporządzeniu z 2004 roku. A dzisiaj kontrola przychodzi podobno, bo bazuje na tym, co usłyszałem i prosi o te dokumenty. To jest najprostsze do sprawdzenia. Nie wiem, może to wynika też z tego, że pewnie urząd doświadcza problemów kadrowych i też może ze względu na brak jakichś kompetencji takich technologicznych i informatycznych. Nie chcę wyrokować, bo absolutnie nie znam tutaj tej ich struktury. Natomiast na pewno z punktu widzenia audytora trudniej jest wiedzieć, gdzie ma się zajrzeć, do jakiego systemu informatycznego i gdzie ma się szukać, mając po drugiej stronie dokument, który można rozliczyć na zasadzie właśnie „jest, nie ma” zero jedynkowo.
Ale to jest właśnie powód, dla którego ja bardzo często naszym klientom z kolei rekomenduję po prostu coś na zasadzie skoroszytu z napisem RODO i gdzie są zestawione te dokumenty, o których Pan mówi. Dokładnie w tym celu, żeby to było wszystko wydrukowane, podpisane, polityki, rejestry i tak dalej.
Tak, jeszcze takie wprowadzenie nomenklatury i przekładki, że w tym miejscu mamy rejestry, w tym mamy rejestr umów powierzenia.
Tak dużo jest, bo możemy przecież jeszcze dużo rejestrów prowadzić, rejestr upoważnień, naruszeń…
Rejestr wniosków osób, które się zgłoszą.
Dokładnie tak, tutaj rzeczywiście trochę się śmiejemy, ale rzeczywiście wracając do samej kwestii upoważnień, ja też bym się nie podjął w tym momencie stwierdzenia, czy jest jakikolwiek podmiot, który by z tego zrezygnował. Raczej nie. Wydaje mi się, że wszyscy cały czas te upoważnienia generują. W jakiejś formie na pewno one są. Natomiast tutaj chciałem jeszcze nawiązać do tego przypadku w Portugalii. Może zacznę od tego, że to też jest kwestia bardzo istotna – to, co się przebija do mediów – do mediów w momencie, kiedy, że tak powiem, gruchnęła informacja o tym portugalskim szpitalu, to przebiła się informacja „pierwsza kara RODO branży medycznej, 400 tysięcy euro”. To była informacja, która się przebiła. Natomiast – i to już przebiło się gorzej – ta kwota 400 tysięcy euro, to była kwota, która została podzielona, bo tam było kilka tych elementów, gdzie urząd portugalski stwierdził naruszenie. To było dwa razy po 150 000 i trzecia kwota to było 100 tysięcy. To, co zwróciło moją uwagę i o czym chciałbym chwilkę porozmawiać, bo kilka takich przypadków było, można też wymienić taki przypadek w Holandii czy w Czechach. Czyli kwestia przyjęcia za przypadek naruszenia przez urzędy krajowe sytuacji, w której w dużym skrócie, lekarz w danej placówce medycznej miał możliwy dostęp z poziomu swojego konta do wszystkich pacjentów w danej placówce medycznej. I w tych trzech przypadkach, o których mówię: Czechy, Holandia i właśnie też Portugalia wspomniana przez pana, to były przypadki, w których organy wymierzyły wysokie, trzeba sobie powiedzieć, kary. W Holandii ta grzywna była jeszcze wyższa, tam było 460 000 euro. Między innymi właśnie w tym zakresie, że nie było ograniczenia tego dostępu. I tutaj jestem bardzo ciekaw pana zdania w zakresie tego rodzaju naruszenia, ponieważ jestem troszeczkę sceptycznie nastawiony do tego, patrząc z punktu widzenia praktyki funkcjonowania placówek medycznych i tego, że rzeczywiście to, że określony pacjent idzie do konkretnego lekarza specjalisty, to bardzo często w zakresie jakichś diagnoz czy sprawdzenia już określonych badań, które były wykonane, te dane medyczne z poszczególnych specjalizacji, bo to o to chodziło, w sposób naturalny się krosują i to jest konieczny dostęp dla lekarza. Więc mam tutaj tą swoją wątpliwość, czy tutaj urzędy, mówiąc krótko nie poszły zdecydowanie za daleko. To jest oczywiście ocenne.
To jest problem bardziej złożony, bo co do zasady oczywiście powinno być tak, że historia choroby pacjenta, jego leczenia idzie za pacjentem.
