Nowe wytyczne Rady Europy z dnia 27 marca 2019 r. dotyczące danych związanych ze stanem zdrowia

W dniu 27 marca 2019 r. Rada Europy skierowała do państw członkowskich wytyczne dotyczące danych związanych ze stanem zdrowia, biorąc pod uwagę m.in. zmianę środowiska, w jakim przetwarzane są dane, a mianowicie cyfryzację danych możliwą dzięki rosnącej komputeryzacji. Celem, jaki przyświecał wydaniu wytycznych, było zapewnienie środków prawnych i technicznych umożliwiających skuteczną ochronę danych dotyczących zdrowia. Dostrzeżono również, iż mobilność geograficzna i rozwój mobilnych aplikacji zdrowotnych czy urządzeń medycznych przyczynia się do wytwarzania szybko rosnącej liczby danych związanych ze zdrowiem, a dane te przetwarzają coraz bardziej zróżnicowane podmioty.

Podkreślono przy tym, iż przetwarzanie danych dotyczących zdrowia powinno mieć zawsze na celu obsługę osoby, której dane dotyczą, lub poprawę jakości i skuteczności opieki, a także w miarę możliwości wzmocnienie systemów opieki zdrowotnej, przy jednoczesnym poszanowaniu podstawowych praw osób fizycznych.

Zalecono państwom członkowskim, aby:

  • podjęły kroki w celu zapewnienia, iż zasady wskazane w wytycznych znajdą odzwierciedlenie w prawie i praktyce państw członkowskich,
  • wytyczne zostały podane do wiadomości władz odpowiedzialnych za systemy opieki zdrowotnej, a następnie przekazywane podmiotom przetwarzającym dane dotyczące zdrowia, w szczególności pracownikom służby zdrowia, inspektorom ochrony danych bądź podmiotom o zbliżonych obowiązkach,
  • promowały akceptację i stosowanie zasad wskazanych w wytycznych przy użyciu dodatkowych instrumentów, takich jak kodeksy postępowania, przy jednoczesnym zapewnieniu, że zasady te są dobrze znane, rozumiane i stosowane przez wszystkich, którzy przetwarzają dane dotyczące zdrowia i są brane pod uwagę przy projektowaniu, wdrażaniu i wykorzystywaniu technologii informacyjnych i komunikacyjnych (ICT) w tym sektorze.

Wytyczne stosuje się do przetwarzania danych osobowych dotyczących zdrowia zarówno w sektorze publicznym, jak i prywatnym.

Dane dotyczące zdrowia muszą być przetwarzane w sposób przejrzysty, zgodny z prawem i uczciwy.

 Dane muszą być gromadzone do jednoznacznych, konkretnych i zgodnych z prawem celów i nie mogą być przetwarzane w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwizacji w interesie publicznym, dla celów naukowych, historycznych lub statystycznych nie jest uważane za niezgodne z pierwotnymi celami, jeżeli zagwarantowane zostaje poszanowanie praw i podstawowych wolności.

Przetwarzanie danych powinno być konieczne i proporcjonalne w stosunku do uzasadnionego celu i powinno być przeprowadzane wyłącznie na podstawie zgody osoby, której dane dotyczą, bądź na innej uzasadnionej podstawie. W zasadzie też dane powinny być zbierane od osoby, której dotyczą. W przypadku gdy osoba, której dane dotyczą, nie jest w stanie dostarczyć danych, a takie dane są niezbędne do celów przetwarzania, można je zebrać z innych źródeł, zgodnie z zasadami niniejszego zalecenia.

Zbierane dane powinny być adekwatne, istotne i nienadmierne w stosunku do celów, dla których są przetwarzane; muszą być dokładne i być w miarę potrzeby poddawane aktualizacji.

Wytyczne wyraźnie podkreślają także konieczność respek­towania zasady privacy by design (prywatność w fazie projektowania) oraz zasady privacy by default (prywatność w ustawieniach domyślnych).

 Istotne jest również respektowanie praw osób, których dane dotyczą.

Konieczne jest ustanowienie odpowiednich środków bezpieczeństwa, biorąc pod uwagę najnowsze osiągnięcia technologiczne, wrażliwy charakter danych związanych ze zdrowiem i ocenę potencjalnych zagrożeń, aby zapobiec ryzyku, takiemu jak przypadkowy lub nieuprawniony dostęp do danych osobowych lub ich zniszczenie, utrata, wykorzystanie, modyfikacja lub ujawnienie.

 Podmioty przetwarzające dane powinny podjąć niezbędne środki, aby wykazać zgodność przetwarzania danych w razie kontroli organu nadzorczego.

Administratorzy danych i podmioty przetwarzające dane, którzy nie są pracownikami służby zdrowia, powinni przetwarzać dane dotyczące zdrowia wyłącznie zgodnie z zasadami poufności i środkami bezpieczeństwa, które zapewniają poziom ochrony równoważny z poziomem nałożonym na pracowników służby zdrowia.

Wytyczne zawierają wyraźne podstawy legalnego przetwarzania danych zdrowotnych.

