Druga część dotyczy wyzwań związanych z przystosowaniem produktów i usług do RODO. W artykule zostaną szczegółowo omówione zasady privacy by design oraz privacy by default, sposoby zapewnienia realizacji uprawnień osoby, której dane dotyczą, a także mechanizmy anonimizacji i pseudonimizacji.

Privacy by default oraz privacy by design

Ustawodawca unijny poprzez wprowadzenie RODO chciał zapewnić, aby zasada prywatności i ochrony danych stała się elementem składowym produktów i usług od samego początku ich istnienia. Dotychczas często zdarzało się, że strategia prywatności była opracowywana w końcowej fazie projektowania produktu, co powodowało szereg praktycznych problemów związanych z implementacją odpowiednich standardów ochrony danych osobowych.

RODO wprowadza fundamentalną zmianę w tym zakresie. Administrator danych osobowych (dalej także: „ADO” lub „administrator”), czyli np. przedsiębiorca, będzie musiał uwzględnić reguły tzw. projektowanej prywatności, privacy by design (art. 25 ust. 1) oraz domyślnej prywatności, privacy by default(art. 25 ust. 2) na każdym etapie projektowania swoich produktów. Zasady wymuszające ochronę danych powinny być wbudowane w każdy projekt. Chodzi o to, aby nie tworzyć strategii ochrony prywatności już po powstaniu danego produktu, ale aby produkt od początku dopasować do istniejących wymogów w omawianym zakresie. Twórcy, np. dostawcy oprogramowania lub podmioty świadczące usługi w chmurze, podczas opracowywania produktów, usług i aplikacji, które umożliwiają przetwarzanie danych osobowych, powinni wziąć pod uwagę prawo do prywatności. Zgodnie z należytym uwzględnieniem stanu wiedzy technicznej twórcy powinni zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Zasada privacy by design nakłada na administratora danych osobowych obowiązek zapewnienia, aby zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania skutecznie realizować zasady ochrony danych oraz chronić prawa osób, których dane dotyczą. Przykładowo, zgodnie z motywem 78 RODO, należy szeroko stosować technikę pseudonimizacji, wbudować niezbędne zabezpieczenia, takie jak szyfrowanie o odpowiednim standardzie, zapewnić transparentność funkcji i przetwarzania danych osobowych, umożliwić danej osobie monitorowanie przetwarzania jej danych, a także umożliwić ADO tworzenie i doskonalenie zabezpieczeń. Administratorzy powinni mieć zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, a także możliwość jak najszybszego przywrócenia dostępu do danych w razie incydentu.

Opisane wyżej obowiązki nie są absolutne – w art. 25 ust. 1 rozporządzenia zastrzeżono, że wdrażanie privacy by design należy oprzeć na stanie wiedzy technicznej, koszcie wdrażania oraz charakterze, zakresie, kontekście i celach przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

W przypadku zasady privacy by default chodzi o to, aby administrator poprzez odpowiednie środki techniczne i organizacyjne zapewnił, by domyślnie były przetwarzane tylko te dane osobowe, które są niezbędne do osiągnięcia każdego konkretnego celu przetwarzania. Przykładowo systemy przetwarzające powinny domyślnie wymagać minimalnej ilości danych użytkownika potrzebnych do świadczenia określonej usługi. Zastosowane środki techniczne i organizacyjne powinny zapewniać, aby domyślnie dane nie były udostępniane nieokreślonej liczbie osób fizycznych. Privacy by default odnosi się również do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu przechowywania oraz dostępności.

Zgodnie z motywem 78 zasady uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy brać pod uwagę także w przetargach publicznych.

W odniesieniu do danych dotyczących zdrowia należy wskazać, że wiele innych aktów prawnych zawiera obowiązki i wytyczne w wymienionych wyżej zakresach wynikających z zasad privacy by design i privacy by default. Przykładowo ustawa o systemie informacji w ochronie zdrowia z 28 kwietnia 2011 r. z późn. zm. (Dz.U. z 2017 r. poz. 1845) dotyczy przetwarzania informacji niezbędnych do prowadzenia polityki zdrowotnej państwa, podnoszenia jakości i dostępności świadczeń opieki zdrowotnej oraz finansowania zadań z zakresu ochrony zdrowia. Reguluje ściśle takie instytucje prawne, jak np. elektroniczna dokumentacja medyczna, jednostkowe dane medyczne czy rejestr medyczny. Z kolei ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 r. z późn. zm. (Dz.U. z 2017 r. poz. 1318) w art. 29 określa okresy przechowywania dokumentacji medycznej, wprowadzając jako regułę okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, oraz pewne wyjątki zarówno skracające, jak i wydłużające ten okres.

Warto pamiętać, że opisywane zasady mają charakter klauzul generalnych, zatem dopiero w praktyce ukształtuje się sposób ich rozumienia. RODO nie podaje na przykład konkretnych rozwiązań technicznych czy standardów, które muszą zostać zaimplementowane – postęp na polu cyberbezpieczeństwa szybko uczyniłby taki akt bezużytecznym. Projektanci rozwiązań bazujących na przetwarzaniu danych osobowych muszą sami wykazać, że zastosowane przez nich metody są adekwatne.

Z pomocą przychodzą natomiast wytyczne Grupy Roboczej Artykułu 29, a także publikacje poszczególnych krajowych organów ochrony danych. Przykładowo szczegółowe wytyczne w zakresie bezpieczeństwa danych, w tym kompilację rekomendacji w zakresie szyfrowania, opublikował francuski organ ochrony danych, CNIL (Commission nationale de l'informatique et des libertés)². CNIL opracował także np. wytyczne w zakresie prywatności i bezpieczeństwa danych przetwarzanych za pomocą rozwiązań opartych na chmurze³. Podobne rekomendacje publikuje również brytyjski organ ochrony danych ICO (Information Commissioner’s Office) – np. konkretnie w zakresie szyfrowania danych⁴. Organ przedstawia wytyczne dotyczące szyfrowania w odniesieniu do przechowywania i transferu danych, a także opisuje różne scenariusze, np. zabezpieczenie transferu danych osobowych na CD, DVD, USB czy email, użycie podpisu elektronicznego czy tworzenie kopii zapasowych.

Zastosowanie zasad privacy by default i privacy by design można wykazać poprzez implementację zatwierdzonego mechanizmu certyfikacji. Ten instrument został opisany w art. 42 RODO. Mechanizmy oraz znaki jakości i oznaczenia w dziedzinie ochrony danych to wiążące i egzekwowalne zobowiązania ADO i podmiotów przetwarzających dane do stosowania odpowiednich zabezpieczeń. Zobowiązania te mogą być podejmowane w drodze umowy lub poprzez inne prawnie wiążące instrumenty. Certyfikacja jest dobrowolna; będzie udzielana przez podmiot certyfikujący dysponujący odpowiednim poziomem fachowej wiedzy i akredytowany przez poszczególne państwa członkowskie⁵.

Uprawnienia osób, których dane dotyczą

Privacy by design oraz privacy by default dotyczą konieczności wbudowania w produkty bazujące na przetwarzaniu danych rozwiązań umożliwiących realizowanie licznych praw osoby, której dane dotyczą – zgodnie z motywem 78 obligującym do tego twórców takich produktów, usług i aplikacji. RODO znacząco rozszerza uprawnienia tzw. podmiotów danych, a także wprowadza zupełnie nowe prawa, nieznane pod rządami poprzedniej regulacji. Największe zmiany dotyczą wprowadzenia tzw. prawa do bycia zapomnianym, uprawnienia do żądania otrzymania lub przeniesienia danych oraz wzmocnienia prawa dostępu i wglądu w swoje dane osobowe.

Prawo do usunięcia danych, szeroko znane jako tzw. prawo do bycia zapomnianym, zostało opisane w art. 17 RODO. Ustanawia on uprawnienie dla osoby fizycznej żądania od administratora niezwłocznego usunięcia jej danych osobowych, a na ADO nakłada obowiązek usunięcia tych danych bez zbędnej zwłoki, jeśli zostaną spełnione określone rozporządzeniem warunki. Okoliczności uzasadniających takie żądanie jest sześć. Chodzi m.in. o sytuacje, kiedy:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;
• osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy lub spełnione są przesłanki opisane w art. 21 ust. 2 RODO;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

W kontekście danych dotyczących zdrowia ważne jest to, że w określonych sytuacjach, np. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, prawo do „bycia zapomnianym” może zostać wyłączone (art. 17 ust. 3 pkt. c). Wyłączenie będzie na pewno dotyczyło danych znajdujących się w rejestrach medycznych i elektronicznej dokumentacji medycznej, ponieważ zasady nimi rządzące reguluje oddzielny akt prawny – wspomniana wyżej polska ustawa o systemie informacji w ochronie zdrowia. Dodatkowo ADO, który nie chce usunąć danych mimo żądania osoby, której dane dotyczą, może powołać się na przesłankę określoną w art. 17 ust. 3 pkt. d), który dotyczy przetwarzania niezbędnego do celów badań naukowych, o ile prawdopodobne jest, że żądanie usunięcia danych uniemożliwi lub poważnie utrudni realizację celu takiego przetwarzania. Przepis będzie miał zastosowanie np. w badaniach klinicznych leków.

Uprawnienie do otrzymania lub przeniesienia danych zostało opisane w art. 20 RODO i powinno zainteresować szczególnie branżę eHealth. Polega na prawie do otrzymania własnych danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłania danych innemu administratorowi. Dotyczy to jednak wyłącznie danych osobowych, które podmiot samodzielnie dostarczył ADO, oraz jeśli przetwarzanie odbywa się na podstawie zgody bądź w celu realizacji umowy lub przetwarzanie odbywa się w sposób zautomatyzowany. Jeśli jest to technicznie możliwe, można żądać przesłania swoich danych bezpośrednio do innego ADO. W kontekście danych dotyczących zdrowia należy uwzględniać odrębne akty prawne dotyczące np. tajemnicy lekarskiej (uregulowane w art. 40 ustawy o zawodach lekarza i lekarza dentysty z 5 grudnia 1996 r., Dz.U. z 2011 r. Nr 277, poz. 1634) oraz poprawne zweryfikowanie odbiorcy, aby wrażliwe informacje nie dostały się w niepowołane ręce.

W praktyce oznacza to, że jeżeli następuje np. kontynuacja leczenia w innej placówce, to musi istnieć możliwość przeniesienia kompletu danych osobowych pacjenta – w tym informacji szczegółowych, np. danych z elektrostymulatora serca – do nowej placówki, systemu lub produktu. Na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. z 2016 r. poz. 922) te kwestie regulowały przepisy dotyczące udostępnienia danych, względnie pacjent mógł samodzielnie, „manualnie” odebrać dane (np. historię choroby) i przekazać dokumentację innemu podmiotowi. Obecnie podmiot, którego dane dotyczą, będzie miał ułatwione zadanie – ADO jest zobligowany, aby zapewnić możliwość przeniesienia danych poprzez udostępnienie ich w ustrukturyzowanym, kompatybilnym formacie. Jeżeli określony zestaw danych zawiera informacje o więcej niż jednym podmiocie danych, prawo do przeniesienia i otrzymania danych nie powinno powodować uszczerbku dla praw i wolności innych osób, których dane dotyczą.