Tak zwana ciągłość leczenia.
Tak, więc lekarz powinien mieć dostęp do historii zgromadzonej przez pacjenta. Z kolei jednym z elementów, dlatego mówię, że jest to złożony problem, bo trzeba też pamiętać, że podmioty medyczne pracują na danych szczególnej kategorii. W zależności od wielkości podmiotu mogą przetwarzać dane na dużą skalę. Jak już mamy dużą skalę i szczególną kategorię danych, to wchodzą w grę już duże ryzyka, które jeżeli mówimy o systemach informatycznych, o tych uprawnieniach dla lekarzy, dla poszczególnych osób funkcyjnych w tych podmiotach, mówimy o tak zwanym podejściu „zero trust”. Szczególnie istotnym w kontekście cyberbezpieczeństwa. Tak jak RODO nam wyskakiwało z lodówki w 2018 roku, tak cyberbezpieczeństwo, w tym roku i w przyszłym też będzie nam się coraz częściej pojawiało, bo przecież lekarze muszą mieć dostęp do maila, bo lekarze przynoszą swoje tablety i swoje telefony, swoje komputery przenośne. Bo właśnie odbierają maila, bo korzystają z jakichś usług chmurowych, do których chcą mieć dostęp, bo coś tam mają i muszą się zalogować. Więc to cyberbezpieczeństwo zaczyna nam wyskakiwać. Tak naprawdę sprowadzamy to do pytania w jaki sposób powinniśmy nadawać uprawnienia. Bo czym innym jest upoważnienie i danie po prostu dostępu do systemu, a czym innym jest określenie, do czego ten użytkownik faktycznie powinien mieć dostęp. Wchodzimy w poziomy dostępu do systemów informatycznych i znając specyfikę wybranych systemów informatycznych, które funkcjonują w podmiotach medycznych, mogę powiedzieć, że większość tych systemów ma na dosyć dużym stopniu szczegółowości zgranulowany ten poziom uprawnień. Oczywiście te poziomy uprawnień bazują na rolach, więc można z dosyć dużą precyzją określić, posłużę się przykładem rejestratorki, ona może mieć dostęp do konkretnych pól informacyjnych w karcie i do konkretnych czynności, które może tam wykonywać. W przypadku innego personelu szczególnie mówimy tutaj o lekarzach, którzy mogą mieć dostęp, czy też powinni mieć dostęp do całego zakresu informacji. Myślę, że to jest wyzwanie tak naprawdę technologiczna. To zawsze jest tak, że bezpieczeństwo informacji, cyberbezpieczeństwo, informatyka, prawo to jest taki styk, który w konkretnym kontekście zawsze trzeba pogodzić i zrozumieć każdą ze stron. Bezpieczeństwo będzie mówiło, że musi być najbezpieczniejsze. Prawo będzie mówiło, że „nie więcej niż, zgodnie z przepisem”, a biznes będzie mówił, że ma to działać tak, żeby to było prokonsumenckie, propacjenckie.
Nie sprawiało problemów.
Było przyjazne dla użytkownika itd. Informatyka będzie mówiła o tym, że to ma być takie też i takie i ma być zgodne z jakimiś tam standardami. To wszystko trzeba pogodzić. Więc ja bym odpowiedział na to pytanie w taki sposób, że trzeba rozpatrywać konkretny kontekst, konkretną sytuację, konkretny system informatyczny. W przypadku małych praktyk gabinetu dentystycznego, gabinetu dermokosmetycznego czy idąc już trochę dalej nawet jakiejś małej kliniki, która wykonuje jakieś operacje plastyczne czy jakieś tam korekty, która przetwarza małą ilość danych i ma małą strukturę organizacyjną, być może tam stosowanie takiego rozbudowanego systemu zarządzania uprawnieniami nie byłoby po prostu adekwatne do możliwości, do celu. Natomiast w dużych systemach, szczególnie tych szpitalnych, moja praktyka pokazuje, że tamte systemy i poziom tych uprawnień jest naprawdę zagnieżdżony bardzo głęboko do konkretnych pól informacyjnych, do konkretnych uprawnień, tego, co użytkownicy mogą wykonywać.
Nie możemy zapominać też jeszcze o jednym bardzo istotnym elemencie. Tak jak pan wspomniał, jeżeli mówimy o „małych” podmiotach leczniczych, to wdrożenie rozbudowanego systemu informatycznego wiąże się też z określonymi kosztami i tu w tym momencie kłania się biznes jako taki, który powie no dobrze, ja rozumiem bezpieczeństwo, rozumiem prawo, rozumiem informatykę, ale to kosztuje. I ja za to płacę. I to jest ta kwestia tego wyważenia, tak jak pan mówił, mierzmy siły na zamiary i to ma bardzo duże znaczenie.
Jeszcze wracając do tego naruszenia, bo mieliśmy tutaj przykład portugalski, czeski i holenderski, natomiast była jedna taka sytuacja, też takie naruszenie, które przynajmniej tutaj, na tym naszym lokalnym rynku województwa łódzkiego wybrzmiało, to było naruszenie, które dotyczyło bodajże szpitala w Bełchatowie. Nie pamiętam dokładnie już scenariusza tego naruszenia, ale pamiętam, że szpital w Bełchatowie był zobowiązany do poinformowania osób, których dane dotyczą. I zrobił to poprzez po prostu swoją stronę internetową, gdzie opublikował tam komunikat. To było jedno z pierwszych takich naruszeń w 2018 roku, bo ono miało miejsce chyba w kilka miesięcy po maju 2018 r. Natomiast już teraz z tymi komunikatami jesteśmy, że tak powiem, oswojeni, bo co rusz komuś coś wycieka i można być pewnym tego, że nasze dane albo już wyciekły, albo wyciekną. Nie dalej jak wczoraj opublikowana została informacja, że przecież duża sieć sklepów RTV AGD została zaszyfrowana. Jakiś czas temu też mieliśmy informacje, że coś zostało zaszyfrowane, przy okazji spisu powszechnego coś wyciekło z GUSu. Oczywiście źródeł należy upatrywać w wielu miejscach od celowych działań ludzkich, przez działania przypadkowe, w wyniku po prostu błędu ludzkiego. Ale co też w kontekście systemów informatycznych i przywoływania tego przykładu portugalskiego jest istotne – badanie tych systemów informatycznych i tego, co w zasadzie każdy z administratorów może dzisiaj zrobić, bo każdy z tych podmiotów, zaczynając od gabinetu dentystycznego, przez małą klinikę operacji plastycznych, po duże podmioty, czy gabinety fizjoterapeuty. Każdy z tych administratorów jest w stanie zapewnić to bezpieczeństwo. Albo poprzez właściwe określenie parametrów, jakie ma spełniać to oprogramowanie czy przeniesienie odpowiedzialności za bezpieczeństwo tego systemu w ramach np. wykupywania licencji. Bo dzisiaj wiele z takich systemów, szczególnie takich małych, żeby odpowiedzieć na potrzebę takich praktyk małych mikro przedsiębiorców, jest dostarczanych w modelu chmurowej, czyli w takim modelu SaaS-owym, gdzie tak naprawdę ja jako osoba, która załóżmy, prowadzę gabinet fizjoterapeutyczny, ja po prostu muszę mieć komputer i przeglądarkę i nic więcej, niczego u siebie nie instaluję. Loguję się gdzieś tam do chmury i tam mam dane tych swoich pacjentów i za bezpieczeństwo tych danych odpowiedzialność bierze tak naprawdę dostawca tego systemu. Oczywiście w przypadku dużych podmiotów idzie się w kierunku tak zwanych rozwiązań stacjonarnych, kompromisowych.
Jedna rzecz bardzo istotna, to, co pan wspomniał, chciałbym, żeby to wybrzmiało, bo mam wrażenie, że cały czas jest z tym pewien problem. Kwestia bezpieczeństwa danych osobowych, danych medycznych pacjentów dotyczy każdego podmiotu, bez względu na wielkość. Dotyczy również praktyk, szeroko rozumianych praktyk medycznych. Dosyć często spotykam się, trudno powiedzieć z czego to wynika. Być może właśnie z kwestii niewystarczających informacji. Ale nawet te małe praktyki w określonym zakresie, ale muszą mieć wdrożone określone zabezpieczenia w zakresie danych osobowych, a z tym często bywa i to nie jest jedyna dziedzina, jeżeli chodzi o kwestie danych osobowych – małe praktyki często są zaskoczone, że muszą podjąć określony szereg działań w tym zakresie.
