„Ochrona danych wrażliwych w Polsce. Aplikacja gabinet.gov.pl pozwala każdemu lekarzowi sprawdzić wynik testu na SARS-CoV-2 u każdej osoby z bazy PESEL. Nie ma żadnych zabezpieczeń, haseł, numeru zlecenia, nic..." – napisał na Twitterze Dominik Lewandowski z Kolegium Lekarzy Rodzinnych w Polsce.
Ślad łamania prawa
Gabinet.gov.pl to aplikacja dla pracowników medycznych, umożliwiająca wystawianie elektronicznych recept i zleceń. Od niedawna lekarze podstawowej opieki zdrowotnej mogą tą drogą zlecać testy na Covid. Kłopot w tym, że dostęp do wyników nie ogranicza się wyłącznie do pacjentów danego lekarza. Żeby je poznać, wystarczy tylko znać PESEL dowolnej osoby.
Czytaj także:
– Uważam za nadużycie, że wpisując w aplikację dowolny PESEL, mogę poznać wynik testu jego właściciela. Przecież mógłbym w ten sposób poznać wynik osoby publicznej – tłumaczy dr Lewandowski.
– System od początku zakładał, że lekarze, którzy mogą kierować na testy, będą mieli wiedzę o osobach, które już zostały przetestowane. To istotne choćby przy kontakcie z pacjentem innego lekarza. Do tych danych nie mają dostępu osoby niepowołane. Trudno uznać lekarzy, których obowiązuje choćby ochrona danych pacjenta, za osoby niepowołane – odpiera zarzuty rzecznik Ministerstwa Zdrowia Wojciech Andrusiewicz.
Zgadza się z nim prezes Porozumienia Zielonogórskiego (PZ), dr Jacek Krajewski:
– Jeśli wynik będzie mógł odczytać tylko lekarz zlecający, to kto go przekaże pacjentowi, jeśli lekarz pojedzie na urlop? – pyta.
A wiceprezes PZ Tomasz Zieliński podkreśla, że lekarz ma obowiązek przestrzegania tajemnicy zawodowej. I dodaje, że każde sprawdzenie testu jest rejestrowane, więc zostaje ślad łamania prawa.
Eksperci ochrony zdrowia podkreślają także, że podczas epidemii wynik testu na chorobę zakaźną traktowany jest inaczej niż pozostałe dane medyczne i staje się informacją istotną dla bezpieczeństwa zdrowotnego państwa.
Joanna Budzowska, radca prawny i partner w kancelarii Budzowska, Fiutowski i Partnerzy, widzi to jednak inaczej:
– Wynik badania to element dokumentacji medycznej, a podmiot wykonujący badanie jest obowiązany przechowywać i udostępniać dokumentację medyczną na zasadach przewidzianych przepisami oraz zapewnić ochronę tej dokumentacji – mówi mecenas Budzowska.
Minister jak geodeta
Podkreśla, że wyjątki od ochrony danych osobowych dotyczących zdrowia, wyliczone w art. 26 ustawy o prawach pacjenta i rzeczniku praw pacjenta, powinny być interpretowane ściśle:
– Dokumentacja, a zatem i wynik badania, może być udostępniona innemu podmiotowi udzielającemu świadczeń zdrowotnych, jeśli jest to niezbędne dla zapewnienia ciągłości świadczeń. Inny przypadek to m.in. udostępnienie dokumentacji organom władzy publicznej w zakresie niezbędnym do wykonywania zadań. Żaden z tych przepisów nie jest uzasadnieniem, ani nie upoważnia lekarza do wglądu w dokumentację medyczną osoby, która nie jest jego pacjentem, bez jej zgody – podkreśla.
Zdaniem Juliusza Krzyżanowskiego z kancelarii Baker McKenzie tak szeroki dostęp do danych medycznych narusza RODO:
– Artykuł 32 RODO mówi, że uwzględniając m.in. stan wiedzy technicznej, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić niezbędny stopień bezpieczeństwa. Jeśli wynik można poznać tylko dzięki PESEL, to znaczy, że każdy lekarz może sprawdzić wynik dowolnej osoby– zauważa mec. Krzyżanowski.
I dodaje, że minister zdrowia ryzykuje karę, jaką niedawno prezes Urzędu Ochrony Danych Osobowych nałożył na głównego geodetę kraju (GGK). Chodziło o udostępnianie na portalu geoportal.gov.pl numerów ksiąg wieczystych bez podstawy prawnej.
– Ponieważ na podstawie numeru księgi wieczystej można sprawdzić, kto jest właścicielem działki, UODO uznał to za naruszenie rozporządzenia i nałożył na GGK najwyższą karę, jaką można dać organowi administracji publicznej, czyli 100 tys. zł.
Opinia dla „Rzeczpospolitej"
Paweł Litwiński, radca prawny, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów
Aplikacja powinna być zbudowana zgodnie z zasadami privacy by design, więc chronić dane osobowe i prywatność. Jeżeli potwierdzą się informacje, że lekarze mogą mieć dostęp do wyników badań pacjentów, których nie kierowali na badanie, po podaniu ich numerów PESEL, będziemy mieli do czynienia z wielkim naruszeniem poufności danych. Polegałoby na umożliwieniu dostępu do danych przypadkowym osobom, które nie mają podstawy prawnej do ich przetwarzania, a więc nie powinny go mieć. Nie ma przy tym znaczenia to, że można by – korzystając z logo systemowych – odtworzyć, kto taki dostęp uzyskał; aplikacja powinna taki dostęp uniemożliwić. Gdyby potwierdziło się, że doszło do systemowego naruszenia poufności danych, w pierwszej kolejności należałoby rozważać nałożenia przez prezesa UODO kary pieniężnej na administratora danych przetwarzanych w systemie, czyli na ministra zdrowia.
