Artykuł partnera zarządzającego Anety Sieradzkiej z Kancelarii Prawnej Sieradzka & Partners:
Minęło pięć lat, od kiedy stosuje się przepisy RODO w Polsce – wprowadzono je rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000). Oba akty prawne zaczęły obowiązywać 25 maja 2018 r.
Co zmieniło się od tego czasu?
Z jednej strony poprawiła się nasza społeczna świadomość o ochronie danych osobowych – nie tylko medycznych. Coraz bardziej uważamy na dotyczące nas dane – jako obywatele, pracownicy, pacjenci, a także administratorzy danych, na których przepisy nakładają liczne obowiązki. Chorzy są coraz bardziej świadomi i chcą się czuć otoczeni opieką – zarówno od strony medycznej, jak i formalnoprawnej. Zwracamy większą uwagę na naszą prywatność – to dobrze.
Z drugiej strony obowiązywanie RODO związane było z licznymi absurdami, z którymi mierzyli się pacjenci, personel medyczny, ubezpieczyciele i rodzice małoletnich.
Przykład – rodzice nie mogli się dowiedzieć, do którego szpitala trafiło ich dziecko z wypadku. Nie udzielano żadnych informacji przez telefon. Dość często mogliśmy usłyszeć, iż „RODO zabrania” , albo „z uwagi na ochronę danych osobowych” nie udziela się informacji – co wynikało z nieznajomości tych przepisów i atmosfery strachu, jaka została wytworzona wokół tych nowych zasad ochrony danych medycznych.
Trzeba wskazać, iż to brało się także z niskiej świadomości prawnej pracowników placówek medycznych, którzy nie byli należycie przeszkoleni z nowych przepisów, aby sprawnie i bezpiecznie z nich w codziennych obowiązkach korzystać. Co więcej, po pięciu latach stosowania RODO na stronie Sejmu pojawia się poselski projekt, w którym jest propozycja, aby na opaskach pacjentów wypisywać imię i nazwisko, i tutaj autorzy projektu zapomnieli chyba, iż takie rozwiązanie od 5 lat jest możliwe do zastosowania w praktyce właśnie na gruncie RODO i nie trzeba zmian na poziomie ustawowym. Te absurdy przez cały czas istnieją, tylko na mniejszą skalę, ale wciąż dotkliwą dla rozwoju medycyny i jakości świadczonych usług zdrowotnych. Zdarza się, iż instytucje publiczne utrudniają lekarzom dostęp do danych medycznych do celów naukowych, zasłaniając się RODO. I w ten sposób przepalamy potencjał danych medycznych, który jest dziś w niewielkim stopniu wykorzystywany.
Czy dane pacjentów są dziś dobrze chronione?
RODO z pewnością wymusiło lepszą ochronę danych medycznych i jest ona zdecydowanie wyższa niż przed 25 maja 2018 r. Widmo kar, które są egzekwowalne, determinuje konieczność wdrażania rozwiązań w placówkach medycznych, które są rozliczane, a nie są tylko tworzeniem wewnętrznej fikcji proceduralnej, z której nic dla ochrony danych nie wynika. W obszarze ochrony danych medycznych mamy w Polsce jeszcze bardzo wiele do zrobienia w najbliższych latach, na poziomie edukacji, rozwiązań proceduralnych oraz nowelizowania przepisów, aby nie hamowały rozwoju medycyny, za którą i tak dziś te przepisy nie nadążają. Narracja ukierunkowana ostatnio jest na sztuczną inteligencję, robotykę, a szpitale w wielu obszarach przez cały czas nie radzą sobie z podstawowymi obowiązkami na gruncie RODO. Ta ochrona jest dziś zróżnicowana, mamy wokół sporo dobrych przykładów, ale też takich placówek, które solidnie pracują na dotkliwe kary finansowe.
Co stanowi dziś zagrożenie dla danych medycznych?
Z pewnością trzeba tutaj wskazać na rozprzestrzeniające się cyberataki, które są coraz bardziej spektakularne i dotkliwe w skutkach dla szpitali – paraliżowanych, zmuszanych do odwoływania zaplanowanych zabiegów, wizyt, etc. W konsekwencji placówki ponoszą duże straty finansowe, wizerunkowe, a także narażają się na dochodzenie roszczeń od pacjentów oraz innych osób, których dane zostały utracone.
