Zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. Jak wykazała bowiem kontrola NIK rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów. Tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które stwarzały warunki do odpowiedniego przechowywania papierowej dokumentacji medycznej oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym.
W ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów - dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.
Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, np. członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił. W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, a w SP ZOZ w Augustowie w trzech przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym też szpitalu dokumentacja medyczna została przesłana pocztą elektroniczną na wniosek złożony tą samą drogą, podczas gdy - zgodnie z obowiązującą w szpitalu procedurą - warunkiem wydania dokumentacji powinno być okazanie dokumentu tożsamości.
>>>ZOBACZ TEŻ: NIK o pomocy państwa osobom z zaburzeniami psychicznymi
W siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących np. historii choroby czy przebiegu leczenia pacjenta.
Zabezpieczenie dokumentów zawierających dane medyczne to nie jedyny element ochrony danych osobowych pacjentów. Ważna jest również kwestia prawa pacjenta do zachowania prywatności w newralgicznych momentach pobytu w szpitalu, tj.: podczas rejestracji do poradni, oczekiwania na wizytę i wezwania do gabinetu, w trakcie pobytu na oddziale szpitalnym. W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce. W tych sytuacjach osoby postronne mogły usłyszeć treści rozmów pomiędzy pacjentem a personelem szpitala, dotyczących np. stanu zdrowia pacjenta, w tym szczegóły związane z dolegliwościami i procesem leczenia.
Dużo bardziej dyskretnie wzywano pacjentów do gabinetów lekarskich. Najczęściej posługiwano się komunikatem: „proszę kolejną osobę” lub podawano imię pacjenta i godzinę wizyty, ewentualnie numer, który pacjent otrzymał podczas rejestracji. Tylko w jednym szpitalu (SP ZOZ w Radzyniu Podlaskim) w jednej z trzech zbadanych poradni wywieszona była lista pacjentów, na której podana była godzina planowanej wizyty oraz pierwsze trzy litery imienia i pierwsze cztery litery nazwiska. Stosowanie takiego rozwiązania w przypadku pacjentów o krótkich imionach i nazwiskach może doprowadzić do ujawnienia ich danych.
We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak - jak wykazali kontrolerzy NIK - prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad.
>>>ZOBACZ TEŻ: Czy jesteś gotowy na e-recepty?
W trzech skontrolowanych szpitalach (13%) dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, np. odwiedzających innego chorego. Co ciekawe, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.
Innym niepokojącym zjawiskiem było przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Taka sytuacja miała miejsce aż w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich. NIK nie miała zastrzeżeń do samych zabezpieczeń systemów informatycznych, czy nawet potencjalnego dostępu serwisantów do danych wrażliwych pacjentów. Chodziło o to, że zgłoszenia serwisowe zawierały informacje o pacjencie i jego historii leczenia, mimo że dane te nie były konieczne do usunięcia usterki. Takie dane zawierało nieco ponad 3% zgłoszeń serwisowych zbadanych przez NIK. Np. w 2017 r. głośny był przypadek wycieku danych osobowych oraz medycznych 50 tysięcy pacjentów Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Dane przesyłane w zgłoszeniach serwisowych na system helpdesk gromadzone były na serwerze zewnętrznym. W wyniku błędu podczas migracji danych na nowy serwer dane zostały ujawnione i tym samym stały się dostępne dla wszystkich użytkowników internetu. NIK zauważa, że w związku z zagrożeniem wycieku danych zgłoszenia serwisowe nie powinny zawierać danych osobowych i medycznych pacjentów szpitali. Przy tego typu zgłoszeniach wystarczy unikalny numer ID pacjenta, jednoznacznie wskazujący osobę, której zgłoszenie dotyczyło.
W ¾ szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej. Były to informacje dotyczące pacjenta, jego chorób, badań, zabiegów i innych procedur leczniczych wykonanych podczas jego pobytu w szpitalu. NIK podkreśla, że takie dane wymagają szczególnej ochrony. Elektroniczna dokumentacja medyczna nie jest jeszcze powszechnie stosowana we wszystkich szpitalach. Jednak obecnie każdy szpital ma obowiązek składania sprawozdań zawierających dane osobowe i medyczne w formie elektronicznej do Narodowego Funduszu Zdrowia.
Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach. W jednym z nich część lekarzy i pielęgniarek miała dostęp do danych osobowych pomimo braku uprawnień do ich przetwarzania. W trakcie kontroli NIK braki zostały uzupełnione. W innym zaś uprawnienia zostały nadane przez informatyków bez wcześniejszej zgody dyrektora szpitala.
W 15 skontrolowanych szpitalach (63%) osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych. W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem. W Specjalistycznym Psychiatrycznym ZOZ w Suwałkach 15 osobom uprawnienia w systemach informatycznych odebrano dopiero po upływie od 9 do 227 dni (czyli po ponad 7 miesiącach). W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Według pracowników służb informatycznych tej jednostki, konto użytkownika zostało zablokowane w dniu, w którym ten pracownik zgłosił się z kartą obiegową i nie potrafili wyjaśnić, dlaczego jego konto było nadal aktywne po tej dacie.
