Biuletyn Informacji Publicznej RPO

• Nie doszło do wycieku informacji z Systemu e-Zdrowia co do danych osobowych pacjentów z recept elektronicznych, bo zabezpieczenia systemu są odpowiednie
• Można zaś mówić o podejrzeniu wykorzystania danych niezgodnie z prawem przez konkretną aptekę i spółkę prowadzącą sieć, do której ona należy 
• To właśnie te podmioty mogły nadużyć zaufania pacjentów
• Kierując się dążeniem do zabezpieczenia danych osobowych pacjentów, Centrum e- Zdrowia zablokowało konto tej apteki, a o sprawie poinformowano organy ścigania

Takie wyjaśnienia Minister Zdrowia przedstawił Rzecznikowi Praw Obywatelskich w związku z niepokojącymi doniesieniami mediów, dotyczącymi wykorzystywania przez apteki danych osobowych pacjentów zawartych w e-recepcie.

Jak pisała „Gazeta Prawna", dane mają być przetwarzane w aplikacji, udostępnianej przez sieć aptek, a służącej rezerwowaniu leków w wybranej aptece. Według artykułu, na podstawie danych osobowych z e-recepty dochodzi do profilowania pacjentów.

Problem ten Prezesowi UODO miała sygnalizować Naczelna Rada Aptekarska, która wskazywała, że na recepcie może się znaleźć ponad 60 różnych danych, a kilka recept pozwala stworzyć wirtualną kopię pacjenta.

Działania RPO

Sprawą zajął się Rzecznik Praw Obywatelskich, który spytał o nią Prezesa UODO.

Od początku wprowadzenia e-recepty do RPO zgłaszają się zarówno pacjenci, jak i lekarze zaniepokojeni kwestiami ochrony prywatności w procesie informatyzacji ochrony zdrowia. Konstytucja zapewnia zaś obywatelom (art. 51) prawo do samodzielnego decydowania o ujawnianiu innym informacji na swój temat, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów.

Rzecznik z aprobatą odnosi się do rozwiązań, które poprawiają warunki funkcjonowania systemu ochrony zdrowia, w tym przez jego informatyzację i dostosowanie do realiów życia współczesnego społeczeństwa. Należy jednak uważnie monitorować i reagować na praktyki, które mogłyby stanowić nadmierne wkroczenie w konstytucyjnie chronioną prywatność jednostek.

A dane dotyczące zdrowia powinny być szczególnie chronione, ponieważ należą do kategorii informacji intymnych i wpływających na wiele innych aspektów naszego życia.

Odpowiedź MZ

Minister Zdrowia oraz Centrum e-Zdrowia dokładają najwyższej staranności w celu zagwarantowania ochrony danych dotyczących pacjentów gromadzonych w Systemie e-Zdrowia (P1) oraz niezwłocznie reagują na wszelkie otrzymywane sygnały w zakresie ewentualnych zagrożeń dla bezpieczeństwa tych danych - napisał RPO podsekretarz stanu w MZ Janusz Cieszyński.

Minister - dostrzegając ogromne zalety stopniowej informatyzacji polskiego systemu ochrony zdrowia umożliwiającej chociażby lepsze reagowanie na potrzeby zdrowotne pacjentów oraz odpowiadanie na inne wyzwania stojące obecnie przed tym systemem - jest jednocześnie świadomy potencjalnych zagrożeń i ryzyk związanych z cyfryzacją tego systemu i potrzeby utrzymywania odpowiednich rozwiązań techniczno-organizacyjnych umożliwiających ich mitygowanie.

Niewątpliwie kwestia ochrony danych osobowych pacjentów przetwarzanych w systemie, o którym mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, ściśle powiązana z zapewnieniem właściwej realizacji konstytucyjnie zagwarantowanego prawa jednostki do prywatności, stanowi jeden z węzłowych obszarów wymagających zapewnienia szczególnych środków zabezpieczających celem uchronienia przedmiotowych danych przed takowymi zagrożeniami.

