Analizy

Dane medyczne w chmurze. Nowe przepisy europejskie na horyzoncie

Blog Prawo Nowych Technologii | wrzesień 2022 r.

Bez wątpienia technologia cloud computing (chmura obliczeniowa) jest aktualnie jednym z najczęściej stosowanych rozwiązań technologicznych przechowujących dane osobowe, również wśród podmiotów świadczących usługi w systemie ochrony zdrowia. Organizacje wymieniają szeroki wachlarz korzyści wynikających ze stosowania chmury, przy czym kluczowe dotyczą kosztów (brak inwestycji na infrastrukturę serwerową, oraz jej obsługę), dostępności zasobów (dostęp do danych z wielu urządzeń, w tym mobilnych), bezpieczeństwa danych (wysoki poziom zabezpieczeń – dane zazwyczaj są szyfrowane i udostępniane jedynie upoważnionym osobom, kopia zapasowa zabezpiecza przed przypadkowym usunięciem i utratą danych), oraz potencjału wynikającego z analizy danych. Jak wpłyną nadchodzące regulacje unijne w zakresie digitalizacji i interoperacyjności sektora ochrony zdrowia na rozwój rozwiązań chmurowych?

W poniższym wpisie poszukujemy odpowiedzi nie tylko na powyższe pytanie, lecz także próbujemy przybliżyć prawne implikacje wykorzystywania chmury w zakresie przetwarzania danych osobowych dotyczących zdrowia.

Chmura obliczeniowa charakteryzuje się dostępnością na żądanie zasobów obliczeniowych systemu komputerowego (np. sieci, serwerów, pamięci masowych, aplikacji, usług), w szczególności w zakresie przechowywania danych (cloud storage). Zasoby udostępniane są przez zewnętrznego dostawcę, wobec czego chmura nie wymaga bezpośredniego aktywnego zarządzania przez użytkownika. Częstym rozwiązaniem jest rozproszenie funkcji dużych chmur w wielu lokalizacjach, z których każda jest centrum danych.

Dane dotyczące zdrowia

W świetle RODO¹ dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia².

Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą, m.in. zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro³.

Warto również zauważyć, iż dane dotyczące zdrowia stanowią dane osobowe szczególnych kategorii w świetle art. 9 RODO (tzw. dane wrażliwe), których co do zasady nie należy przetwarzać, chyba że zachodzi jeden z warunków stanowiący podstawę prawną przetwarzania danych osobowych⁴.

Elektroniczna dokumentacja medyczna

W ramach przetwarzania danych medycznych w chmurze istotnym zagadnieniem jest elektroniczna dokumentacja medyczna, którą w chwili obecnej powinny prowadzić podmioty świadczące usługi w systemie ochrony zdrowia. W świetle ustawy o systemie informacji w ochronie zdrowia elektroniczną dokumentację medyczną stanowią m.in. e-recepty, e-skierowania, informacja o rozpoznaniu choroby, problemu zdrowotnego lub urazu, wynikach przeprowadzonych badań, przyczynie odmowy przyjęcia do szpitala, udzielonych świadczeniach zdrowotnych oraz ewentualnych zaleceniach - w przypadku odmowy przyjęcia pacjenta do szpitala, informacja dla lekarza kierującego świadczeniobiorcę do poradni specjalistycznej lub leczenia szpitalnego o rozpoznaniu, sposobie leczenia, rokowaniu, ordynowanych lekach, środkach spożywczych specjalnego przeznaczenia żywieniowego i wyrobach medycznych, w tym okresie ich stosowania i sposobie dawkowania oraz wyznaczonych wizytach kontrolnych, karta informacyjna z leczenia szpitalnego⁵.

Bez wątpienia pozostaje fakt, iż w ramach elektronicznej dokumentacji medycznej przetwarzane są dane osobowe dotyczące zdrowia w rozumieniu RODO. Mając na względzie powyższe, w naszej ocenie podstawowym nośnikiem danych o stanie zdrowia pacjenta jest e-dokumentacja medyczna, zaś w celu zarządzania ww. dokumentacją niezbędne jest funkcjonowanie dedykowanego systemu teleinformatycznego, którym w świetle ustawy o systemie informacji w ochronie zdrowia jest system informacji medycznej.
Natomiast jeśli chodzi o podmioty, które nie świadczą usług w systemie ochrony zdrowia, jednakże chcą przetwarzać dane dotyczące zdrowia w chmurze – nie są one ograniczone przepisami ustawy o systemie informacji w ochronie zdrowia, lecz w tym zakresie powinny w szczególności spełnić podstawowe obowiązki administratora danych osobowych wskazane w RODO.