W 10 szpitalach objętych kontrolą część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów. Osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi w skontrolowanych podmiotach leczniczych. Dzięki nadanym uprawnieniom pracownicy ci mogli instalować na komputerach dowolne oprogramowanie, a także wyłączać ochronę antywirusową. To z kolei zwiększało ryzyko, że przetwarzane dane nie będą odpowiednio chronione, a także że na komputerze może zostać zainstalowane złośliwe oprogramowanie.
Stosowanie odpowiedniej ochrony antywirusowej posiadanych komputerów powinno być podstawowym elementem właściwej ich ochrony. W trzech szpitalach część komputerów nie miała zainstalowanego takiego programu, a w czterech programy antywirusowe nie miały aktualnej bazy sygnatur wirusów, przez co ich skuteczność była ograniczona.
>>>ZOBACZ TEŻ: NIK negatywnie o profilaktyce uzależnień od alkoholu i narkotyków
W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej. Poszczególni pracownicy tych podmiotów leczniczych nie otrzymali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W konsekwencji z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Takie podejście stanowiło naruszenie obowiązujących norm, a także uniemożliwiało odbieranie uprawnień w systemach operacyjnych komputerów byłym pracownikom.Nie można bowiem odebrać takiego uprawnienia poprzez zablokowanie określonego użytkownika w systemie, gdyż loguje się na niego kilka lub kilkanaście osób. W tej sytuacji nie można było ustalić, który z pracowników wykonał w systemie określone operacje. Jest to szczególnie istotne w przypadku incydentów związanych z ochroną danych, np. „wycieków” informacji poza szpital. Szczególnie naganne są w ocenie NIK sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymagało podania żadnych danych autoryzacyjnych (loginu i hasła). Takie przypadki miały miejsce w trzech skontrolowanych szpitalach, m.in. w SP ZOZ w Augustowie. W jednym z komputerów w tej jednostce, na dysku lokalnym przechowywano dokumenty z danymi osobowymi pacjentów wraz z historią ich leczenia. Brak konieczności logowania się do komputera sprawiał, że każda przypadkowa osoba mogła uzyskać dostęp do danych znajdujących się na tym komputerze.
Poza wymienionymi nieprawidłowościami kontrolerzy NIK stwierdzili inne sytuacje stwarzające zagrożenie dla bezpieczeństwa danych, w tym danych medycznych, przechowywanych w postaci elektronicznej:
- w 7 szpitalach (29%) na części komputerów stosowano hasła uwierzytelniające, które nie spełniały przyjętych przez szpital wymogów złożoności (za mało znaków lub brak znaków określonego typu),
- w jednym przypadku (Lubuski Szpital Specjalistyczny Pulmonologiczno-Kardiologiczny w Torzymiu Sp. z o. o.) system operacyjny nie wymuszał zmiany hasła po 30 dniach - mimo że taki wymóg był określony w regulacjach wewnętrznych, a po 3-krotnym wpisaniu błędnego hasła system nie blokował się,
- w 12 podmiotach leczniczych (połowa skontrolowanych) na części komputerów korzystano z systemów operacyjnych, dla których producent zakończył wsparcie techniczne. Nie były zatem publikowane aktualizacje zabezpieczeń tych produktów, poprawki czy też opcje asystenta pomocy technicznej oraz aktualizacje zawartości technicznej online,
- serwerownie dwóch szpitali nie były właściwie zabezpieczone - brakowało systemów antywłamaniowych i przeciwpożarowych, a w serwerowniach trzech innych podmiotów leczniczych przechowywano łatwopalne materiały (kartony lub zużyty sprzęt informatyczny), co stwarzało dodatkowe zagrożenie dla znajdujących się tam danych i urządzeń,
- w 5 szpitalach (21%) kopie bezpieczeństwa baz danych przechowywano w niewłaściwy sposób, tj. w tym samym miejscu, co dane źródłowe. NIK zwraca uwagę, że nośniki z danymi powinny znajdować się w innej lokalizacji, aby w przypadku wystąpienia sytuacji losowej, np. pożar lub zalanie, dane źródłowe nie zostały zniszczone wraz z ich kopiami,
- w ośmiu szpitalach (⅓ objętych kontrolą NIK) w systemie informatycznym do obsługi pacjenta części pielęgniarek i położnych przyznano dostęp do danych osobowych oraz medycznych pacjentów z oddziałów szpitala, na których te osoby nie pracowały. Np.: w SP ZOZ w Augustowie pielęgniarka środowiskowa w gabinecie lekarza rodzinnego miała dostęp do danych pacjentów z siedmiu innych oddziałów i poradni, na których nigdy nie świadczyła pracy i informacje te nie były jej potrzebne do wykonywania obowiązków służbowych.
Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów. Od wejścia w życie tego unijnego rozporządzenia wymaganą analizę przeprowadziło tylko 13 szpitali (nieco więcej niż połowa skontrolowanych). Dziewięć innych podmiotów wywiązało się z tego obowiązku po upływie od ok. miesiąca do ponad pół roku od wejścia w życie przepisów RODO, a w dwóch kolejnych impulsem do wykonania analizy była dopiero kontrola NIK. Poza tym prawie połowa skontrolowanych podmiotów leczniczych nie zaktualizowała wraz z wejściem w życie RODO podstawowych dokumentów określających bezpieczeństwo danych osobowych oraz sposoby ich przetwarzania. W siedmiu szpitalach wewnętrzną dokumentację zaktualizowano dopiero po upływie od 37 do 263 dni od wejścia w życie nowych uregulowań. W innych czterech podmiotach do zakończenia kontroli NIK nie przeprowadzono aktualizacji dokumentów.
Z pomocą podmiotom leczniczym przyszło Ministerstwo Cyfryzacji, które we współpracy z Ministerstwem Zdrowia przygotowało Przewodnik po RODO dla służby zdrowia. Publikacja ta zawiera przykłady praktycznych rozwiązań, które ułatwiają ochronę danych medycznych pacjentów. Jednak mimo przekazania Przewodnika szpitalom, zagadnienia związane z ochroną danych osobowych pacjentów były w tych jednostkach marginalizowane i jako dodatkowy obowiązek nie znalazły się wśród priorytetów służb medycznych i pracowników administracyjnych.
Zawiódł też system szkoleń. Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie cały personel (co najmniej 95%). Były jednak także takie podmioty lecznicze, w których przeszkolony był niespełna co dziesiąty pracownik (Szpital im. E. Szczeklika w Tarnowie - 6% personelu, Wojewódzki Szpital dla Nerwowo i Psychicznie Chorych „Dziekanka” im. Aleksandra Piotrowskiego w Gnieźnie - 9%). RODO miało ponad 2-letnie vacatio legis (okres od uchwalenia do wejścia w życie). Ten czas nie został jednak odpowiednio wykorzystany. Nie przeszkolono pracowników, nie zmienił się sposób funkcjonowania szpitali ani podejście personelu do zagadnień związanych z ochroną danych osobowych pacjentów.
Źródło: NIK
Komentarze
[ z 2]
Wiele firm prywatnych ma problem ze spełnieniem wszystkich wymogów stawianych przez RODO. Szpitale zaczynają w coraz większym stopniu polegać na nowych technologiach, ale przed nami jeszcze daleka droga do spełnienia standardów bezpieczeństwa informatycznego. Niestety to właśnie w ośrodkach ochrony zdrowia przechowywane są najbardziej wrażliwe dane osobowe. Podwyższenie stopnia zabezpieczeń wiąże się jednak z wieloma dodatkowymi kosztami.
Problemów związanych z ochroną danych osobowych pojawia się parę. Niestety, społeczeństwo bardziej świadome staje się coraz bardziej roszczeniowe. Znalazłam ciekawy artykuł na ten temat autorstwa państwa Jakuba Rzucidło i Justyny Węgrzyn. Jak podają, Wraz z wejściem w życie RODO wypada przyjąć, że pojęcie „danych osobowych dotyczących zdrowia” zyskało swoją normatywną definicję. W motywie 35 tego aktu prawnego wyjaśniono, że są to dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Dalej wskazano bardziej szczegółowy katalog takich danych, do których zaliczono: – informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; – numer, symbol lub oznaczenie przypisane danej osobie fizycznej dla jednoznacznego zidentyfikowania jej do celów zdrowotnych; – informacje pochodzące z badań laboratoryjnych lub lekarskich, części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; – wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Ostatnia z wyżej wymienionych grup informacji pozwala przyjąć, że katalog ten ma charakter otwarty i w zasadzie każdy komunikat zawierający w sobie jakieś wiadomości o stanie zdrowia osoby wypada uznać za daną lub dane osobowe dotyczące zdrowia W art. 4 pkt 15 RODO omawiane pojęcie zdefiniowano jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Warto także odnotować, że wyszczególnione powyżej pojęcie nie było (tj. przed wejściem w życie RODO) wprawdzie zdefiniowane w żadnym akcie prawnym, to jednak podobne do niego zwroty można odnaleźć w obowiązujących na terytorium Rzeczypospolitej Polskiej regulacjach. W pierwszej kolejności uwagę zwraca wciąż obowiązująca ustawa o ochronie danych osobowych (dalej: u.o.d.o.). W art. 27 ust. 1 oraz art. 49 ust. 2 tego aktu prawnego ustawodawca posłużył się bowiem pojęciem „danych o stanie zdrowia”. Sięgając zaś do u.p.p.r.p.p., wypada zauważyć, że w art. 9 ust. 1 sformułowano prawo