Jak sprawdziłem, kto ma dostęp do danych o moim zdrowiu
Niewątpliwą zasługą ostatnich dni urzędowania ministra Adama Niedzielskiego jest uczynienie z ochrony danych osobowych medycznych tematu, który królował we wszystkich mediach. Zastanawialiśmy się, jakie dane o naszym zdrowiu trafiają do centralnych baz danych, jak są chronione i kto ma do nich dostęp. To ostatnie można akurat łatwo sprawdzić dzięki RODO i – co może wydawać się dziwne – dzięki temu, że te dane są przechowywane w centralnym systemie informatycznym, jakim jest system e-zdrowia (P1). Częścią systemu P1 jest SIM, czyli System Informacji Medycznej, który służy przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej, udostępnianych przez systemy teleinformatyczne usługodawców. W ramach tego systemu realizowane są np. e-recepty i e-skierowania.
38 stron danych
Prawo do otrzymania informacji o odbiorcach naszych danych osobowych gwarantuje nam art. 15 ust. 1 lit. c RODO. O „odbiorcach”, czyli o każdej osobie fizycznej lub prawnej, organie publicznym, jednostce lub innym podmiocie, któremu ujawnia się dane osobowe. Co przy tym dodatkowo istotne, zgodnie z niedawnym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C 154/21 Österreichische Post AG w przypadku, gdy dane osobowe zostały ujawnione odbiorcom, na administratorze danych ciąży obowiązek podania osobie, której dane dotyczą, dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe ich zidentyfikowanie. Obowiązujące prawo daje nam więc możliwość ustalenia tożsamości – komu zostały ujawnione nasze dane osobowe, w tym o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, a ponieważ znajdują się one w jednym, centralnym systemie (P1), uzyskanie tych informacji jest stosunkowo łatwe. Z pewnością jest to łatwiejsze, niż gdyby nasze dane medyczne były przechowywane w rozproszonej dokumentacji, papierowej lub elektronicznej, prowadzonej przez każdego ze świadczeniodawców osobno.
Z czysto naukowej ciekawości, na fali zainteresowania bezpieczeństwem danych medycznych wywołanej przez ministra Niedzielskiego postanowiłem skorzystać z opisanej wyżej możliwości: złożyłem stosowny wniosek przez ePUAP i już po kilkunastu dniach (RODO daje możliwość udzielenia odpowiedzi po 30 dniach, więc ukłony w stronę osoby, która przygotowała odpowiedź wcześniej) otrzymałem 38 (!) stron raportu. Tak, 38 stron informacji o odbiorcach moich danych za okres niespełna sześciu lat, a w tym czasie nie korzystałem z opieki szpitalnej, sanatoryjnej itp. – można powiedzieć, że uznaję się za zdrowego człowieka w średnim wieku.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.