Analizy

Telemedycyna a RODO w czasie pandemii

Newsletter: RODO #40 | czerwiec 2020 r.

Epidemia COVID-19 oraz związane z nią ograniczenia przemieszczania się i gromadzenia osób, ryzyka związane z bezpośrednim kontaktem z lekarzem, a także zalecenia zachowania dystansu społecznego powodują wzrost znaczenia oraz popularyzację usług telemedycyny. Nie należy zapominać jednak o przestrzeganiu wysokich standardów bezpieczeństwa stawianych przez przepisy RODO.

Telemedycyna przyszłością usług medycznych?

Telemedycyną nazywane jest świadczenie usług medycznych na odległość z wykorzystaniem systemów teleinformatycznych. Świadczenie usług telemedycznych może odbywać się za pomocą telefonu, komputera, Internetu, czy innych bardziej zaawansowanych urządzeń technologicznych.

Podstawową i najbardziej rozpoznawalną formą świadczenia usług telemedycznych jest prowadzenie konsultacji przez lekarzy w formie zdalnej za pomocą czatu, połączenia głosowego lub połączenia wideo. Warto pamiętać, że telemedycyna to jednak nie tylko telekonsultacje, możliwość wystawienia recepty elektronicznej, czy e-zwolnienia. Obecnie, zaawansowana technologia umożliwia także świadczenie szeregu innych usług medycznych w formie telemedycyny. Przykładowo, możliwe jest diagnozowanie i monitorowanie zdrowia pacjentów pozostających w domu, w szczególności osób cierpiących na choroby serca, astmę, czy cukrzyków za pomocą specjalistycznych urządzeń monitorujących stan zdrowia, które wysyłają uzyskane wyniki do lekarza, umożliwiając analizę tych danych i podjęcie odpowiednich działań. Telemedycyna znajduje zastosowanie także w ratownictwie medycznym, rehabilitacji, a nawet w chirurgii, pozwalając na zdalne asystowanie na sali operacyjnej. Taka forma świadczenia usług opieki zdrowotnej jest szczególnie przydatna w okresie epidemii, ponieważ redukuje ryzyko potencjalnego zakażenia. Korzystanie z telemedycyny w związku z podejrzeniem zakażenia koronawirusem jest wręcz zalecane przez Ministra Zdrowia, NFZ, czy Rzecznika Praw Pacjenta.

Newsletter RODO

Subskrybuj na e-mail powiadomienia o nowych wydaniach newslettera RODO.

Zarejestruj się

Telemedycyna bez wątpienia otwiera nowe możliwości zarówno dla lekarzy, jak i pacjentów. Zastosowanie telemedycyny wiąże się jednak z szeregiem wyzwań nie tylko natury technicznej, ale również prawnej. Powyższe dotyczy głównie obszaru ochrony danych osobowych, w szczególności danych dotyczących zdrowia.

- Magdalena Kozak, Associate, Deloitte Legal

Dane dotyczące zdrowia jako osobna kategoria danych osobowych

Zasady ochrony danych osobowych uregulowane są przede wszystkim w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).

Zgodnie z definicją zawartą w rozporządzeniu, dane dotyczące zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia. Tym samym do danych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dotyczą. Wśród tego rodzaju danych należy wskazać informacje zbierane podczas rejestracji do usług opieki zdrowotnej lub podczas świadczenia tych usług. Będą to zatem wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym pacjenta, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne.

RODO kwalifikuje dane dotyczące zdrowia jako dane osobowe szczególnych kategorii, których przetwarzanie jest co do zasady zabronione. Przetwarzanie takich danych powinno zostać poprzedzone spełnieniem co najmniej jednego z warunków określonych w art. 9 ust. 2 RODO. Jednym z wyjątków od zakazu przetwarzania danych szczególnych kategorii, niezwykle istotnym z punktu widzenia podmiotów świadczących usługi medyczne, jest wykorzystywanie danych osobowych pacjenta w celach zdrowotnych np. na potrzeby leczenia (art. 9 ust. 2 lit. h RODO). Zgodnie z tym przepisem, dopuszczalne jest przetwarzanie danych szczególnych kategorii, jeżeli przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego. Dodatkowym wymogiem związanym z przetwarzaniem danych zdrowotnych na tej podstawie prawnej jest wymóg zapewnienia, że dane przetwarzane są przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej.