pacjenta do informacji o jego stanie zdrowia. Funkcjonalnie powiązany z tą regulacją jest art. 31 ustawy o zawodach lekarza i lekarza dentysty . Stąd też podkreślić wypada wagę wskazanej regulacji u.p.p.r.p.p. głównie ze względu na jej rolę w procesie uzyskiwania świadomej zgody na daną procedurę medyczną. Zakres tych informacji jest zaś wyszczególniony w art. 9 ust. 2 u.p.p.r.p.p. i zaliczyć do nich należy te dotyczące: stanu zdrowia, rozpoznania, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia, rokowaniu na przyszłość. Kwalifikowanym sposobem przetwarzania wskazanych wyżej informacji jest dokumentacja medyczna. Terminem tym posługuje się wiele ustaw, niemniej w żadnej z nich nie został on zdefiniowany. W art. 25 ust. 1 u.p.p.r.p.p. ustawodawca jedynie odnosi się do przykładowego katalogu informacji, które ma zawierać dokumentacja medyczna. Zalicza się do nich: ,,1) oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości: a) nazwisko i imię (imiona), b) datę urodzenia, c) oznaczenie płci, d) adres miejsca zamieszkania, e) numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość, f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania; 2) oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych; 3) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych; 4) datę sporządzenia” . Jeśli idzie o rodzaje dokumentacji medycznej, to kwestię tę reguluje rozporządzenie Ministra Zdrowia z 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorców dokumentacji medycznej oraz sposobu jej przetwarzania , w którym zgodnie z § 2 ust. 1, dokumentację medyczną podzielono na: – dokumentację indywidualną – dotyczącą poszczególnych pacjentów korzystających ze świadczeń zdrowotnych oraz – dokumentację zbiorczą – dotyczącą ogółu pacjentów lub określonych grup pacjentów korzystających ze świadczeń zdrowotnych (np. księga główna przyjęć i wypisów, księga odmów przyjęć i porad ambulatoryjnych udzielanych w izbie przyjęć, księga chorych oddziału, księga zabiegów). Dokumentacja indywidualna obejmuje z kolei dokumentację indywidualną wewnętrzną, która przeznaczona jest na potrzeby podmiotu udzielającego świadczeń zdrowotnych (np. historia zdrowia i choroby, historia choroby, karta noworodka, karta wywiadu środowiskowo-rodzinnego) oraz dokumentację indywidualną zewnętrzną – przeznaczoną na potrzeby pacjenta korzystającego ze świadczeń zdrowotnych udzielanych przez podmiot (np. skierowanie do szpitala lub innego podmiotu, karta przebiegu ciąży, książeczka zdrowia dziecka, karta informacyjna z leczenia szpitalnego). Ponadto, warto dodać, że dokumentacja medyczna prowadzona jest w postaci elektronicznej lub papierowej. Na mocy kolejnej nowelizacji ustawy o systemie informacji w ochronie zdrowia (dalej także: u.s.i.o.z.), po raz kolejny przesunięto termin zastąpienia dokumentacji papierowej dokumentacją elektroniczną. Jak wynika bowiem z art. 56 ust. 1 tej ustawy, dokumentacja medyczna określona w rozporządzeniu ministra właściwego ds. zdrowia może być prowadzona w postaci papierowej do 31 grudnia 2018 r. Obecnie jednak brak jest informacji, o jakie rodzaje elektronicznej dokumentacji medycznej chodzi. W rozumieniu RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie unijnym lub w prawie państwa członkowskiego, to również w tych porządkach prawnych może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z przedstawionej powyżej definicji wynika, że cechą charakterystyczną administratora jest decydowanie o celach i sposobach przetwarzania danych osobowych. Nie budzi zatem wątpliwości, że kryteria te spełniają podmioty udzielające świadczeń zdrowotnych, skoro są one zobowiązane do prowadzenia, przechowywania i udostępniania dokumentacji medycznej, a także do zapewnienia ochrony danych zawartych w tej dokumentacji. Bez znaczenia pozostaje przy tym forma organizacyjno-prawna, w jakiej wykonywana jest działalność lecznicza. Podobnie, jak roli nie odgrywa tutaj struktura właścicielska. Takie same zasady obowiązywać będą zatem lekarza prowadzącego indywidualną praktykę lekarską, jak i samodzielny publiczny zakład opieki zdrowotnej, utworzony przez samorząd województwa. Przetwarzanie to termin bardzo pojemny i wieloznaczny, o czym świadczy przyjęcie w RODO otwartego katalogu czynności składających się na to pojęcie. Mowa tu o operacji lub zestawie operacji wykonywanych na danych osobowych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, takiej jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Podmiot przetwarzający dane oznacza z kolei ,,osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Porównując tę definicję ze wskazaną wyżej definicją administratora, dostrzeżemy, że wspólną ich cechą jest jedynie określenie tych samych kategorii podmiotów. W żadnym razie definicji tych nie można ze sobą utożsamiać. Należy bowiem podkreślić, że posiadanie statusu administratora nie można identyfikować ,,z faktycznym posiadaniem danych – podstawowym kryterium odróżniającym administratora danych osobowych od innych podmiotów przetwarzających dane jest sprawowanie faktycznej kontroli nad przetwarzaniem danych […], a więc decydowanie o celach i sposobach przetwarzania, nie zaś faktyczne przetwarzanie, które może zostać powierzone innemu podmiotowi”. Z kolei podmiot przetwarzający dane ,,nie może […] – przetwarzając dane osobowe w imieniu administratora danych – realizować własnych celów przetwarzania danych”. Odnosząc się przepisów u.p.p.r.p.p., dostrzeżemy, że do przetwarzania danych zawartych w dokumentacji medycznej, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych uprawnione są: – osoby wykonujące zawód medyczny; – inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, na podstawie upoważnienia administratora danych. Do innych osób wykonujących czynności pomocnicze zaliczyć można np. studentów medycyny odbywających praktykę w podmiocie leczniczym. Należy przy tym zaznaczyć, że w celu zapewnienia odpowiedniej ochrony danych dotyczących zdrowia na osoby, o których mowa nałożono obowiązek zachowania w tajemnicy – także po śmierci pacjenta – wszelkich informacji z nim związanych, uzyskanych w związku z wykonywaniem zadań. Zatem z przyjętych w u.p.p.r.p.p. rozwiązań wynika, że ,,osoba, której dane dotyczą nie jest […] wyłącznym dysponentem swoich danych” dotyczących zdrowia. Prawo do ochrony tych danych nie ma zatem charakteru absolutnego, bowiem przepisy u.p.p.r.p.p., jak i przepisy odrębne, a w tym przypadku RODO, wyznaczają ,,ramy prawne dla legalnego przetwarzania takich danych […]. Nie stanowi naruszenia tego prawa, ani instytucji tajemnicy lekarskiej, przetwarzanie danych w ramach legalnie wyznaczonego i społecznie akceptowalnego celu”. W związku z powyższym, należy odnieść się do przesłanek przetwarzania danych dotyczących zdrowia, które zostały przyjęte w RODO. W pierwszej kolejności uwagę zwraca motyw 53 RODO. Wskazano w nim na konieczność stosowania podwyższonego poziomu ochrony dla szczególnej kategorii danych osobowych, gdy mają być one przetwarzane dla celów zdrowotnych, w tym gdy idzie o zarządzanie usługami i systemami opieki zdrowotnej. We wskazanym motywie przewidziano także, że harmonizacja warunków przetwarzania danych osobowych dotyczących zdrowia, ze względu na szczególne potrzeby, w tym gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. Powyższe wydaje się być tym bardziej istotne, gdy idzie o obecną regulację art. 14 ust. 3 u.p.p.r.p.p. Dalej bowiem wymieniono, że prawo unijne lub prawo państwa członkowskiego powinny przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. W motywie 54 RODO wskazano także na istotne ograniczenie, gdy idzie o obowiązek uzyskania zgody osoby, której dane dotyczą. Działanie takie mogą uzasadniać względy interesu publicznego w dziedzinie zdrowia publicznego. Stosownie do art. 9 ust. 2 RODO, aby przetwarzanie wskazanego rodzaju danych odbyło się zgodnie z prawem, konieczne jest ziszczenie się choć jednej z następujących przesłanek: – osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie; – „przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody”. „Wyłączenie zakazu przetwarzania danych wrażliwych w oparciu o tę przesłankę może następować również w sytuacji ochrony żywotnych interesów innej osoby – nie tylko osoby, której dane dotyczą. Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej ze względu na stan zdrowia (np. chorobę zakaźną) osoby, której dane dotyczą. Jednocześnie musi zaistnieć brak fizycznej lub prawnej możliwości złożenia odpowiedniego oświadczenia woli przez osobę, której dane dotyczą. Sytuacja taka może łączyć się ze stanem fizycznym tej osoby – na który składa się nie tylko stan zdrowia, lecz również inne okoliczności, które mogą wyłączać świadome wyrażenie woli (art. 82 KC). W grę mogą także wchodzić ograniczenia natury prawnej – czyli brak zdolności do czynności prawnych (art. 13 KC) w wyniku np. ubezwłasnowolnienia”; – „przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy”; – „przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia”35. Przy czym, dane dotyczące zdrowia mogą być przetwarzane do tych celów ,,jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe”; – „przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”; – „przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą”. Poza tym należy dodać, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania m.in. danych dotyczących zdrowia (art. 9 ust. 4 RODO). Nadto, gdy idzie o dane dotyczące zdrowia, to ze względu na interes publiczny w dziedzinie zdrowia publicznego wyłączone zostały regulacje dotyczące prawa do usunięcia tychże danych (art. 17 ust. 3 lit. c RODO). Możliwość wprowadzenia ograniczeń co do poszczególnych uprawnień związanych z tymi danymi ze względu na zdrowie publiczne przewidziano także w art. 23 ust. 1 lit. e RODO. Obecnie obowiązująca regulacja u.p.p.r.p.p. skłania do przyjęcia, że dane osobowe dotyczące zdrowia udostępniane są w zasadzie w dwojakiego rodzaju formie: poprzez udzielenie informacji o stanie zdrowia pacjenta oraz w formie kwalifikowanej – udostępnienia dokumentacji medycznej. Do wniosku takiego prowadzi analiza art. 13 i art. 14 ust. 2 i 3 u.p.p.r.p.p. oraz art. 26 u.p.p.r.p.p. Art. 13 u.p.p.r.p.p. ustanawia oczywiście prawo pacjenta do tajemnicy informacji, ale już w art. 14 ust. 2 i 3 u.p.p.r.p.p. wskazano na istotne odstępstwa od tej zasady. O ile przesłanki wskazane w ust. 2 omawianej regulacji nie nastręczają znacznych trudności interpretacyjnych, o tyle ta wyszczególniona w ust. 3 budzi już uzasadnione wątpliwości. Jej zastosowanie powoduje bowiem, że w zasadzie każda informacja o stanie zdrowia pacjenta, po jego śmierci, można zostać ujawniona dowolnie wskazanemu przez osobę bliską zmarłego podmiotowi. Stosownie do art. 3 ust. 1 pkt 2 u.p.p.r.p.p. osobą bliską jest małżonek, krewny lub powinowaty do drugiego stopnia w linii prostej, przedstawiciel ustawowy, osoba pozostająca we wspólnym pożyciu lub osoba wskazana przez pacjenta. Na marginesie jedynie można zauważyć, jak szeroki może to być krąg osób. Obejmuje on przecież nie tylko członków rodziny, ale w zasadzie każdego, kto wykaże, że pozostawał z pacjentem we wspólnym pożyciu, lub każdego, kogo wskaże pacjent. Osoba taka ma zatem uprawnienie do domagania się bezpośrednio od lekarza do udzielenia wszystkich informacji, które obejmuje tajemnica medyczna. W praktyce może to oznaczać, że określone żądanie nie będzie mogło być zrealizowane inaczej, niż poprzez udostępnienie dokumentacji medycznej. Wskazana powyżej regulacja w praktyce znacząco utrudnia precyzyjne ustalenie osób, którym przysługuje prawo do informacji o pacjencie, ale także – co jest znacznie ważniejsze z punktu widzenia ochrony danych osobowych dotyczących zdrowia – osób, które mogą sprzeciwić się ujawnieniu danych. Na uwadze trzeba mieć przecież, że każda bliska osoba ma nie tylko uprawnienie do dostępu do informacji, ale także dysponuje uprawnieniem tamującym możliwość pozyskania informacji przez inne osoby bliskie w postaci sprzeciwu. W ślad za stanowiskiem Prezesa Naczelnej Rady Lekarskiej należy opowiedzieć się za racjonalnym podejściem do kwestii ustalania osób uprawnionych do uzyskania informacji o pacjencie po jego śmierci. Słusznie zakłada ono, że lekarz (jak i pozostały personel podmiotu leczniczego) nie ma obowiązku ustalania wszystkich osób bliskich i informowania ich o prawie wyrażenia zgody lub sprzeciwu w omawianej kwestii. Powyższe oznacza, że w takich sytuacjach decydujące zdanie będzie miała ta osoba, która jako pierwsza zgłosi wolę ujawnienia przez lekarza lub nieujawniania takich informacji. Jasne jest także, że lekarz ma w niektórych okolicznościach możliwość zweryfikowania, czy osoba występująca z określonym żądaniem jest osobą najbliższą, czy to na podstawie dokumentacji medycznej, czy też na podstawie okazanego dokumentu tożsamości. Zupełnie odmiennie kształtuje się krąg podmiotów uprawnionych do uzyskania dokumentacji medycznej. Ogranicza się on do pacjenta, jego przedstawiciela ustawowego lub osoby upoważnionej przez pacjenta (art. 26 ust. 1 u.p.p.r.p.p.). Warto przy tym mieć na uwadze, że stosownie do stanowiska Naczelnego Sądu Administracyjnego, wyrażonego w wyroku z 17 września 2013 r., sygn. akt II OSK 1539/13, pacjent może sporządzić oświadczenie o zgodzie na udostępnienie dokumentacji zarówno w ramach, jak i poza dokumentacją medyczną i tylko od jego woli zależało będzie jaką treść i jaki zakres upoważnienia obejmie to oświadczenie. Jeśli oświadczenie to przybiera najszerszą możliwą formę, tj. upoważnienia określonej osoby do uzyskiwania dokumentacji medycznej pacjenta po jego śmierci i zostanie załączone do dokumentacji medycznej określonej jednostki chorobowej, w konkretnej jednostce służby zdrowia, to niezależnie od tego, który podmiot medyczny będzie później świadczeniodawcą wytwarzającym dokumentację medyczną, ma obowiązek respektowania oświadczenia wskazującego upoważnioną osobę do uzyskiwania dokumentacji po śmierci pacjenta. Jeżeli więc osoba wnioskująca o wydanie dokumentacji medycznej przedstawi takie ogólne upoważnienie, to będzie ono podstawą do jej wydania. Nadto ustawodawca przewidział, że dostęp do dokumentacji medycznej pacjenta, nawet pomimo braku jego upoważnienia, będą miały inne podmioty – zarówno publiczne, jak i prywatne – których sprawowane funkcje uzasadniają dostęp do tejże dokumentacji. Wyszczególnione one zostały w art. 26 ust. 3, ust. 3a oraz ust. 3b u.p.p.r.p.p. Dokumentacja medyczna udostępniania jest podmiotom uprawnionym poprzez: 1) wgląd, w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych, z wyłączeniem medycznych czynności ratunkowych, w siedzibie podmiotu udzielającego świadczeń zdrowotnych, z zapewnieniem możliwości sporządzenia notatek lub zdjęć; 2) sporządzenie wyciągu, odpisu, kopii lub wydruku; 3) wydanie oryginału za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, na żądanie organów władzy publicznej albo sądów powszechnych, a także w przypadku gdy zwłoka w wydaniu dokumentacji mogłaby spowodować zagrożenie dla życia lub zdrowia pacjenta; 4) środki komunikacji elektronicznej; 5) informatyczny nośnik danych. Ponadto, dokumentacja medyczna, która prowadzona jest w postaci papierowej, może być udostępniona przez sporządzenie kopii w formie odwzorowania cyfrowego (skanu) i przekazana w sposób określony w pkt 4 i 5, jeżeli zażąda tego pacjent, uprawniony organ lub inny podmiot uprawniony i przewiduje to regulamin organizacyjny podmiotu udzielającego świadczeń zdrowotnych. Za udostępnienie dokumentacji w ten sposób, a także i ten, który określony został w pkt 2 i 5, podmiot udzielający świadczeń zdrowotnych może pobrać opłatę. Opłaty nie pobiera się, gdy udostępnienie dokumentacji następuje na potrzeby związane z postępowaniem przed wojewódzką komisją ds. orzekania o zdarzeniach medycznych. Udostępnienie dokumentacji medycznej następuje bez zbędnej zwłoki. ,,W przypadku gdy udostępnienie dokumentacji nie jest możliwe, odmowę przekazuje się w postaci papierowej lub elektronicznej, zgodnie z żądaniem uprawnionego organu lub podmiotu. W każdym przypadku wymagane jest podanie przyczyny odmowy”. Z wyjątkiem obowiązku udostępniania dokumentacji medycznej we wskazanej wyżej formie, podmiot udzielający świadczeń zdrowotnych zobowiązany jest również prowadzić wykaz, który musi zawierać następujące informacje dotyczące udostępnianej dokumentacji: imię (imiona) i nazwisko pacjenta, którego dokumentacja dotyczy; sposób i zakres jej udostępnienia; imię (imiona) i nazwisko osoby innej niż pacjent, której dokumentacja została udostępniona; nazwę uprawnionego organu lub podmiotu, któremu dokumentacja została udostępniona; imię (imiona) i nazwisko oraz podpis osoby, która udostępniła dokumentację; datę jej udostępnienia. Trzeba jednak pamiętać i o regulacji art. 14 ust. 3 u.p.p.r.p.p., który stwarza obowiązek udzielenia stosownych informacji także i w inny sposób, niż poprzez dostęp do dokumentacji medycznej. Lekarz na odpowiednie żądanie osoby uprawnionej może jej przecież udzielić ustnie, pisemnie, czy też w formie dokumentowej, czy elektronicznej. Wówczas nie będziemy mieli do czynienia z żadnym ze sposobów udostępnienia dokumentacji medycznej, ale niewątpliwie będzie to przekazanie określonego rodzaju chronionych prawem danych osobowych. Jasne zatem jest, że norma art. 14 ust. 3 u.p.p.r.p.p. jest nieprecyzyjna i stwarza możliwość odstępstw od restrykcyjnego przestrzegania reżimu udostępniania dokumentacji medycznej, co należy także zweryfikować przez pryzmat wymienionych norm RODO. Warto jeszcze zaznaczyć, że odpowiednikiem art. 14 ust. 3 w ustawie o zawodach lekarza i lekarza dentysty43 jest art. 40 ust. 3. Odrębnym zagadnieniem jest także udostępnianie elektronicznej