 Wytyczne wskazują również, iż dane dotyczące zdrowia nienarodzonych dzieci, takie jak dane wynikające z diag­nozy prenatalnej lub z identyfikacji cech genetycznych takich dzieci, powinny korzystać z odpowiedniej ochrony.

Wytyczne zawierają odrębne postanowienia dotyczące danych genetycznych w zakresie podstawy przetwarzania takich danych. Ponadto znajdują się w nich również wskazówki dotyczące udostępniania danych dotyczących zdrowia w celu zapewnienia i zarządzania opieką zdrowotną. Przykładowo wytyczne nakazują, iż przekazywanie i udostępnianie danych dotyczących zdrowia, między pracownikami służby zdrowia, powinno być ograniczone do informacji ściśle niezbędnych do koordynacji lub ciągłości opieki, profilaktyki lub monitorowania medyczno-społecznego i społecznego danej osoby. Odpowiedni pracownicy służby zdrowia mogą w takim przypadku jedynie udostępniać lub otrzymywać dane w ramach swoich zadań i w zależności od ich uprawnień. Należy podjąć przy tym odpowiednie środki w celu zapewnienia bezpieczeństwa danych. Korzystanie z elektronicznej dokumentacji medycznej i elektronicznej skrzynki pocztowej umożliwiającej udostępnianie i wymianę danych związanych ze zdrowiem powinno być zgodne z tymi zasadami.

Należy przy tym zapewnić fizyczne, techniczne i administracyjne środki bezpieczeństwa, a także środki niezbędne do zagwarantowania poufności, integralności i dostępności danych związanych ze zdrowiem.

 Rada wystosowała także wytyczne w zakresie przekazywania danych związanych ze zdrowiem do celów innych niż zapewnienie i administrowanie opieką zdrowotną, wskazując, iż dane dotyczące zdrowia mogą być przekazywane odbiorcom upoważnionym przez prawo do dostępu do danych, a co do zasady towarzystwa ubezpieczeniowe czy pracodawcy nie mogą być uważani za odbiorców upoważnionych do dostępu do danych dotyczących zdrowia.

Jeżeli chodzi o przechowywanie danych, dane dotyczące zdrowia nie powinny być przechowywane w formie, która pozwala na identyfikację osób, których dane dotyczą, dłużej niż jest to konieczne do celów, dla których są przetwarzane, chyba że są wykorzystywane do celów archiwizacji w interesie publicznym lub do celów naukowych lub his­torycznych, badań lub statystyki oraz tam, gdzie istnieją odpowiednie środki w celu ochrony praw i podstawowych wolności osoby, której dane dotyczą. W takim przypadku dane powinny zasadniczo być anonimizowane, gdy tylko pozwalają na to badania, działania archiwizacyjne lub bada­nia statystyczne.

 W zakresie praw osób, których dane dotyczą, wytyczne wskazują, iż konieczne jest poinformowanie przez administratora osoby, której dane dotyczą, o przetwarzaniu jej danych dotyczących zdrowia, a informacja taka powinna obejmować następujące stwierdzenia:

  • tożsamość i dane kontaktowe administratora i podmiotów przetwarzających, w stosownych przypadkach;
  • cel, w jakim dane są przetwarzane oraz, w stosownych przypadkach, odpowiednia podstawa prawna,
  • długość przechowywania danych,
  • odbiorcy lub kategorie odbiorców danych oraz planowane przekazywanie danych do kraju trzeciego lub orga­nizacji międzynarodowej,
  • możliwość, w stosownych przypadkach, sprzeciwu wobec przetwarzania ich danych, na warunkach okreś­lonych w zasadzie 12.2,
  • warunki i środki udostępnione osobie, której dane dotyczą, do wykonywania, za pośrednictwem administratora, ich prawa dostępu, sprostowania i usunięcia swoich danych.

W razie potrzeby oraz w celu zapewnienia sprawiedliwego i przejrzystego przetwarzania informacje muszą również obejmować:

  • możliwość późniejszego przetworzenia ich danych we właściwym celu zgodnie z odpowiednimi zabezpieczeniami przewidzianymi przez prawo i zgodnie z warunkami określonymi w pkt 4.1.b wytycznych,
  • możliwość złożenia skargi do organu nadzorczego,
  • istnienie zautomatyzowanych decyzji, w tym profilowania, które są dopuszczalne tylko w przypadkach przewidzianych przez prawo i podlegających odpowiednim zabezpieczeniom.

Informacje powyższe należy dostarczyć przed zebraniem danych lub przed pierwszym komunikatem.