Mając na uwadze powyższe, Minister Zdrowia we współpracy z Centrum e-Zdrowia wdrożył wszelkie adekwatne rozwiązania techniczne oraz organizacyjne służące zapewnieniu ochrony danych osobowych pacjentów gromadzonych w Systemie e-Zdrowia. System ten zabezpieczają mechanizmy techniczne, odpowiadające wymogom wynikającym z obowiązujących przepisów prawnych, w tym z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a także wpisujące się w powszechnie uznane dobre praktyki w tym zakresie.

Co istotne System e-Zdrowia gwarantuje również, by przetwarzane w nim dane osobowe pacjentów, były udostępniane w sposób bezpieczny i stricte na zasadach określonych prawem, w tym przede wszystkim zgodnie z przepisami ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.

Dane przechowywane są w zaszyfrowanej formie i podlegają pseudonimizacji, tzn. odseparowaniu danych medycznych od danych identyfikujących konkretną osobę. Dzięki temu, w przypadku dostępu do bazy danych gromadzącej dane medyczne, nie jest możliwe ustalenie, jakiej osoby dane te dotyczą.

Mechanizmy uwierzytelniania i autoryzacji, separacja ról i uprawnień, a także odnotowywanie każdego udostępnienia danych przyczyniają się do zapewnienia wysokiego poziomu bezpieczeństwa. Również samo przekazywanie danych następuje poprzez zabezpieczone, szyfrowane połączenie zestawione bezpośrednio pomiędzy podmiotami. Podkreślenia wymaga też, iż pracownicy medyczni oraz usługodawcy uzyskują dostęp do danych osobowych pacjenta – o ile nie przysługuje im on ex lege – na podstawie zgody samego pacjenta.

W przypadku e-recepty zgoda ta jest wyrażana w sposób świadomy poprzez podanie PIN konkretnej recepty wraz z numerem PESEL pacjenta. Ponadto wszyscy usługodawcy podłączeni do Systemu e-Zdrowie (P1) posiadają certyfikaty zapewniające ich jednoznaczną identyfikację oraz zabezpieczenie kanału transmisji danych. Dodatkowo każde żądanie udostępnienia danych z Systemu e-Zdrowie (P1) jest podpisywane, co pozwala zachować pewność i kompletność informacji, a przekazane w tym kontekście pozostałe informacje jednoznacznie identyfikują osobę, która pobiera lub zapisuje te dane.

Odnosząc się natomiast do opisanego w ostatnich dniach w mediach przypadku wykorzystywania – przez spółkę prowadzącą sieć aptek – danych osobowych pacjentów zawartych w receptach elektronicznych w sposób budzący istotne wątpliwości prawne,  należy podkreślić, iż nie mamy do czynienia z „wyciekiem informacji” z Systemu e-Zdrowia (P1), gdyż do takiego wycieku, z uwagi na ww. zabezpieczenia danych,  nie doszło.

W tym przypadku mówimy natomiast o podejrzeniu wykorzystania danych niezgodnie z prawem przez konkretną aptekę i spółkę prowadzącą sieć, do której należy ta apteka. I to właśnie te podmioty istotnie mogły nadużyć zaufanie pacjentów, którzy w dobrej wierze podali im dane niezbędne do realizacji recepty, jeśli oczywiście podejrzenia opisane w mediach się potwierdzą.

W tym miejscu należy także wskazać, iż wobec otrzymanych niepokojących sygnałów o stosowanej przez ww. podmioty praktyce, Centrum e-Zdrowia, we współpracy z Ministrem Zdrowia, niezwłocznie podjęło właściwe czynności wyjaśniające celem ustalenia mechanizmu, na którym opiera się ta praktyka, w szczególności w kontekście przetwarzania danych osobowych pacjentów gromadzonych w Systemie e-Zdrowia (P1).

W wyniku dokonanych ustaleń powzięto istotne wątpliwości co do legalności przedmiotowej praktyki, dlatego też, kierując się dążeniem do zabezpieczenia danych osobowych pacjentów, Centrum e- Zdrowia zablokowało konto apteki. O zaistniałej sprawie poinformowano również właściwe organy ścigania – dodał wiceminister Janusz Cieszyński.

VII.501.215.2020