Projekt ustawy o systemie informacji w ochronie zdrowia w sejmie. Tylko co z uwagami GIODO?

Na najbliższej, rozpoczynającej się 27 października, sesji Sejmu odbędzie się pierwsze czytanie pakietu projektów ustaw zdrowotnych, który w pierwszej połowie miesiąca został przyjęty przez rząd. Z punktu widzenia ochrony danych osobowych i prawa do prywatności szczególne znaczenie ma ustawa o systemie informacji w ochronie zdrowia. Projekt ten nie skupia powszechnego zainteresowania opinii publicznej. A szkoda. Bo jego uchwalenie wpłynie nie tylko na działanie służby zdrowia, ale również na to, w jaki sposób przetwarzane będą i komu udostępniane bardzo wrażliwe i intymne informacje.

W skład systemu informacji wchodzić będzie szereg powiązanych ze sobą baz danych (tzw. rejestrów i ewidencji medycznych). Powstanie jedna z największych (jeśli nie największa) baza danych w Polsce, skupiająca dane dotyczące stanu zdrowia, które mają – co warto podkreślić – szczególny charakter. Zgodnie z ustawą o ochronie danych osobowych dane takie należą do grupy danych wrażliwych i podlegają szczególnej ochronie. W dodatku dane medyczne charakteryzuje znaczna wartość rynkowa (związana chociażby z możliwością ich wykorzystania w działalności firm ubezpieczeniowych) i w związku z tym są one wyjątkowo narażone na nadużycia.

Tworzenie tak dużych, generujących wiele ryzyk, baz danych, powinna poprzedzić głębsza refleksja dotycząca adekwatności proponowanych narzędzi oraz poziomu planowanych zabezpieczeń. Okazji do takiej refleksji dostarczył Ministerstwu Zdrowia GIODO przedstawiając w ramach konsultacji dosyć szczegółowe uwagi i rekomendacje dotyczące ustawy oraz wymogi, jakie powinna ona spełniać w zakresie ochrony danych osobowych. Tymczasem w uzasadnieniu do nowej wersji projektu ustawy nie ma ani słowa o uwagach zgłoszonych przez GIODO. Dlaczego?

Z pisma GIODO zamieszczonego na stronie internetowej Ministerstwa Zdrowia wynika, że zostało ono przekazane po terminie, który został ustalony na 30 sierpnia. Jednak sam GIODO podkreśla, że pierwszy zestaw uwag dotarł do Ministerstwa Zdrowia wcześniej, a drugi list – wysłany już we wrześniu – był odpowiedzią na kolejne pismo z Ministerstwa. W tej sytuacji brak ustosunkowania się do opinii GIODO może dziwić, czy wręcz niepokoić. Tym bardziej, że tak ważne uwagi, jak te zaprezentowane przez GIODO, wydają się warte szczegółowego przeanalizowania bez względu na ewentualnie uchybienia formalne.

W nowej wersji projektu ustawy Ministerstwo Zdrowia wprowadziło szereg zmian. Część z nich dotyczy przepisów, do których zastrzeżenia zgłaszał GIODO. W obecnej sytuacji trudno niestety stwierdzić, na ile było to skutkiem analizy proponowanych rozwiązań pod kątem ochrony danych osobowych, a na ile wynikało z zupełnie innych przyczyn. W uzasadnieniu do nowej wersji projektu trudno bowiem doszukiwać się wyjaśnienia tej kwestii.

Wielu problemów, na które w swoim piśmie zwracał uwagę GIODO, nie rozwiązano. Projektowi nadal można zarzucić niekonsekwencję terminologiczna, mogącą doprowadzić do poważnych problemów interpretacyjnych. Przykładowo obok „administratora danych” (któremu ustawa o ochronie danych osobowych powierza ważne zadanie czuwania nad należytym przetwarzaniem danych) wprowadza się pojęcie „administratora systemu”, którego kompetencje i zakres odpowiedzialności pozostaje niejasny. Podobnie wprowadzenie pojęcia „jednostkowych danych medycznych” obok „danych osobowych” powoduje terminologiczny chaos, sugerując, że dane o stanie zdrowia są kategorią odrębną od danych osobowych, choć wyraźnie przypisuje je do grupy danych osobowych szczególnie chronionych.

Kolejny nierozwiązany problem dotyczy upoważnienia dla Ministra Zdrowia do tworzenia w drodze rozporządzeń rejestrów zawierających dane osobowe. Tymczasem, jak podkreśla GIODO, zgodnie z art. 31 ust. 1 Konstytucji, wprowadzenie ograniczeń konstytucyjnych praw i wolności jednostki wymaga uchwalenia aktu rangi ustawowej. Niepokoić może również brak określenia, na czym w istocie polegać ma przewidziana w projekcie ustawy „integracja rejestrów medycznych”.

W nie dość precyzyjny sposób określono także to, jakim podmiotom i na jakiej podstawie zostanie umożliwiony dostęp do danych osobowych przetwarzanych w ramach systemu informacji medycznej. Problem dotyczy ponadto adekwatności zaproponowanych rozwiązań. Poważne zastrzeżenia budzi na przykład możliwość przetwarzania wrażliwych danych osobowych (tzw. jednostkowych danych medycznych) w module statystyczno-rozliczeniowym.

To tylko część problemów, które może rodzić uchwalenie ustawy w zaproponowanym kształcie. Potencjalnym punktów zapalnych jest bowiem znacznie więcej.

W uzasadnieniu do projektu ustawy czytamy, że „informatyzacja sektora ochrony zdrowia i związana z nią problematyka funkcjonowania »centralnych baz medycznych« jest nierozerwalnie związana z zagadnieniami ochrony danych osobowych. Dane o stanie zdrowia należą do kategorii danych szczególnie chronionych, których przetwarzanie podlega specjalnym rygorom”. Co z tego wynika? Chyba niewiele, bo zainteresowania ochroną danych osobowych i prywatnością pacjentów nie widać ani w projekcie ustawy, ani w uzasadnieniu, ani w działaniach Ministerstwa Zdrowia.

Teraz pracę nad projektem ustawy przejmą parlamentarzyści – miejmy nadzieję, że spojrzą na nią nie tylko z perspektywy technicznej funkcjonalności systemu, ale także jako na potencjalne źródło zagrożeń dla podstawowych praw jednostki.