Informacje muszą być zrozumiałe i łatwo dostępne, w jas­nym i prostym języku oraz dostosowane do okoliczności, aby umożliwić osobie, której dane dotyczą, pełne zrozumienie przewidywanego przetwarzania. W szczególności, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do otrzymania informacji, informacja może zostać przekazana osobie, która ją prawnie reprezentuje. Jeśli osoba ubezwłasnowolniona jest w stanie zrozumieć, powinna być również poinformowana przed przetwarzaniem danych. Administrator nie jest zobowiązany do przekazywania tych informacji, jeżeli osoba, której dane dotyczą, ma już niezbędne informacje. Ponadto, jeżeli dane osobowe nie są zbierane bezpośrednio od osoby, której dane dotyczą, administrator nie jest zobowiązany do informowania jej, gdy przetwarzanie jest wyraźnie przewidziane przez prawo lub okaże się to niemożliwe, na przykład w przypadku zmiany danych kontaktowych osoby i osoba nie może zostać znaleziona lub nie jest osiągalna, lub wiąże się to z nieproporcjonalnymi wysiłkami administratora, w szczególności w celu przetwarzania w celach archiwizacji w interesie publicznym oraz do celów badań naukowych lub historycznych lub statystyk.

Co do zasady również jeżeli dana osoba nie chce być informowana o diagnozie lub prognozie, należy to uszanować, chyba że stanowi to poważne zagrożenie dla zdrowia innych osób.

Wytyczne zawierają również wskazówki odnośnie realizacji praw przez osobę, której dane dotyczą, w tym dostępu do danych, sprostowania, usunięcia, sprzeciwu wobec przetwarzania i przenoszenia danych.

 Wytyczne nakładają na podmioty przetwarzające dane dotyczące zdrowia obowiązek zapewnienia ich bezpieczeństwa poprzez określenie i wdrożenie środków bezpieczeństwa dostosowanych do zagrożeń dla praw człowieka i podstawowych wolności, aby zapewnić przestrzeganie przez wszystkie zainteresowane strony wysokich standardów gwarantujących legalność przetwarzania oraz bezpieczeństwo i poufność takich danych.

Przepisy dotyczące bezpieczeństwa danych, przewidziane przez prawo, powinny skutkować regularnie weryfikowanymi, najnowocześniejszymi środkami technicznymi i orga­nizacyjnymi w celu ochrony danych osobowych przed ich nielegalnym lub przypadkowym zniszczeniem, utratą lub jakąkolwiek zmianą, a także przed nieautoryzowanym dostępem i niedostępnością.

 W szczególności prawo powinno przewidywać organizowanie i regulowanie procedur dotyczących gromadzenia, przechowywania i zwrotu danych związanych ze zdrowiem.

Prawidłowe funkcjonowanie systemu powinno być zapewnione za pomocą środków umożliwiających udostępnienie danych w bezpieczny sposób i z należytym uwzględnieniem poziomu zezwolenia upoważnionych osób. Wytyczne zakładają również konieczność weryfikacji działań przeprowadzonych na danych, wszelkich zmian i ich usunięcia, w tym monitorowania dostępu do bazy danych i samych danych tylko przez upoważnione osoby.

Konieczne jest także zapewnienie „audytowalności”, w celu identyfikacji osoby, która miała dostęp do systemu informacyjnego, dokonała modyfikacji bądź innych działań.

Osoby – specjaliści, niezaangażowani bezpośrednio w opiekę zdrowotną, ale zaangażowani w sprawne działanie systemów informatycznych, mogą mieć dostęp ad hoc i w zakresie, w jakim jest to konieczne do wypełniania ich obowiązków, do danych dotyczących zdrowia. Muszą oni w pełni przestrzegać tajemnicy zawodowej i przestrzegać odpowiednich środków przewidzianych przez prawo, aby zagwarantować poufność i bezpieczeństwo danych.

Poruszono również temat interoperacyjności, która może przyczynić się do zaspokojenia ważnych potrzeb w sektorze zdrowia i zapewnienia technicznych środków ułat­wiających aktualizację informacji lub zapobiegających przechowywaniu identycznych danych w wielu bazach danych. Interoperacyjność musi jednak zostać wdrożona w pełnej zgodności z zasadami przewidzianymi w wytycznych, w szczególności z zasadami legalności, konieczności i proporcjonalności, a także w celu zapewnienia zabezpieczeń w zakresie ochrony danych w przypadku stosowania systemów interoperacyjnych.

 W wytycznych znajdują się także regulacje dotyczące przetwarzania danych dotyczących zdrowia w świetle badań naukowych, w tym informacje, jakie osoba, której dane są przetwarzane, powinna otrzymać.

Wytyczne zakładają, iż w przypadku, gdy dane zebrane przez urządzenia mobilne mogą ujawnić informacje na temat stanu fizycznego lub psychicznego osoby w związku z jej zdrowiem i samopoczuciem lub dotyczą wszelkich informacji dotyczących opieki zdrowotnej i opieki społecznej, stanowią dane dotyczące zdrowia. W związku z tym powinny one korzystać z takiej samej ochrony prawnej i poufności, jaka ma zastosowanie do innego przetwarzania danych związanych ze zdrowiem.

Każdemu używaniu urządzeń mobilnych muszą towarzyszyć konkretne, dostosowane do potrzeb i najnowocześniejsze środki bezpieczeństwa, w szczególności zapewniające uwierzytelnienie danej osoby i szyfrowanie transmisji danych. Zewnętrzny hosting danych dotyczących zdrowia generowanych przez urządzenia mobilne musi być zgodny z zasadami bezpieczeństwa zapewniającymi poufność, integralność i restytucję danych na wniosek osoby, której dane dotyczą.