Specyfika przetwarzania danych dotyczących zdrowia

Dozwolone jest także przetwarzanie danych zdrowotnych, jeżeli jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeśli przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe. Przetwarzaniem danych zdrowotnych ze względów związanych z interesem publicznym może być przede wszystkim przetwarzanie ich do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym.

Przykładem zastosowania powyższej podstawy przetwarzania danych szczególnie wrażliwych jest chociażby aplikacja służąca do monitorowania osób przebywających na kwarantannie domowej w związku z COVID-19 tzw. „Kwarantanna domowa”. Na mocy ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, korzystanie z tej aplikacji jest obowiązkowe dla osób objętych obowiązkową kwarantanną domową. Powoływanie się na interes publiczny w przetwarzaniu danych zdrowotnych może okazać się coraz częstsze, szczególnie w dobie pandemii, gdy w wielu krajach UE wprowadzane są aplikacje do monitorowania osób przebywających na kwarantannie, ustalania kontaktów z zarażonymi i generowania ostrzeżeń.

Przetwarzanie danych zdrowotnych w innych celach niż wskazane powyżej będzie dozwolone także w sytuacji wyrażenia zgody przez podmiot danych. Zgoda powinna być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli wyrażonym w formie oświadczenia lub wyraźnego działania potwierdzającego. Zgoda może zostać wyrażona zarówno w formie pisemnej (elektronicznej) lub ustnej. Jednak ze względu na obowiązek wykazania wyrażenia zgody przez administratora danych rekomendowane jest pozyskiwanie zgód przez administratorów w formie dokumentowej.

Przetwarzanie danych osobowych pacjentów, w szczególności danych wrażliwych wymaga przestrzegania wysokich standardów bezpieczeństwa stawianych przez przepisy RODO, a także realizacji praw podmiotów danych tj. pacjentów. Pacjenci, których dane są przetwarzane przez podmioty świadczące usługi telemedycyny mają prawo do uzyskania od administratora szeregu informacji podczas pozyskiwania ich danych osobowych w sposób bezpośredni, a także w sytuacji pozyskania ich z innych źródeł. W celu realizacji tego prawa, administratorzy powinni przygotować tzw. klauzule informacyjne przekazywane pacjentom korzystającym z usług telemedycyny informujące ich m.in. o celu przetwarzania, podstawie prawnej, okresie przechowywania danych, a także informacje o możliwości realizacji swoich praw.

Odpowiedzialność administratorów danych osobowych

Administratorzy danych osobowych powinni zapewnić podmiotom danych realizację pozostałych praw, takich jak prawo dostępu do danych osobowych, prawo do sprostowania danych, prawo do usunięcia danych (tzw. prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, czy prawo do sprzeciwu wobec przetwarzania danych osobowych, w tym profilowania. Realizacja tych praw powinna jednak uwzględniać ograniczenia wynikające z prawa UE, a także prawa krajowego m.in. te zawarte w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Zgodnie z tą ustawą, co do zasady dokumentacja medyczna przechowywana jest przez okres 20 lat. Zatem, żądanie usunięcia danych pacjenta nie będzie możliwe do zrealizowania przed upływem ustawowego terminu przechowywania.