I to jest doskonałość i z drugiej strony niedoskonałość tego RODO. Jak już wspomniałem, nie jestem prawnikiem, ale wiem o tym, że to prawo było pisane na wzór prawa obowiązującego w Wielkiej Brytanii. Czyli ta odpowiedzialność jest po stronie administratora. To administrator jest zobowiązany do wykazania, że faktycznie dopełnił tej szczególnej staranności w związku z. W tym akcie prawnym nie znajdziemy już konkretnych rozwiązań. I to z jednej strony jest elastyczność w kierunku małych i właśnie takich mikro działalności, a z drugiej strony te małe i mikro działalności mówią „a nie zatrudnię teraz sztabu prawników po to, żeby oni mi zinterpretowali albo zaprojektowali mi system ochrony danych osobowych rozumiany jako system proceduralny jakichś rozwiązań względem tej zasady rozliczalności, za który zapłacę takie pieniądze – nie wchodząc w ogóle w temat stawek na rynku i tak dalej – a takie pieniądze, gdzie będę musiał na to zarobić przez 3 albo 6 miesięcy, tak żeby to w ogóle ogarnąć tylko po to, żeby mieć papiery i dokumenty”. Tak naprawdę dzisiaj powiedziałbym, że gdzieś straciliśmy po drodze rozsądek i takie zdrowe podejście do tematu bezpieczeństwa informacji ochrony danych osobowych. Dziś produkujemy papiery, bo boimy się kontroli, a nie myślimy o tym, jak to powinno funkcjonować w konkretnym stanie faktycznym.
Co zmieniło RODO?
I to jest kwestia, którą chciałbym na koniec naszej rozmowy poruszyć, bo wiele mówiło się o kwestii różnego podejścia. Wcześniej, pod rządami, że tak powiem, dyrektywy i polskiej ustawy z 1997 roku. W momencie, kiedy rozpoczęliśmy stosowanie RODO bardzo często z ust wielu specjalistów w tej dziedzinie słyszałem określenie, że RODO to jest nowa filozofia w zakresie ochrony danych osobowych, z czym ja się po części jestem w stanie zgodzić. Ale niedawno czytałem, już nie pamiętam gdzie i nie pamiętam tutaj kto się wypowiadał w tym zakresie, ale mignęła mi taka wypowiedź, że z perspektywy czasu te dane osobowe nie są już trendy, one były przez chwilę trendy, były interesujące w tym 2018-19 ewentualnie roku, kiedy pojawiły się te pierwsze kary i tak dalej. Natomiast w tej chwili już podejście jest w wielu sytuacjach takie, że tak jak wcześniej przed RODO, gdzie był też plik dokumentów i nikt jakby realnie, że tak powiem, nie dbał o kwestie tego bezpieczeństwa, tylko sprowadzało się to do tego pliku dokumentów, chociażby ze względu na kontrolę. Czy myśli Pan, że w tej chwili to też tak wygląda? Czy jest jakieś światełko w tunelu? Bo oczywiście pewną zmianę widzę na lepsze, chociażby w podmiotach leczniczych, w świadomości w zakresie w ogóle ochrony danych osobowych, samego pojęcia tego, żeby zwracać uwagę na to zagadnienie, ale czy to rzeczywiście już w tym momencie znowu nam schodzi do poziomu dokumentów i jakiejś takiej checklisty, którą my musimy spełnić?
Odpowiedziałbym tak, że widać na pewno światełko w tunelu i widać wzrost świadomości takiego racjonalnego podejścia do tematu. Czyli jeżeli udaję się na rozmowę z przykładowo administratorem danych, z kierownictwem placówki medycznej, to w trakcie rozmowy coraz częściej widać, obserwując różnego rodzaju tego typu rozmowy, spotkania, widać większą świadomość u tych osób tego, że chcą coś zrobić, poprawić, zapewnić bezpieczeństwo, ale nie przez pryzmat kar i widma kontroli, tylko przez pryzmat najczęściej jakości świadczonych usług, najczęściej budowania odpowiedniego wizerunku marki, rozwoju w jakiejś perspektywie czasu, gdzie ochrona danych osobowych i bezpieczeństwo tych danych osobowych jest integralną częścią prowadzonej działalności. Oczywiście są osoby, dla których jest to piąte koło u wozu i robią pozorne działania po to tylko, żeby mieć dokumenty na wypadek kontroli. Natomiast to światełko w tunelu na pewno jest. Nie wiem, czy dane osobowe już nie są trendy, bo siedzę w danych osobowych, to trudno mi jest powiedzieć, czy one są trendy czy nie.
