Wdrożenie EHDS w Polsce. UODO o ryzyku dla naszych danych

Cyfryzacja polskiej służby zdrowia wiąże się z m.in. wdrożeniem Europejskiej Przestrzeni Danych Zdrowotnych (EHDS). Na początku miesiąca w Sejmie poświęcono tej kwestii wspólne posiedzenie Komisji Cyfryzacji oraz Komisji Zdrowia. 

Na łamach CyberDefence24 opisywaliśmy punkty widzenia w tej sprawie zarówno Ministerstwa Cyfryzacji, jak również Ministerstwa Zdrowia. Pierwszy z resortów poinformował, że w ramach projektu ustawy nowelizującej przepisy o informatyzacji działalności podmiotów realizujących zadania publiczne, Zintegrowana Platforma Analityczna (ZPA) – która będzie wykorzystana do wdrożenia EHDS - ma być prowadzona przez NASK. Z kolei Ministerstwo Zdrowia mówiło o skupieniu się na szansach oferowanych przez nowoczesne narzędzia.

UODO czeka na projekt ustawy

Zwróciliśmy się również do Urzędu Ochrony Danych Osobowych z pytaniami związanymi z EHDS i ZPA. Okazuje się, że UODO nie otrzymało zaproszenia do udziału we wspomnianym posiedzeniu komisji sejmowych. Dodatkowo, wciąż trwa oczekiwanie na projekt ustawy dotyczącej ZPA – ma zostać przyjęty najpóźniej w III kwartale tego roku. 

„W przypadku wpłynięcia przedmiotowego projektu organ nadzorczy przedstawi projektodawcy opinię o proponowanych rozwiązaniach w sferze ochrony danych osobowych” – zapewnia UODO.

Wdrażanie przepisów związanych z EHDS jest jednak monitorowane przez organ. W praktyce ziałania nie ograniczają się jedynie do obserwacji. Według odpowiedzi przekazanych naszej redakcji, Dyrektor Departamentu e-Zdrowia w resorcie zdrowia otrzymał pismo dotyczące dalszej kooperacji w sprawie EHDS. Kwestie związane z tą sprawą poruszano również podczas opiniowania aktów prawnych.

Ryzyko dla danych sensytywnych

Urząd Ochrony Danych Osobowych wskazał także na niezmienne stanowiska dotyczące ryzyka związanego z przetwarzaniem danych osobowych o charakterze sensytywnym, gdy ma miejsce niestosowanie zasad ochrony danych oraz przepisów RODO. Organ wskazuje m.in. na projektowanie ochrony danych na najwcześniejszym etapie czy brak oceny skutków dla ochrony danych, gdy występują warunki nakładające wymóg jej przeprowadzenia.

„Ryzyka dla przetwarzania danych tej kategorii powstają także w przypadku niewłaściwe budowanych przepisów prawa krajowego, w tym braku przeprowadzenia oceny skutków dla ochrony danych w procesie legislacyjnym” – wyjaśnia UODO.

Propozycje z wieloma uwagami

Dodatkowo, instytucja wskazała na uwagi do projektów ustaw, które zostały zgłoszone przez Prezesa UODO w ostatnich latach.

„Organ nadzorczy konsekwentnie podważał przyjęty model w obecnej formie, w licznych stanowiskach (które – red.) zachowują swoją aktualność” – przekazało nam UODO. 

Wśród projektów wymienionych w odpowiedzi pojawia się rozporządzenie Rady Ministrów w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej. Prace nad nim prowadzono w 2022 roku, zaś jedyna opinia, która wpłynęła, pochodziła od ówczesnego Prezesa UODO, Jana Nowaka; wskazano w niej, że rozwiązania zawarte w projekcie „nie mogą zostać zaakceptowane”.

„(Rozwiązania – red.) zagrażają zarówno realizacji poszczególnych przepisów rozporządzenia 2016/679, jak i całemu systemowi ochrony danych osobowych w Polsce, wynikającemu także z – ustaw – wskazanych § 2 projektu – rejestrów i zasobów (zbiorów danych), normujących prawa i obowiązki spoczywające na organach i podmiotach publicznych rejestry (zbiory) te prowadzących oraz odpowiedzialnych za przetwarzanie w nich danych osobowych” – czytamy wopinii z 2022 roku.

Po jej wpłynięciu, prace nad rozporządzeniem zostały zawieszon – od trzech lat strona Rządowego Centrum Legislacji pokazuje, że znajduje się on na etapie opiniowania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].