Podmioty przetwarzające dane, w szczególności dane wrażliwe, powinny zadbać o zapewnienie odpowiednich środków technicznych i organizacyjnych, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W przypadku danych zdrowotnych, ryzyko naruszenia praw pacjentów jest wysokie, dlatego administrator powinien zapewnić szczególnie wysoki poziom bezpieczeństwa tych danych. Ponadto, zapewnienie odpowiedniego poziomu bezpieczeństwa jest szczególnie ważne, gdy przetwarzanie danych wrażliwych dokonywane jest za pomocą systemów teleinformatycznych. Rozwiązania przewidziane w art. 32 RODO, które powinny zostać wdrożone to m.in. szyfrowanie i pseudonimizacja danych osobowych, zdolność zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentów, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo testowania.

Wdrożenie odpowiednich środków bezpieczeństwa zapewni ochronę m.in. przed nieautoryzowanym dostępem do danych medycznych oraz ryzykiem ich ujawnienia bądź modyfikacji, a także przed innymi zagrożeniami, które mogą wystąpić z racji przetwarzania danych w formie elektronicznej np. atakami złośliwych oprogramowań szyfrujących dane bądź w inny sposób utrudniających do nich dostęp, ale także zagrożeniami związanymi z przeciążeniami systemu powodującymi chwilową niedostępność danych medycznych.

Świadczenie usług telemedycyny wymaga odpowiedniej infrastruktury technicznej oraz sprzętu informatycznego. Z tego względu, niektóre podmioty świadczące tego rodzaju usługi decydują się na skorzystanie z usług profesjonalnych podmiotów zewnętrznych, którym powierzają przetwarzanie danych osobowych pacjentów. Administratorzy, którzy decydują się na powierzenie przetwarzania danych, muszą zagwarantować, że dane będą przetwarzane przez podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie było zgodne z rozporządzeniem i chroniło prawa podmiotów danych. Przepisy RODO szczegółowo regulują elementy, jakie powinna zawierać umowa powierzenia przetwarzania danych osobowych. Wybierając podmiot przetwarzający, administrator powinien zapewnić, że zachowany zostanie wymagany przepisami poziom bezpieczeństwa danych osobowych.

RODO nakłada na administratorów obowiązek dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena skutków dla ochrony danych jest wymagana przede wszystkim, w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych, w tym danych dotyczących zdrowia. Zgodnie jednak ze wskazówką zawartą w motywie 91 RODO, przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa. Administratorzy i podmioty przetwarzające dane dotyczące zdrowia na dużą skalę obowiązani będą także do wyznaczenia inspektora ochrony danych osobowych.

W celu zapewnienia przestrzegania przepisów rozporządzenia, administratorzy danych osobowych są ponadto zobowiązani do wdrożenia i prowadzenia odpowiedniej dokumentacji, w tym rejestrów czynności przetwarzania, polityk ochrony danych osobowych i procedur związanych z realizacją praw podmiotów danych oraz procedur postępowania w sytuacji naruszenia ochrony danych osobowych.

Możliwości i zagrożenia związane z telemedycyną

Telemedycyna otwiera szereg nowych możliwości oraz korzyści zarówno dla pacjentów, ułatwiając im kontakt z lekarzem i przyspieszając diagnozę, jak i dla lekarzy, którzy mogą na bieżąco monitorować stan zdrowia pacjentów oraz obniżyć koszt prowadzonej działalności. Podmioty świadczące tego typu usługi powinny jednak mieć na uwadze szereg obowiązków związanych z przetwarzaniem danych dotyczących zdrowia za pośrednictwem systemów teleinformatycznych i zapewnić należyte zabezpieczenie tych danych przed potencjalnymi naruszeniami, szczególnie uwzględniając fakt, że postęp technologiczny zwiększa ryzyko potencjalnych cyberataków.

Kontakt:

Jakub Łabuz

Radca prawny, Partner Associate, Fuzje i Przejęcia, Rynki Kapitałowe

jlabuz@deloittece.com

+48 734 468 493

Jakub jest radcą prawnym i Partner Associate w zespole fuzji i przejęć oraz rynków kapitałowych w kancelarii Deloitte Legal. Jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskieg... Więcej

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

AML i Compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowo-kadrowy

Generatywna Sztuczna Inteligencja

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk