Coraz więcej miast testuje urządzenia monitorujące funkcje życiowe seniorów. Ci są jednak nieufni wobec nowej technologii. By ich do niej przekonać, trzeba najpierw dokładnie sprawdzić, jak dane uczestników programu będą przetwarzane, i dopełnić obowiązków informacyjnych.
Lublin, Kraśnik, Bytom, Łódź, Gdańsk i Poznań – to tylko część miast, które prowadziły bądź prowadzą pilotażowy program wykorzystania inteligentnych opasek do bieżącego sprawdzania stanu zdrowia seniorów. Urządzenia gromadzą dane medyczne (np. z pulsometru czy akcelerometru wykrywającego upadki), lokalizacyjne (GPS), a niektóre umożliwiają także szybki kontakt ze służbami medycznymi bądź inną instytucją. Ale włodarze, którzy chcieliby testować u siebie podobne rozwiązania, muszą pamiętać, że dane medyczne stanowią szczególną kategorię danych (art. 9 RODO). Ich przetwarzanie wymaga od administratora wyjątkowej troski.
Z kim współpracować
Część miast testujących inteligentne opaski zleca to zadanie podmiotom zewnętrznym. Lublin np. powierza dane osobowe uczestników pilotażu spółce SiDly, dane z Gdańska przetwarza firma COMARCH, a Poznań zlecił realizację projektu dwu stowarzyszeniom. Olga Legat, associate w kancelarii Domański Zakrzewski Palinka, nie widzi w tym nic złego. Według niej wyspecjalizowane firmy prywatne często dysponują bardziej zaawansowaną technologią i większym doświadczeniem niż samorządy. Muszą jednak wykazać – np. na etapie postępowania przetargowego – że korzystają z takich mechanizmów, które zapewniają dostateczny poziom bezpieczeństwa danych.
Miasta twierdzą, że wybrane przez nie podmioty posiadają systemy spełniające wymogi, np. certyfikacji ISO. A te, jak mówi Olga Legat, są obecnie jednym z najpopularniejszych sposobów wykazywania zgodności w dziedzinie bezpieczeństwa danych. Jednak nawet posiadanie takiej certyfikacji nie zwalnia administratora z obowiązku okresowych audytów czy prowadzenia testu adekwatności zabezpieczeń do wrażliwości przetwarzanych danych. Warto więc, by włodarze wymagali od wykonawców podjęcia odpowiednich środków zabezpieczających dane osobowe, o których mowa w art. 32 RODO, czyli np. pseudonomizacji i szyfrowania danych oraz bieżącego testowania i podnoszenia poziomu zabezpieczeń.
Olga Legat przypomina, że powierzenie przetwarzania danych innemu podmiotowi nie zwalnia z odpowiedzialności samego administratora. – Podmiot przetwarzający odpowiada tylko w zakresie, w jakim RODO nakłada obowiązki bezpośrednio na niego (a takich jest niewiele), oraz jeśli działał niezgodnie z umową powierzenia lub wiążącymi poleceniami administratora – mówi prawniczka. I dodaje, że w pozostałym zakresie, niezależnie od ewentualnych postanowień umownych co do odpowiedzialności, rozliczany będzie administrator. Dlatego ważne jest prawidłowe skonstruowanie umowy powierzenia oraz prowadzenie regularnych audytów u podmiotów przetwarzających.
O tym trzeba pamiętać
Każde z pytanych przez nas miast wybrało do pilotażu kilkuset uczestników. Rekrutowano ich zazwyczaj z ogólnej grupy mieszkańców (na podstawie kryterium wieku), ale niekiedy zainteresowanych szukano wśród klientów pomniejszych instytucji, np. miejskich ośrodków pomocy rodzinie. Projekty większości miast opierały się na jednakowej przesłance przetwarzania danych – zgodzie uczestników. Olga Legat mówi, że to poprawna podstawa prawna, ale i wiążąca się z pewnym ryzykiem. Zgoda może być bowiem w każdej chwili wycofana przez uczestnika programu, co w praktyce oznaczać będzie konieczność usunięcia wszystkich jego danych przez administratora. Ponadto taka zgoda musi być zarówno wyraźna, a więc wyrażona na piśmie, odrębna od wszelkich innych oświadczeń oraz dobrowolna.
Samorządowcy nie mogą zapomnieć również o spełnieniu obowiązku informacyjnego (art. 13 RODO). Uczestnicy programu muszą być poinformowani, kto jest administratorem ich danych, jak długo będą one przetwarzane, w jakim celu i w oparciu o jaką podstawę prawną. Muszą też wiedzieć, że nie tylko mają możliwość odwołania zgody na przetwarzanie danych, lecz także są uprawnieni do ich poprawiania, prostowania lub żądania ich usunięcia. Uczestnicy programy powinni też zostać poinformowani, że na działania administratora mogą złożyć skargę do Urzędu Ochrony Danych Osobowych.
Z obowiązkiem informacyjnym, jak mówi Tomasz Borys, konsultant ochrony danych osobowych, miasta radzą sobie różnie. Jedno z nich popełniło karygodny błąd, powołując się na wygasłą już ustawę o ochronie danych osobowych z 1997 r.
Monika Szelągiewicz ze Stowarzyszenia Medycyna Polska obsługującego pilotażowy program w Poznaniu przekonuje, że miasta zdawały sobie sprawę z konieczności dostatecznego poinformowania uczestników programu o jego szczegółach. – Informacje były upowszechnione na stronach internetowych partnerów oraz w formie plakatów i ulotek. Szczególną rolę w procesie rekrutacji pełnili pracownicy socjalni MOPR odpowiadający za przekazanie informacji. To pracownik socjalny rejonowy był osobą pierwszego kontaktu z osobą zainteresowaną udziałem w projekcie, przeprowadzał wstępną diagnozę potrzeb – mówi Monika Szelągiewicz.
Przechowywanie nie na zawsze
Co ważne, zbierane z opasek dane nie mogą być przechowywane wiecznie. I gminy zazwyczaj o tym pamiętają. Zastrzegają na przykład, że informacje będą monitorowane wyłącznie przez okres trwania pilotażu albo że podmiot odpowiedzialny będzie przechowywać je przez dwa lata – zgodnie z zapisami regulaminu konkursu na grant, z którego dofinansowano przedsięwzięcie. Ale znaleźliśmy i takie stowarzyszenie (podmiot przetwarzający w imieniu miasta), które zamierza przechowywać dane przez sześć lat po zakończeniu projektu. Dlaczego tak długo? Odpowiedzi na to pytanie nie uzyskaliśmy. Olga Legat przypomina jednak, że jeśli dane z inteligentnych opasek nie stanowią części dokumentacji medycznej pacjenta (która zgodnie z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta może być przechowywana nawet przez 30 lat), to administrator powinien usunąć je w momencie, gdy przestaną mu być potrzebne, a więc najlepiej w momencie zakończenia programu pilotażowego.
Podstawa prawna
Art. 13 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO; Dz.Urz. UE L 119, s. 1).
Art. 29 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U. z 2019 r. poz. 1127 ze zm.).