Bezpieczeństwo przetwarzania

Co do zasady, RODO wymaga, aby uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku.

Należy zauważyć, że podmioty świadczące usługi w systemie ochrony zdrowia zobowiązane są dodatkowo do spełnienia wielu wymagań przepisów sektorowych co do warunków prowadzenia dokumentacji medycznej w postaci elektronicznej.

Wskazujemy również, iż powiązanym oraz istotnym aspektem prawnym korzystania z chmury obliczeniowej w zakresie przetwarzania danych osobowych dotyczących zdrowia jest cyberbezpieczeństwo w świetle przepisów Dyrektywy NIS, i implementujących ją przepisów ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, co jednak nie stanowi przedmiotu niniejszego wpisu.

Powierzenie przetwarzania danych osobowych

W związku z obowiązkiem zapewnienia wysokiego poziomu bezpieczeństwa danych osobowych, często stosowanym rozwiązaniem jest skorzystanie z usług zewnętrznego podmiotu w zakresie dostarczenia chmury obliczeniowej. W przypadku podmiotów świadczących usługi w systemie ochrony zdrowia ustawa z dnia 6 listopada 2008 r. o prawach pacjenta przewiduje możliwość outsourcingu procesów przetwarzania danych osobowych dotyczących zdrowia na rzecz zewnętrznych podmiotów.
W takim przypadku administrator danych osobowych (tutaj: podmiot udzielający świadczeń zdrowotnych) powinien liczyć się z wieloma obowiązkami w zakresie ochrony danych osobowych. Przede wszystkim istotne jest przeprowadzenie oceny czy dostawca usług chmurowych zapewnia gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa podmiotów danych, a także czy realizacja współpracy nie będzie powodować zakłócenia udzielania świadczeń zdrowotnych.
Prawidłowy outsourcing procesu przetwarzania danych osobowych nie może odbyć się bez zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO, mocą której na dostawcę powinny zostać nałożone kolejne liczne obowiązki w zakresie ochrony danych osobowych.

Poza RODO warto również pamiętać o obowiązkach wynikających z przepisów sektorowych, np. obowiązku zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy.

Transfer danych poza Europejski Obszar Gospodarczy (EOG)

Co do zasady, wymiana informacji jest niezbędna do świadczenia opieki transgranicznej. Przekazując dane osobowe z Unii Europejskiej administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, należy zapewniać przynajmniej taki stopień ochrony osób fizycznych jaki zapewnia Unia Europejska na podstawie RODO, co ma zastosowanie także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej.

Powyższe jest o tyle istotne, że dostawcy usług chmurowych często posiadają siedzibę lub serwery w państwach znajdujących się poza EOG, np. USA, lub współpracują z podmiotami znajdującymi się poza EOG, co skutkuje transferem danych do państwa trzeciego i wymaga wdrożenia odpowiednich zabezpieczeń. Jeśli dany kraj, region terytorialny lub organizacja międzynarodowa nie są objęte decyzją Komisji stwierdzającą odpowiedni stopień ochrony danych osobowych, wówczas należy zastosować jedno z odpowiednich zabezpieczeń, takich jak wiążące reguły korporacyjne lub standardowe klauzule ochrony danych (umowne), lub - jeśli nie jest to możliwe - jedno z wyjątków w szczególnych sytuacjach wymienionych w art. 49 RODO, takich jak np. wyraźna zgoda osoby, której dane dotyczą.
Mając na względzie powyższe organizacja powinna mieć świadomość czy, gdzie, komu i dlaczego dostawca usług chmurowych przekazuje dane osobowe poza EOG (w tym, czy dostęp do danych osobowych mają firmy/osoby spoza EOG, np. w ramach przekazania danych osobowych do innej spółki albo korzystania z serwera znajdującego się w państwie trzecim).

Europejska przestrzeń danych dotyczących zdrowia

Trend przenoszenia danych zdrowotnych do chmury powinno jeszcze bardziej przyśpieszyć przyjęcie rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space). W ostatnich miesiącach Komisja Europejska przedstawiła projekt tego aktu prawnego. Projektowane rozporządzenie zakłada szereg rozwiązań wymuszających dalszą digitalizację i interoperacyjność sektora ochrony zdrowia co będzie przekładało się na wzrost popularności rozwiązań chmurowych.

