Prawo pacjenta do wglądu w swoje dane, do ich sprostowania, usunięcia, ograniczenia zakresu udostępniania oraz do „niepodlegania decyzjom opartych wyłącznie na zautomatyzowanych procesach przetwarzania” – to fundamentalne zasady, które zdaniem Światowej Organizacji Zdrowia powinny być przestrzegane przez podmioty gromadzące dane pacjentów. Organizacja opublikowała nowe wytyczne w tej sprawie.
Jak zauważa WHO, rozwój telemedycyny nieustannie wymusza na na instytucjach medycznych troskę o stosowanie w praktyce nowych i skutecznych środków ochrony danych osobowych. Organizacja przestrzega, że brak należytej ochrony danych doprowadzić może do utraty zaufania pacjentów a w konsekwencji do spowolnienia rozwoju telemedycyny. „Dlatego organy zdrowia publicznego powinny zapewnić, że wykorzystują dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby – w uczciwy, zgodny z prawem i przejrzysty sposób, zgodnie z interesem publicznym związany ze zdrowiem” – czytamy w stanowiącym wytyczne WHO dokumencie „The protection of personal data in health information systems – principles and processes for public health” („Ochrona danych osobowych w informatycznych systemach ochrony zdrowia – zasady i ich wdrażanie”.
Autorzy dokumentu ostrzegają, że obecnie podmioty gromadzące i przetwarzające dane osobowe pacjentów zwracają uwagę na to, czy pacjent w sposób świadomy zgadza się powierzyć im swoje dane. „Świadoma zgoda nie jest jednak jedyną podstawą prawną i funkcjonalną właściwej ochrony danych. Kolejne do zasada, że osoby, których dane dotyczą, mają kontrolę nad sposobem korzystania z tych danych oraz prawo do ich korekty”.
Według WHO, pacjentowi, którego dane są gromadzone i przetwarzane przysługują następujące niezbywalne prawa:
- Prawo wglądu do danych gromadzonych na swój temat. Pacjent powinien mieć informacje, kiedy i jak jego dane są przetwarzane oraz w każdej chwili otrzymać kopię swoich danych przechowywanych w systemie informatycznym.
- Prawo do sprostowania – w wypadku, gdy zebrane dane są niedokładne lub niezgodne ze stanem faktycznym.
- Prawo do usunięcia danych – w wypadku, gdy powierzone podmiotowi dane zostały wykorzystane do innych niż zastrzeżone wcześniej cele, lub gdy minął zastrzeżony przez pacjenta czas, na który udzielił zgody na przetwarzanie danych.
- Prawo do ograniczenia przetwarzania danych – do niezbędnego zakresu.
- Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanych procesach przetwarzania danych. „Nawet w działalności służącej dobru publicznemu instytucje zawiadujące danymi muszą zapewnić pełne poszanowanie podstawy prawa do informacyjnego samostanowienia pacjenta” – zauważają autorzy dokumentu.
„Przestrzeganie praw osób, których dane dotyczą, ma ogromne znaczenie – w szczególności w kontekście działań w zakresie zdrowia publicznego. Przestrzeganie zasad wzmacnia zaufanie obywateli do czynności przetwarzania. Jeśli na przykład aplikacja śledząca w sytuacji pandemii zignoruje prawa osób, których dane dotyczą i utoruje drogę do wykorzystania takich danych do celów drugorzędnych, takich jak zbieranie podatków, obywatele stracą do niej zaufanie. A w świecie online zaufanie jest najważniejszą walutą. Gdy raz zostanie utracone – jego odzyskanie jest prawie niemożliwe” – mówi Tobias Schulte, jeden z autorów rekomendacji WHO.
Menedżerom baz danych WHO zaleca jasne jasne i skuteczne komunikowanie praw pacjentom oraz zapewnienie, by systemy informatyczne ułatwiały przestrzeganie żądań osób, których dane są zbierane. Aby zapewnić bezpieczeństwo IT i zminimalizować ryzyko naruszenia danych, autorzy zalecają ciągłe kontrole przestrzegania procedur, zapewnienie, że dane są zawsze szyfrowane, przeprowadzanie zewnętrznych testów penetracyjnych i opracowywanie planów postępowania na wypadek ewentualnej awarii.
Dane dotyczące zdrowia, w tym dane dotyczące różnych czynników warunkujących stan zdrowia, są ważnym źródłem dla kształtowania polityki zdrowotnej, zarządzania systemami opieki zdrowotnej i badań naukowych. „Dlatego w kształtowaniu polityki zdrowia publicznego niezwykle ważne jest wtórne wykorzystanie danych. Jeśli to możliwe, dane osobowe powinny być agregowane lub anonimizowane u źródła; aby były rzeczywiście anonimizowane. Proces ten powinien być nieodwracalny”.
Autorzy raportu podkreślają, że ochrona danych wymaga kunsztu prawnego i technicznego, wsparcia najwyższego szczebla kierowniczego, przydziału odpowiednich zasobów i przeszkolenia wszystkich profesjonalistów zajmujących się przetwarzaniem danych osobowych – „Ponadto ochrona danych nie jest pojedynczą czynnością – musi być wbudowana we wszystkie aspekty zarządzania ochroną zdrowia. W związku z tym organy ds. zdrowia publicznego powinny edukować swoich specjalistów, jak znaleźć równowagę między podstawowymi prawami pacjentów i zapewnieniem odpowiednich funkcjonalności zbieranych baz danych”.