Zmienione reguły gry dotyczą także branży medycznej. Od dawna na tym rynku wykorzystuje się mechanizmy przetwarzania i transferu danych, w tym danych najbardziej wrażliwych, czyli dotyczących stanu zdrowia klientów (pacjentów). Postęp technologiczny sprawia, że zagadnienie to stało się kluczowe dla wielu różnych dostawców, od firm oferujących kompleksowe rozwiązania telemedyczne, wykonawców futurologicznych projektów związanych z modyfikacją ludzkiego genomu, poprzez przedsiębiorstwa produkujące połączone i współpracujące ze sobą sprzęty medyczne,aż do małych start-upów opracowujących aplikacje mobilne z dziedziny e-Health.

Harmonizacja standardów ochrony danych osobowych w całej Unii Europejskiej stanowi niewątpliwe ułatwienie dla prowadzenia biznesu. Z drugiej strony wiele nowych reguł wymaga intensywnego przystosowania przedsiębiorstw i produktów. Niniejszy artykuł przybliża zagadnienia związane z RODO dla branży medycznej. Skupia się na kwestiach istotnych dla rynku, w tym przede wszystkim tych dotyczących szczególnych kategorii danych. Pomija natomiast ogólniejsze tematy, takie jak np. zmiany w zakresie przetwarzania danych pracowników, które nie są specyficzne dla branży medycznej.

Nowe definicje

RODO definiuje niektóre szczególne kategorie danych osobowych zasługujące na większą ochronę. W porównaniu z poprzednio obowiązującą dyrektywą² definicje dotyczące tzw. danych medycznych są bardziej szczegółowe. Wyodrębniono również zupełnie nowe kategorie danych wrażliwych, takie jak dane genetyczne i biometryczne.

Rozporządzenie szczegółowo definiuje kategorię danych osobowych dotyczących zdrowia. Artykuł 4 ust. 15 wyjaśnia, że są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. W świetle podanego zapisu omawiane dane to już np. sama informacja o tym, że osoba leczy się u konkretnego lekarza.

Rozwinięcie tego terminu zawiera motyw 35; zgodnie z nim są to wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia tej osoby. Dalej następuje wyjaśnienie, że do danych takich należą:

• informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej;
• numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;
• informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz
• wszelkie informacje, np. o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

W stosunku do obecnie obowiązujących uregulowań art. 21 ust. 1 polskiej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.³ definicja unijna nie zawiera wskazania informacji o nałogach jako danych podlegających szczególnej ochronie. Informacja taka może jednak zostać uznana za daną dotyczącą zdrowia, jeśli będzie występowała np. w połączeniu z informacją o przebytym leczeniu uzależnienia lub z czynnikami mającymi wpływ na stan zdrowia (np. ograniczenia w przyjmowaniu niektórych produktów leczniczych).

RODO wprowadza kategorię danych genetycznych – zgodnie z definicją zawartą w art. 4 ust. 13 i rozwiniętą w motywie 34 są to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) albo z analizy innych elementów umożliwiających pozyskanie równoważnych danych, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby

Artykuł 4 ust. 14 RODO zawiera definicję danych biometrycznych, wskazując, że są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne⁴. Na gruncie dotychczas obowiązujących przepisów dane te nie zaliczały się do kategorii danych wrażliwych, rozporządzenie wprowadza więc istotną zmianę w tym zakresie.

Poziom ryzyka przetwarzania danych szczególnie chronionych jest ponadstandardowy. Rodzi to szereg konsekwencji m.in. w zakresie samej dopuszczalności przetwarzania takich danych, prawnie uzasadnionych celów, powierzania przetwarzania i przekazu danych za granicę, o czym traktuje dalsza część artykułu.

Dopuszczalność przetwarzania szczególnych kategorii danych

Odmiennie niż dla danych „zwykłych”, w przypadku szczególnych kategorii danych, w tym dotyczących zdrowia, unijny prawodawca w art. 9 wprowadza generalny zakaz ich przetwarzania, chyba że zostaną spełnione określone warunki. W związku z taką konstrukcją prawną to administrator danych osobowych (dalej: „ADO” lub „administrator”, czyli np. szpital lub przedsiębiorca oferujący rozwiązanie z dziedziny telemedycyny), musi udowodnić, że spełnia przesłanki przewidziane w rozporządzeniu.

RODO wymienia 10 warunków pozwalających na przetwarzanie danych szczególnych; wystarczy spełnić tylko jeden z nich, aby móc zgodnie z prawem przetwarzać tę kategorię danych. Najczęściej wykorzystywane przesłanki na rynku medycznym to:

• wyrażenie wyraźnej zgody na przetwarzanie danych przez osobę, której dane dotyczą;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego⁵;
• przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
• przetwarzanie jest niezbędne do celów badań naukowych.

Wymagania dotyczące zgody oraz klauzuli informacyjnej zmieniły się w rozporządzeniu w istotny sposób w stosunku do obecnego stanu prawnego. Możliwe więc, że zmianie będzie musiał ulec zarówno ich tekst, jak i sposób odbierania zgody. Według motywu 32 RODO zgoda „powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą”. Oświadczenie o wyrażeniu zgody powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem.

Wymóg, aby wyrażenie zgody odbyło się w postaci jednoznacznej, potwierdzającej czynności (ang. clear affirmative action),oznacza, że np. nie będzie można stosować uprzednio domyślnie odznaczonych pól zgody w formularzu internetowym lub przyjąć milczenia za dorozumianą zgodę. Nieważny zatem będzie komunikat przekazujący informację w stylu: „w przypadku braku sprzeciwu uznajemy, że wyraził/a Pan/Pani zgodę…”. W niektórych wypadkach poprzednio zebrane zgody nie będą miały zastosowania i trzeba będzie ponownie zwrócić się o ich wyrażenie. Dalej RODO precyzuje, że zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli natomiast przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele osobno. Wyrażenie zgody musi odbyć się w sposób świadomy – RODO precyzuje, że minimalny standard wiedzy osoby, której dane dotyczą, to co najmniej znajomość tożsamości administratora oraz zamierzonych celów przetwarzania danych.

Zgodnie z zasadą privacy by design, która zostanie szczegółowo omówioną w drugiej części artykułu, już na początkowym etapie projektowania produktu należy rozważyć, na jakiej przesłance zostanie oparty proces przetwarzania danych – np. jeśli będzie to zgoda, w wielu przypadkach wymagane będzie „wbudowanie” jej w narzędzie, np. w aplikację mobilną lub proces pierwszego uruchomienia osobistego urządzenia do zdalnej diagnostyki. To „wbudowanie” musi spełniać dalsze warunki – zgodnie z motywem 32 RODO, jeśli zgoda ma być odebrana w sposób elektroniczny, musi być przedstawiona w sposób jasny, zwięzły i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Tymczasem sama przesłanka zgody rodzi spore wątpliwości – niejednokrotnie jest ona nadużywana. Praktyczne kontrowersje wzbudzi zapewne zapis art. 7 ust. 4 RODO stanowiący, iż zgoda musi być dobrowolna. Pojęcie to precyzuje motyw 43 RODO, który wskazuje, że „aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem (…)”. Natomiast zgodnie z motywem 42 RODO wyrażenia zgody nie można uznać za dobrowolne, jeżeli dana osoba nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych dla niej konsekwencji. Łatwo można wyobrazić sobie sytuację, w której dany szpital zakupił od dostawcy rozwiązań mobilnych abonament na usługę wspierającą daną terapię, np. przypominającą o zażywaniu leku o określonej porze. Lekarz zaleca pacjentowi skorzystanie z takiej aplikacji. Czy zgoda pacjenta udzielona w takich warunkach będzie w pełni dobrowolna? Wydaje się, że nierównowaga jest oczywista. W ocenie autorki w takiej sytuacji przetwarzanie danych powinno zostać oparte na innej przesłance niż zgoda, tj. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą. Jednakże dopiero praktyka pokaże, jak podobne sytuacje będą oceniane przez organy ochrony danych.

Na koniec należy zaznaczyć, że zgodnie z art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, biometrycznych lub danych dotyczących zdrowia.

Cele przetwarzania danych osobowych dotyczących zdrowia

Jedną z bezwzględnie wymaganych informacji, jakie musi podać administrator osobie, której dane dotyczą, jest lista celów przetwarzania danych osobowych. Warto pamiętać, że zgodnie z motywem 39 oraz art. 5 ust. 1 konkretne cele powinny być wyraźne, prawnie uzasadnione i określone w momencie ich zbierania. Jednocześnie dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Zasady te można sprowadzić do dwóch uwag. Tam, gdzie to jest tylko możliwe, należy stosować anonimizację. Na rynku medycznym jest to często trudne ‒ dane powinny być w łatwy sposób powiązane z konkretnym, możliwym do zidentyfikowania pacjentem, aby zminimalizować ryzyko pomyłki. Interes związany z ochroną życia i zdrowia przeważa nad interesem ochrony danych.

Administratorzy muszą więc określać cele przetwarzania, ograniczając zakres niezbędnych informacji. Dla danych wrażliwych warto posiadać np. uzasadnienie kliniczne dla przetwarzania pewnego zestawu danych służących do osiągnięcia deklarowanego celu przetwarzania. Dobrze, aby administratorzy i przetwarzający dane pamiętali o tym już na najwcześniejszych etapach prac badawczo-rozwojowych.

Należy pamiętać, że zgodnie z motywem 53 RODO szczególne kategorie danych osobowych mogą być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa. Unijny prawodawca doprecyzowuje, że cele takie mogą być spełniane w szczególności (lecz nie wyłącznie) w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego⁶.

Rozporządzenie zawiera także wskazówki dotyczące sytuacji, w której ADO chce zmienić cele przetwarzania (motyw 50, art. 5 ust. 1 pp. b) oraz art. 6 ust. 4).

Powierzenie i przekazywanie danych osobowych dotyczących zdrowia

Bardzo ważnym założeniem RODO jest to, że podmioty, którym powierzono przetwarzanie danych, w trakcie świadczenia usług ponoszą bezpośrednią odpowiedzialność, włączając w to ryzyko otrzymania kary finansowej w przypadku naruszenia określonych przepisów rozporządzenia. Dotychczas podmiotami stojącymi na pierwszej linii frontu byli administratorzy, czyli na omawianym rynku najczęściej placówki medyczne. To na nich spoczywał główny ciężar zapewnienia, że przetwarzanie danych odbywa się zgodnie z prawem. Rozporządzenie bezpośrednio dotyka wszystkie podmioty, które przetwarzają dane dla ADO, czyli także np. producentów sprzętu medycznego mających dostęp do danych przetwarzanych w ich systemach czy firmy hostingowe lub dostarczające rozwiązania w chmurze.

Transgraniczne przekazywanie danych osobowych poza Unię Europejską może dodatkowo podnosić ryzyko, że osoby fizyczne nie będą mogły w pełni egzekwować swoich praw, w szczególności w celu ochrony przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. W związku z tym RODO w rozdziale V szczegółowo reguluje warunki, których spełnienie musi zagwarantować ADO, aby móc przesyłać dane poza kraje Europejskiego Obszaru Gospodarczego do tzw. państw trzecich lub organizacji międzynarodowych.

Zgodnie z ogólnymi zasadami dane osobowe można przekazywać bez specjalnych zezwoleń, jeśli Komisja Europejska podjęła decyzję, że dane państwo trzecie, terytorium lub określony sektor albo określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.

RODO przewiduje następujące sytuacje, w których będzie można przekazać dane osobowe do tzw. państw trzecich lub organizacji międzynarodowych także w innych przypadkach. Warunkiem przekazania będzie obowiązek zapewnienia przez ADO lub podmiot przetwarzający dane odpowiedniego zabezpieczenia oraz że we wspomnianych państwach trzecich, sektorach lub organizacjach międzynarodowych obowiązują egzekwowalne prawa osób, których dane dotyczą, a także skuteczne środki ochrony prawnej w zakresie ochrony danych. Chodzi o:

• istnienie prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
• wdrożenie wiążących reguł korporacyjnych (ang. Binding Corporate Rules, BCR);
• korzystanie ze standardowych klauzul ochrony danych przyjętych przez Komisję (tzw. klauzul modelowych lub ang. model contractual clauses, MCC) lub przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję;
• przyjęcie zatwierdzonego kodeksu postępowania lub certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
• za zezwoleniem właściwego organu nadzorczego – korzystanie z klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej lub postanowień oraz uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

RODO nie zmienia więc generalnie reguł dotyczących przekazywania danych wrażliwych do państw trzecich. Podstawowe mechanizmy pozostają takie same. Przedsiębiorstwa będą musiały natomiast przeprowadzić audyt transferów danych, aby upewnić się, czy w każdym przypadku dysponują odpowiednią podstawą prawną. Istotne będzie m.in. przeprowadzenie audytu umów o powierzenie przetwarzania danych osobowych podmiotów, których siedziby znajdują się w państwach trzecich. Obecnie powszechnym jest, że lokalne spółki należące do transnarodowych przedsiębiorstw często nie mają wiedzy o tym, gdzie i na jakiej podstawie dane są przesyłane w ramach korporacji oraz do firm zewnętrznych, takich jak dostawcy CRM, rozwiązań opartych na chmurze czy holderów baz danych. W konsekwencji administratorzy, którymi zwykle są placówki medyczne, również nie mają takiej wiedzy. Zgodnie z zapisami RODO tzw. dalsze powierzenie przetwarzania danych osobowych będzie musiało odbywać się za wiedzą ADO. Audyt powinien także objąć klauzule dotyczące odszkodowania i ograniczenia odpowiedzialności w umowach o powierzenie przetwarzania danych.

Warto wspomnieć, że zgodnie z motywem 48 RODO, niezależnie od istnienia innych ogólnych zasad dotyczących przekazywania danych do państwa trzeciego, administratorzy, którzy są częścią grupy przedsiębiorstw, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach swojej grupy do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów. Przepis stanowi ułatwienie dla branży, w której częste jest korzystanie przez spółki należące do jednej grupy np. z jednej bazy danych lub dostawcy usług z siedzibą w państwie trzecim (najczęściej USA).

Niedostosowanie się do zakazu przesyłania danych bez spełnienia określonych w RODO warunków będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych – w wysokości do 20 mln euro, a w przypadku przedsiębiorstw – do 4% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego. Zastosowanie będzie miała kwota wyższa.

Ocena skutków planowanych operacji przetwarzania

Artykuł 35 w związku z art. 24 ust. 1 rozporządzenia nakazuje administratorowi dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang. Data Privacy Impact Assessment, dalej: „DPIA”), jeśli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych⁷. Ocena skutków przetwarzania w zakresie danych osobowych powinna opisywać proces przetwarzania danych, oceniać konieczności i proporcjonalność przetwarzania i służyć zarządzaniu ryzykami związanymi z prawami osób, których dane dotyczą. RODO wskazuje trzy kategorie przypadków, kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka”. Są to m.in.: systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, a także przetwarzanie na dużą skalę szczególnych kategorii danych osobowych.

Tak zwana Grupa Robocza Artykułu 29, czyli organ doradczy działający przy Komisji Europejskiej, w skład którego wchodzą przedstawiciele krajowych organów ochrony danych osobowych, przygotowała uszczegóławiające wytyczne⁸ zakresie przeprowadzania DPIA. Wskazała ona m.in. następujące przykłady działań, które wypełniają przesłanki określone w art. 35 RODO:

• systematyczny monitoring,
• przetwarzanie szczególnych kategorii danych osobowych,
• dane przetwarzane na dużą skalę,
• zestawy danych, które zostały połączone lub dopasowane,
• wykorzystanie innowacyjnych rozwiązań technologicznych lub organizacyjnych,
• przekazanie danych do państw trzecich.

Im więcej powyższych kryteriów zostanie spełnionych, tym większe jest prawdopodobieństwo, że przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw lub wolności podmiotu danych. W praktyce wydaje się, że przedsiębiorstwa działające na rynku medycznym będą standardowo musiały przeprowadzić DPIA – a na pewno będzie to dla nich wyjście najbezpieczniejsze.

Brak przeprowadzenia lub niewłaściwe przeprowadzenie wymaganego DPIA lub nieprzeprowadzenie wymaganych konsultacji z organem nadzorczym zagrożone jest wysoką karą pieniężną w wysokości do 10 mln euro, a w przypadku przedsiębiorstw w wysokości do 2% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Podsumowanie

Wydaje się, że dotychczas kwestie związane z ochroną prywatności nie zajmowały szczególnie uwagi podmiotów działających na rynku medycznym, który i tak jest dostatecznie silnie regulowany. Często w umowach dostawy lub o świadczenie usług nie zawierano nawet podstawowych klauzul powierzenia przetwarzania danych osobowych. RODO zapewne zmieni tę sytuację, chociażby poprzez ujednolicenie standardów w całej Unii Europejskiej oraz przewidywane wysokie sankcje finansowe.

O praktycznych wymogach dotyczących produktów medycznych wykorzystujących przetwarzanie danych traktuje druga część artykułu. Zostaną tam poruszone takie tematy, jak przystosowanie produktów do RODO, do zasad privacy by design i privacy by default (m.in. z uwagi na wymagane cechy wynikające z praw osoby, której dane dotyczą), kwestie anonimizacji i pseudonimizacji oraz profilowania w medycynie, a także regulacje dotyczące badań naukowych.

dr Karolina Libront

Traple Konarski Podrecki i Wspólnicy

Artykuł pochodzi z Biuletynu Euro Info 4 (175) 2017.

Przeczytaj drugą część artykułu o RODO na rynku medycznym