Ja ubolewam nad tym, też kilka ładnych lat w tym temacie siedzę i ten temat jest mi bliski i ubolewam bardzo, że jednak jeżeli zestawimy z 2018-19…
To zdecydowanie, nawet ostatnio patrzyłem na budżety 2018, 2019, 2020 i teraz robiliśmy plany na 2022 i ewidentnie widać zjazd po 2019 roku już w dół, jeżeli chodzi o zainteresowanie chociażby usługami takimi typowo audytowo-analitycznymi, które służą do zaprojektowania, szkolenia. Pandemia też trochę zbyt zmieniła też rozwój, chociażby te szkolenia przeszły gdzieś tam w online. Nie wiem, czy te dane osobowe nie są trendy i myślę, że teraz znowu będą trendy, bo to tak gdzieś na horyzoncie, wczoraj się pojawia informacja, że już w Trilogu jest projekt rozporządzenia tak zwanego Iprivacy i to jest tzw. RODO 2, o którym coraz częściej będziemy słyszeć i pewnie znowu za 2 czy 3 lata będziemy mieli dane osobowe trendy, bo już dzisiaj jesteśmy zasypywani bardzo dużą ilością zgód, ciasteczek, koniecznością akceptacji. Przebicie się przez witryny niektóre internetowe jest już w ogóle karkołomnym wyzwaniem.
Prace nad tym rozporządzeniem trwają.
Tak myślę, że ono się w końcu zmaterializuje tak jak inne, bo chociażby na tapecie mamy temat sygnalistów.
Sygnalistów, tak, chociaż jeszcze nie jest aż tak trendy ze względu na rozciągnięcie w czasie, to jest na tyle rozciągnięte w czasie w odniesieniu do pewnej grupy jednostek, do pewnej grupy. Poza tym tutaj, no jak wiadomo, jest jeszcze inny problem, ale to też chyba w kontekście RODO pamiętamy doskonale, bo nadal mamy projekt ustawy dotyczącej sygnalistów. Nie mamy przecież ustawy jako takiej, a tak jak ja dobrze pamiętam, to projekt naszej ustawy o danych osobowych był chyba w czerwcu uchwalony 2018. Na pewno już po tym, jak zaczęliśmy stosować RODO.
Tak i później jeszcze była ta duża ustawa wdrażająca. W 2019 roku ta zmiana 170 aktów. To było bardzo ciekawe. Więc wracając jeszcze do początku tej mojej wypowiedzi, mamy pewną grupę administratorów działających na rynku, którzy podchodzą do tego świadomie i też wydaje mi się, że powinniśmy mówić o tym, żeby zmieniać tę świadomość wśród administratorów i mówić o tym, że dane osobowe są integralną częścią każdego biznesu, każdej działalności, również tej działalności leczniczej. Co prawda one tam nie mają takiego chociażby, nie chcę tutaj użyć złego słowa, bo to nie chodzi o znaczenia, ale chodzi o możliwości, jakie możemy mieć w związku z przetwarzaniem tych danych. Mam tutaj na myśli taką sytuację, że na danych medycznych technicznie jesteśmy w stanie wykonywać, jakieś profilowanie, możemy przewidywać jakieś działania. Natomiast one nas generalnie nie doprowadzą do takich perspektyw może jak wykonywanie profilowania np. na danych osobowych klientów robiących zakupy w centrum handlowym. Proszę zwrócić uwagę, że pandemia nam totalnie odwróciła postrzeganie handlu jako takiego. Pracowałem dla przedsiębiorcy w zeszłym roku, który prowadzi sieć sklepów w centrach handlowych i on powiedział, że dane zebrane z bramek pomiarowych osób wchodzących do sklepów i wychodzących są już niczym, nic nie są warte. Z tym nic nie zrobimy, bo nas dwa razy zamknęli. W związku z czym musimy zacząć analizować to co się dzieje online, a do tej pory tego nie robiliśmy. Tak to pandemia zmieniła. W kontekście usług medycznych wykonywałem taką jedną tzw. ocenę skutków dla ochrony danych, czyli taką pogłębioną analizę ryzyka, a w zasadzie nawet dwie, dla usług, które wypłynęły na fali pandemii, czyli jedna usługa dotycząca możliwości nie takiej klasycznej teleporady, czyli raczej takiej analizy pacjenta pod kątem zagrożeń i ryzyk związanych właśnie np. z pracą na home office, załamania nerwowego i pomocy takim osobom. A druga usługa, która likwiduje jakiś długi łańcuszek przechodzenia tego pacjenta, odbijania się od różnych gabinetów, tylko kierowania tego pacjenta w celowanego specjalistę na podstawie zebranego wywiadu od takiego pacjenta i to jest wykonywane w formie zdalnej czy też po prostu z wykorzystaniem jakiegoś mikro serwisu i kierowanie pacjenta już do konkretnego specjalisty na podstawie zebranego wywiadu i ten wywiad jest analizowany przez grupę personelu medycznego z różnego z różnego zakresu. I to są nowe usługi, których przed marcem 2020 roku ich nie było i nikt o nich nie myślał. Natomiast tutaj osoby, które prowadziły te projekty, zwracały się do mnie z prośbą o to, żeby ocenić ryzyko, ocenić bezpieczeństwo przetwarzanych danych, no bo te dane i proces przetwarzania tych danych jest integralną częścią tej usługi. Czyli nie patrzymy już na to z perspektywy zgodności tylko z papierami, bo to by tylko oprzeć się o regulamin i treść obowiązku informacyjnego i to wszystko. I ten przedsiębiorca mógłby pójść na rynek albo znaleźć sobie w internecie i kupić za 50 zł paczkę takich gotowych dokumentów. Tak, ale on chciał zweryfikować, czy ten cały proces jest zgodny, bezpieczny, jakie on ma ryzyka z tym związane, bo podchodził do tego świadomie. Więc patrząc chociażby na takie dwie sytuacje, to takie dwa projekty, które miałem okazję obsługiwać czy też konsultować to widzę, że to światełko w tunelu jest.
Mnie to bardzo cieszy. Ta świadomość się zwiększa i miejmy nadzieję, że tylko będzie się zwiększać. Myślę, że to jest bardzo dobra puenta naszego odcinka. Będzie to z pewnością najdłuższy jak do tej pory odcinek w naszym podcaście, ale naprawdę świetnie się Pana słuchało. Mam nadzieję, że będziemy mogli spotkać się jeszcze raz i porozmawiać, bo kilka tematów pozostało nam, których żeśmy nie poruszyli. A jest rzeczywiście ich dosyć sporo. Bardzo dziękuję Panu za wizytę.
Też bardzo dziękuję i przepraszam, jeżeli przyciągnąłem dzisiaj rozmowę. W zasadzie prowadziłem szkolenie 6 godzin i teraz rozmawiamy kolejne dwie godziny.
Czyli generalnie to jest trochę kontynuacja.
Tak trochę mi głos ucieka, ale faktycznie jest tak, że ja mógłbym o tym mówić.
Jest jeden problem, pan mógłby mówić, ja mógłbym słuchać, bo spotkały się dwie osoby, które są, nie zawaham się użyć tego słowa, w jakiś sposób chyba zafascynowane tym zagadnieniem bezpieczeństwa i danych. I nie będzie to nadużycie, jeżeli użyję tego słowa.
Nie będzie to nadużyciem, bo to w ogóle jest temat fascynujący. Zresztą też patrząc właśnie na to, jak się środowisko prawne profiluje, to dzisiaj te kierunki jak właśnie AML, compliance, sygnaliści i dane osobowe, prywatność, nowe technologie, to są takie kierunki, które przynajmniej według mojej wiedzy, tak jak ja studiowałem podyplomowe jeszcze w 2013 czy 14 roku na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego, to takich kierunków w ogóle nie było. Prawo ochrony danych osobowych to była podyplomówk jedna z pierwszych w Polsce. Dzisiaj na każdej uczelni już mamy nawet studia. Na Wydziale Prawa i Administracji UŁ chyba mamy studia pełnoprawne, nie tylko podyplomowe z zakresu ochrony danych osobowych.
To powiem szczerze, że tutaj wiedzy nie mam, ale to to brzmi ciekawie. Znaczy na pewno jest to niewątpliwie temat fascynujący. Mam nadzieję, że słuchacze w jakimś stopniu podzielą naszą fascynację, ale temat niezwykle ważny, do którego na pewno warto wracać i warto przypominać w kontekście tej świadomości. Jeszcze raz bardzo dziękuję Panie Piotrze za wizytę dzisiaj.
Ja również bardzo dziękuję.
Dziękujemy słuchaczom i do usłyszenia w następnym odcinku.