Cyberprzestępczość to jeden z kluczowych obszarów, ale równie ważnym jest inwestowanie w świadomość personelu medycznego i administracyjnego. Dostarczanie pracownikom rzetelnej wiedzy o obowiązujących procedurach w szpitalu, jakie mają narzędzia i z kim oraz w jaki sposób mogą się komunikować w sytuacji wątpliwości, zagrożenia czy zaistniałego już zdarzenia. o ile pracownicy ostatni raz byli szkoleni w 2018 roku, to nie oczekujmy od nich aktualnej wiedzy prawnej. Warto wiedzieć, iż Urząd Ochrony Danych Osobowych weryfikuje częstotliwość szkoleń wewnętrznych. Duża w tym rola kadry zarządzającej, aby dobrze zarządzać ryzykiem prawnym i je minimalizować, a od tego zarządzający placówkami medycznymi mają ekspertów w poszczególnych dziedzinach, przynajmniej takimi powinni się otaczać. Dla przykładu, kiedy pacjent ma problem z nadciśnieniem, to wybiera kardiologa, aby mu pomógł zminimalizować ryzyko i ograniczył skutki nieleczonego nadciśnienia oraz wdrożył odpowiednie leczenie. Tak samo jest z RODO, ochrona danych medycznych nie może być powierzchowna i zlecana tym, którzy wdrażają chaos w konkursie cenowym, aby jakoś to było. Jakoś to nie jakość. Wydatki na ochronę danych to inwestycja i to jest jedyna zasadna perspektywa, inaczej będziemy tkwić w oparach iluzji, a nie o to w tym wszystkim chodzi. Bezpieczeństwo prawne to fundament kultury organizacji, jak rozumienie, iż prawnicy w organizacji są od tego, by problemy rozwiązywać, a nie je kreować. Dla moich klientów szukam rozwiązań zwykle niestandardowych, bo przykrywanie się kołderką na zasadzie „bo się nie da” prowadzi donikąd. Nas interesuje obieranie azymutu ukierunkowanego na skuteczność rekomendowanych scenariuszy dla danego case study.
Czy moda na RODO się skończyła?
Coco Chanel mawiała, iż moda przemija, a styl pozostaje. I tak też jest z ochroną danych medycznych – trzeba wypracować dobre standardy ochrony w organizacji w zgodności z literą prawa i je stosować, co zaprocentuje w perspektywie czasu, a do tego potrzeba wiedzy, doświadczenia i wizjonerstwa. Lekarzy straszy się dziś procesami o błędy medyczne, a zdecydowanie częściej przytrafiają im się naruszenia RODO, za które płacą niemałe zadośćuczynienia pacjentom, często w ramach zawartej ugody, aby uniknąć wieloletnich postępowań. Nie oczekujmy od RODO cudów, ale wdrażajmy użyteczne rozwiązania, twórzmy strategie, róbmy niezależne audyty, analizy ryzyka, w końcu inwestujmy w eksperckość. RODO to nie biurokracja, która wciąż przez wielu niestety jest tak ochoczo miłowana. Każda czynność w medycynie oparta jest na ryzyku, ale też na danych, co oznacza, iż nad tymi danymi jest parasol przepisów i to od decyzyjności zarządzających placówkami zależy, czy w codzienności szpitala będzie to dziurawy parasol nieużytecznych procedur, czy taki, który ochroni.
Rośnie pokolenie lekarzy digital native – co to oznacza dla placówek medycznych?
Wyjaśnijmy, iż lekarz digital native to taki, który dorastał, kształcił się z użyciem nowych technologii. Nowe technologie dla pokolenia digital native stanowią codzienność w pracy. Młodsze pokolenia lekarzy stanowią wyzwanie dla placówek medycznych, ale – co istotne – są dużą szansą na szybszy ich rozwój. Nie godzą się na niegodziwe warunki pracy czy wykorzystywanie. Mamy też pokolenia lekarzy, którzy dojrzewają w digitalizacji, uczą się jej bez względu na swój wiek, są otwarci na zmiany. Modele zarządzania winny być ukierunkowane na eksploatowanie potencjału lekarzy digital native, ale też tworzenia im bezpiecznych ram działania w pracy. To też wyzwanie dla ustawodawcy. Nowe technologie to wymierne korzyści, ale mogą też przynieść dotkliwe straty, jeżeli pominiemy bezpieczeństwo prawne. Lekarz musi wiedzieć, jaką i za co ponosi odpowiedzialność prawną. Na cyfrowe narzędzia powinniśmy jednak patrzeć przez pryzmat szans biznesowych, których nie opłaca się przesypiać. Stopień ucyfrowienia organizacji dziś wpływa znacznie na konkurencyjność na rynku. Dodajmy na koniec, iż pacjenci też się digitalizują i oczekują jakości faktycznej, a nie pozorowanej.