dokumentacji medycznej. Odbywa się to w trybie art. 32–35 u.s.i.o.z. Ustawa ta wskazuje, że jednostkowe dane z systemu teleinformatycznego udostępniane są za zgodą usługobiorcy, jego przedstawiciela ustawowego lub osoby przez niego upoważnionej. W zgodzie takiej należy określić zakres czasowy i przedmiotowy dostępu do danych (art. 35 ust. 1 u.s.i.o.z.). Nie jest ona jednak wymagana, gdy dane udostępniane są pracownikowi medycznemu wykonującemu zawód u usługodawcy do danych osobowych i innych jednostkowych danych medycznych usługobiorcy, przetwarzanych w systemie informacji medycznej, które wytworzył w związku z wykonywaniem zawodu u tego usługodawcy, jeżeli jest to niezbędne do prowadzenia diagnostyki lub zapewnienia ciągłości leczenia (art. 35 ust. 1a u.s.i.o.z.). Nadto, gdy idzie o przetwarzanie danych, w tym danych osobowych, w ramach systemu informacji w ochronie zdrowia, to ustawodawca w u.s.i.o.z. wskazał szczególny obowiązek podmiotów prowadzących bazy danych w zakresie ochrony zdrowia do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych. Obowiązek ten ma zabezpieczać te dane przede wszystkim przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą (art. 37 u.s.i.o.z.). Z obowiązkiem tym powiązano szczególną procedurę kontrolną i nadzorczą, wykonywaną przez ministra właściwego do spraw zdrowia (art. 38–40 u.s.i.o.z.). Ciągle ewoluująca regulacja poświęcona ochronie szczególnej kategorii danych osobowych, jaką są te o zdrowiu pacjenta dzięki RODO niewątpliwie została znacząco wzmocniona. W związku z rozpoczęciem stosowania RODO, polski prawodawca zmuszony będzie zweryfikować także i regulacje u.p.p.r.p.p. Już bowiem niniejsze opracowanie ujawnia pewne niedostatki krajowego prawodawstwa. Wejście w życie RODO to niewątpliwie wyzwanie dla każdego podmiotu leczniczego. Do już skomplikowanych unormowań związanych choćby z tajemnicą lekarską, dojdą zupełnie nowe obowiązki i znacznie wyższe wymagania co do poziomu staranności, który w związku z danymi o stanie zdrowia będzie musiał być stosowany. Dochowania tych wysokich standardów z pewnością nie ułatwia także różnorodność stosunków prawnych, w których uczestniczy taki podmiot, zakładając, że działalność leczniczą prowadzi co najmniej w średniej skali. Z jednej bowiem strony jego sytuacja jest regulowana szczególną umową z Narodowym Funduszem Zdrowia – podmiotem finansującym udzielanie świadczeń opieki zdrowotnej. Relacja ta zakłada obowiązek bieżącego raportowania udzielanych świadczeń opieki zdrowotnej, w tym przekazywania podstawowych danych pacjentów w formie elektronicznej (w tym imię, nazwisko, PESEL, datę rozpoczęcia i zakończenia udzielania świadczenia, rodzaj świadczenia). Z drugiej częstokroć podmiot taki korzysta z usług innych podmiotów leczniczych, np. w zakresie badań obrazowych, czy zawierając liczne umowy o których mowa w art. 26–27 ustawy o działalności leczniczej, a i sam może być takim „podwykonawcą” dla innego podmiotu leczniczego. Z trzeciej zaś zawiera umowy z dostawcami różnego rodzaju usług, bez których współcześnie działalności leczniczej nie sposób jest prowadzić, jak np. na dostawy specjalistycznych systemów informatycznych lub teleinformatycznych, w których przetwarzane są m.in. dane osobowe pacjentów. Z czwartej wreszcie udziela świadczeń opieki zdrowotnej pacjentom. Każdy z aspektów tej działalności wymaga drobiazgowego podejścia do ochrony danych osobowych, począwszy od tak podstawowych czynności, jak zawarcie umowy powierzenia przetwarzania danych osobowych, a na zabezpieczeniu teleinformatycznym tych danych skończywszy. Ponadto, należy pamiętać, że prawodawca unijny przewidział za naruszenie zasad przetwarzania danych dotyczących zdrowia kary pieniężne w wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO), co miejmy nadzieję, że w jeszcze większym stopniu przyczyni się do poprawy ochrony danych osobowych. Mając powyższe na względzie, aktualny pozostaje wciąż pogląd A. Preisnera, który już szesnaście lat temu przewidział, że największy wpływ na sferę praw człowieka będzie miała nie tyle nauka prawa, ile biotechnologia. To m.in. rozwój technologii medycznych jest przyczyną powstawania tych stanów faktycznych, które ostatecznie zostają uregulowane w przepisach prawa. W dużej części współczesny standard ochrony danych osobowych jest przecież odpowiedzią na bardzo dynamiczny rozwój medycyny. Jest to zresztą jedna z przyczyn przyjęcia RODO.