Wprowadzony ma zostać wspólny format europejski: skróconych kart zdrowia pacjentów, e-recept, obrazów medycznych i ich opisów, wyników badań laboratoryjnych i wypisów ze szpitala. Interoperacyjność systemów elektronicznej dokumentacji medycznej na poziomie europejskim stanie się wymogiem obowiązkowym. Producenci systemów elektronicznych kart zdrowia lub niektórych wyrobów medycznych będą musieli poświadczać zgodność z wymogami interoperacyjności. Pacjenci będą musieli mieć zagwarantowany natychmiastowy i bezpłatny dostęp do danych dotyczących ich zdrowia w formie elektronicznej. Szereg podmiotów będzie mogło uzyskać w specjalnej procedurze dostęp do danych zdrowotnych zgromadzonych w dowolnym miejscu, na przykład w celu rozwoju nowych leków.

W ramach wyczerpującego przedstawienia zagadnienia ochrony danych osobowych nie sposób krótko nie wspomnieć o pozostałych, w naszej ocenie, bardzo istotnych obowiązkach w zakresie ochrony danych osobowych takich jak przeprowadzenie oceny ryzyka naruszenia praw i wolności osób, których dane będą przetwarzane, i uwzględnienie ich przy przetwarzaniu danych osobowych; przeprowadzenie oceny skutków dla ochrony danych osobowych; rozważenie w jaki sposób należy uzasadnić, udokumentować i wykazać podjęte działania; realizacja obowiązku informacyjnego względem podmiotu danych zgodnie z wymogami RODO.

Podsumowanie

Niezaprzeczalnie efektywne zarządzanie danymi dotyczącymi zdrowia pozwala na sprawną organizację systemu ochrony zdrowia, optymalizację kosztów, jednocześnie umożliwiając pacjentom dostęp do coraz lepszej jakości opieki. Stosowanie rozwiązań typu cloud computing z wykorzystaniem danych osobowych wymaga spełnienia przez organizacje warunków określonych w RODO, co – mimo neutralności technologicznej tej regulacji – może wiązać się z pewnymi wyzwaniami. Nadrzędnym celem każdej organizacji powinno być dążenie, aby podmioty danych były zabezpieczone przed otaczającymi ich zagrożeniami, a na pewno świadome ich w pełni, oraz miały wiedzę o przysługujących im prawach i wolnościach związanych z prywatnością.

Subskrybuj "Blog: Prawo Nowych Technologii"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego newslettera.

Zobacz pozostałe materiały na ten temat

^[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), „RODO”;

^[2]Art. 4 pkt. 15) RODO;

^[3]Motyw 35 RODO;

^[4]Zob. art. 9 ust. 2 RODO;

^[5]Rozporządzenie Ministra Zdrowia w sprawie rodzajów elektronicznej dokumentacji medycznej Dz.U. z 2018 r. poz. 941, t.j. Dz.U. z 2021 r. poz. 1153);

Kontakt

Mateusz Ordyk

Radca prawny, Local Partner, Doradztwo Regulacyjne dla Sektora Finansowego i FinTech

mordyk@deloittece.com

+48 601 258 301

Mateusz jest radcą prawnym i Partnerem w zespole doradztwa regulacyjnego dla sektora finansowego i FinTech. Jest także certyfikowanym compliance oficerem. Specjalizuje się w prawie rynków finansowych ... Więcej

Karolina Smolarek-Wietrzychowska

Senior Associate

ksmolarek@deloittece.com

+48 882364989

Karolina zajmuje stanowisko Senior Associate w Zespole Digital Banking i jest odpowiedzialna za kwestie związane z ochroną danych osobowych, własnością intelektualną, prawem nowych technologii oraz co... Więcej

Jakub Misiak

Adwokat, Partner Associate, Life Sciences i Ochrona Zdrowia

jmisiak@deloittece.com

+48 604 133 552

Jakub jest adwokatem zarządzającym praktyką Life Science & Healthcare w kancelarii Deloitte Legal. Praktyka stanowi element multidyscyplinarnego zespołu łączącego wiedzę i doświadczenie z obszaru praw... Więcej

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

AML i Compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowo-kadrowy

Generatywna Sztuczna Inteligencja

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk