Co zrobić, gdy na każdy argument, że zdrowie to sfera intymna, zbiór zastrzeżony, że należy wykazać się szczególną wrażliwością, słyszę, że to ograniczyłoby zdolności zarządzania systemem ubezpieczeń, zablokowało potencjał rozwoju zdrowia publicznego czy ograniczyło badania naukowe nad nowymi technologiami medycznymi? Na dowód przywołuje się art. 9 ust. 2 lit. g), h), i) oraz j) rozporządzenia ogólnego 2016/679 (RODO) zawierające przyzwolenie na przetwarzanie danych o stanie zdrowia m.in. ze względu na ważny interes publiczny, profilaktykę zdrowotną, zarządzanie systemami i usługami opieki zdrowotnej, zdrowie publiczne czy badania naukowe. To właśnie na podstawie tych zapisów minister Adam Niedzielski argumentował, że był w prawie podając do wiadomości publicznej informacje, które doprowadziły do jego dymisji. Konsekwencje takiego podejścia poznaliśmy.

Gdy sceny z dramatu Ionesco stają się realnym doświadczeniem, czuję gorzką satysfakcję, że to przewidziałem. Wskazywałem na takie zagrożenie na etapie konsultacji Studium Wykonalności Projektu P1 w 2009 r. prowadzonych przez Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ, dziś Centrum E-zdrowia). Potem jeszcze wielokrotnie na etapie prac nad ustawą o Systemie Informacji w Ochronie Zdrowia (2011) czy w ramach spotkań Grupy Doradczej Użytkowników przy Projekcie P1 przy CSIOZ. Niestety nie udało mi się przekonać regulatora do moich racji.

Należy sądzić, że moje obawy podzielali także autorzy rozporządzenia ogólnego, choć nie odważyli się tego mocniej zaakcentować. Motyw 63 zwraca uwagę na to, że „każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania”.

Praktyka jednak okazała się odmienna. To niegroźnie brzmiące wtrącenie „w miarę możliwości” spowodowało, że w przypadku danych o stanie – podkreślmy – naszego zdrowia, nie wiemy nic o tym, jak nasze dane zostały wykorzystane na podstawie upoważnień wydanych na podstawie art. 9 ust. 2 lit. g), h), i) oraz j) rozporządzenia ogólnego. Co prawda autorzy Internetowego Konta Pacjenta dali nam możliwość udzielenia dostępu do naszej dokumentacji medycznej pracownikowi medycznemu, placówce medycznej lub aptece, ale całkowicie pominęli zalecenia motywu 63. Tworzy to iluzoryczne wrażenie, że precyzyjnie zarządzamy dostępem do danych, podczas gdy nie mamy jakiejkolwiek wiedzy i kontroli nad dostępem uzasadnianym ważnym interesem publicznym, profilaktyką zdrowotną, zarządzaniem systemami i usługami opieki zdrowotnej, zdrowiem publicznym czy badaniami naukowymi.

W świecie wartości, któremu jestem wierny, pacjent powinien mieć prawo do informacji o tym, kto, kiedy, w jakim celu i na podstawie jakiego upoważnienia przetwarzał jego dane. Pacjent powinien mieć możliwość ograniczenia celów tego przetwarzania czy zakresu udostępnianych danych, aż do całkowitego zapomnienia, czyli zatarcia informacji o jego chorobie. To dotyczy nawet sytuacji, gdy ogranicza to możliwości jego optymalnego leczenia w przyszłości. To Jego decyzja. Nie systemu. Wyjątki od tej zasady, motywowane bezpieczeństwem zdrowotnym populacji, powinny być rzadkie i rygorystycznie kontrolowane.

To dalej idące postulaty niż sformułowane na poziomie rozporządzenia ogólnego. Jestem tego świadom. Ale dla mnie prymat ochrony prywatności, poza szczególnymi i wąsko zakreślonymi sytuacjami motywowanymi szczególnym interesem publicznym, jest nadrzędny. Podtrzymuję pogląd, że drzwi dające dostęp do naszych danych medycznych zostały zbyt szeroko otwarte. Zmiana tego będzie wymagała lat pracy. Dlatego już dziś powinniśmy skorzystać z możliwości, na które wskazuje rozporządzenie ogólne poszerzając naszą wiedzę o tym kto, kiedy, w jakim celu, na jakiej podstawia przetwarza nasze dane. Powinniśmy także znać założenia zautomatyzowanego przetwarzania danych osobowych oraz ich konsekwencje.

Nosorożca Eugène’a Ionesco warto oglądać w teatrze, nie w rzeczywistości.

To powinna być niezwłocznie wprowadzona zmiana. W IKP powinnismy mieć informację kto, kiedy, na jakiej podstawie, w jakim celu, przeglądał nasze dane. Dla jasności, nie jest to mój koniunkturalny postulat, tylko oczekiwanie, które formułuję pod adresem P1 od dwóch dekad. @jciesz https://t.co/ioyF5H0MxB

— Robert Mołdach ✈️ (@RobertMoldach) August 7, 2023

Więcej moich opinii na ten temat znajdziesz na portalach:

• Rynek Zdrowia
• Prawo.pl