Obowiązki opisane w art. 20 RODO wymuszają na ADO oraz dostawcach produktów i usług opracowywanie interoperacyjnych formatów, które umożliwiają przenoszenie danych w tych przypadkach, gdy jest to technicznie możliwe. Z drugiej strony, zgodnie z motywem 68, ustawodawca unijny twierdzi, że uprawnienie do przeniesienia danych nie powinno nakładać na ADO obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania. Nie oznacza to jednak, że dostawca produktów czy usług może z premedytacją tworzyć system, który nie jest interoperacyjny, aby np. wykluczać konkurencję poprzez brak możliwości otrzymania i przeniesienia danych osobowych. W ramach wyjątku motyw 68 stanowi, że omawianego uprawnienia z uwagi na jego charakter nie powinno się wykonywać w stosunku do ADO przetwarzających dane osobowe w ramach wykonywania obowiązków publicznych.

Wzmocnienie prawa dostępu i wglądu do danych zostały opisane w całej Sekcji 2 rozporządzenia. Zawiera ona szczegółowe wytyczne co do zakresu informacji podawanych w przypadku zbierania danych od osoby, której dane dotyczą, jak i innych przypadków pozyskania danych (art. 12 i 13). Opisuje również szeroko prawo dostępu przysługujące osobie, której dane dotyczą (art. 15).

Na koniec należy zaznaczyć, że zgodnie z motywem 59 ADO powinien przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie jej praw. W szczególności należy przygotować mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania, np. pod postacią bezpłatnej infolinii – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Powinna istnieć także możliwość wnoszenia opisywanych żądań drogą elektroniczną; szczególnie wtedy, kiedy dane są przetwarzane w sposób elektroniczny. ADO powinien być w stanie udzielić odpowiedzi na żądania bez zbędnej zwłoki, a najpóźniej w terminie miesiąca; natomiast jeżeli nie zamierza spełnić żądania – podać tego przyczyny.

Pseudonimizacja i anonimizacja

Kilkanaście miesięcy temu hakerzy posługujący się robakiem Wannacry, czyli oprogramowaniem typu ransomware, zablokowali tysiące komputerów na całym świecie. Dotknęło to nie tylko prywatnych użytkowników, ale również szpitale. Awarii uległy wtedy m.in. komputery działające w placówkach NHS (National Health Service), czyli w brytyjskiej publicznej służbie zdrowia. Zainfekowane jednostki nie mogły wykonywać procedur medycznych, np. operacji, gdyż większość sprzętów medycznych, które są dzisiaj używane w służbie zdrowia, jest już podłączona do sieci. Sytuacja uświadomiła światowej opinii publicznej, jak bardzo są narażone na naruszenie najbardziej wrażliwe dane.

RODO stawia sobie za zadanie zminimalizowanie ryzyka wystąpienia podobnych zdarzeń poprzez podwyższenie wymogów dotyczących bezpieczeństwa danych. Od podmiotów przetwarzających dane wymaga się zastosowania odpowiednich środków technicznych z dziedziny cyberbezpieczeństwa, w tym m.in. szyfrowania czy pseudonimizacji – narzędzia, które w prawie UE dotyczącym danych osobowych opisano po raz pierwszy.

Pseudonimizacja jest to taka operacja na danych, która ma na celu uniemożliwienie identyfikacji konkretnej osoby fizycznej bez użycia dodatkowych informacji, poprzez zastąpienie jednych atrybutów identyfikujących innymi atrybutami. Przykładem takiej operacji jest zamiana w systemie imienia i nazwiska osoby na numer identyfikacyjny. Z samej swojej natury jest to proces odwracalny – reidentyfikacja osoby, której dane dotyczą, jest możliwa, jednak dopiero dzięki użyciu np. osobno przechowywanego klucza. Legalną definicję zawiera art. 4 pp. 5) RODO. Pseudonimizacja pojawia się jako pożądane narzędzie zabezpieczenia danych w wielu miejscach rozporządzenia. RODO wprowadza ją w zasadzie jako regułę przy przetwarzaniu danych; zdaniem unijnego prawodawcy tę metodę powinno stosować się jak najszerzej, aby wypełnić zasady privacy by default i privacy by design. Warto jednak pamiętać, że spseudonimizowane informacje wciąż są danymi osobowymi i jako takie podlegają wszystkim innym wymogom rozporządzenia.

Zgodnie z motywem 26 RODO, aby potwierdzić prawidłowość procesu pseudonimizacji, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w tym wyodrębnienie wpisów dotyczących tej samej osoby fizycznej, w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez ADO lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania danego podmiotu danych. Co więcej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas, potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Anonimizacja, w odróżnieniu od opisanego wyżej mechanizmu, jest procesem trwałym i nieodwracalnym, w wyniku którego nie można dłużej przypisać informacji określonej lub możliwej do zidentyfikowania osobie fizycznej za pomocą wszystkich możliwych środków, jakimi dysponuje ADO lub osoba trzecia. Dane zanonimizowane w sposób poprawny nie są już dłużej danymi osobowymi.

W praktyce w branży medycznej zarówno anonimizacja, jak i pseudonimizacja muszą być stosowane z dużą ostrożnością. Interes ochrony zdrowia i życia pacjentów jest nadrzędny, więc narzędzia te nie mogą prowadzić do żadnych pomyłek. W sytuacji stresującej, która wymaga od personelu szybkiej reakcji, łatwa dostępność do informacji bezpośrednio i w sposób niedający wątpliwości identyfikującej pacjenta może przeważać nad koniecznością zapewnienia prywatności.

Warto również wspomnieć o wymogu zabezpieczania danych przekazywanych drogą elektroniczną, np. w trakcie zbierania danych dotyczących zdrowia poprzez aplikację mobilną lub wyrób medyczny działający zdalnie. Podobnie jak w innych przypadkach, także tutaj RODO nie określa, jakie konkretnie zabezpieczenia muszą zostać zastosowane – muszą być one odpowiednie do realizacji zasady określonej w rozporządzeniu. Być może te kwestie zostaną w przyszłości uregulowane np. w drodze rozporządzenia do ustawy dotyczącej świadczeń z zakresu telemedycyny. Obecnie należy kierować się dostępnymi wytycznymi i standardami rynkowymi.

W odniesieniu do przekazywania danych dotyczących zdrowia drogą elektroniczną należy skupić się na trzech kluczowych zagadnieniach:

• prawidłowej identyfikacji osoby, której dane dotyczą (autoryzacja np. poprzez profil zaufany czy podpis elektroniczny, narzędzia dwustopniowej autentykacji), zabezpieczeniu prawidłowego sposobu potwierdzenia odbioru danych (chociażby do celów dowodowych),
• zapewnieniu zachowania poufności transmisji (np. poprzez wprowadzenie szyfrowania przechowywanych danych (data at rest), jak i rozważenie szyfrowania danych pozostających w użyciu (data in use) lub samego transferu danych (data in transit).

Podsumowanie

Rozporządzenie wprowadza bardzo wiele zmian w zakresie ochrony danych osobowych, również dla branży medycznej. Dwuczęściowy artykuł jedynie nakreśla najważniejsze problemy w odniesieniu do specyfiki rynku, nie wyczerpuje jednak całkowicie tematu, gdyż nowych obowiązków jest dużo. Niektóre mogą istotnie podwyższać koszty prowadzenia biznesu – zwłaszcza te dotyczące bezpośrednio kształtu oferowanych produktów i usług oraz opcji, które muszą posiadać. Bardziej szczegółowe regulacje rozwinięte są w samym RODO, szczególnie w jego motywach. Mogą one także zostać doprecyzowane na gruncie krajowym w postaci ustaw i rozporządzeń bądź też wytycznych poszczególnych organów ochrony danych osobowych. Czasu na dostosowanie się pozostaje coraz mniej.

dr Karolina Libront

Traple Konarski Podrecki i Wspólnicy

Artykuł pochodzi z Biuletynu Euro Info 5 (176) 2017.