Aktualizacja z dnia 30 listopada 2020:
Sąd Okręgowy w Warszawie XXII Wydział Własności Intelektualnej 5 listopada 2020 wydał postanowienie w sprawie z powództwa Gemini Apps Sp. z o.o. w Gdańsku przeciwko Naczelnej Izbie Aptekarskiej w Warszawie o ochronę dóbr osobistych i zakazanie czynów nieuczciwej konkurencji na skutek zażalenia Gemini Apss na postanowienie Sądu Okręgowego w Warszawie z dnia 3 sierpnia br.
Sąd Okręgowy w Warszawie zmienił zaskarżone postanowienie nakazując Naczelnej Izbie Aptekarskiej zaprzestania przez okres jednego roku rozpowszechniania informacji zarzucającej Gemini Apss nieprawidłowości w funkcjonowaniu aplikacji „ReceptaGemini.pl” polegających na nielegalnym pobieraniu danych z Systemu E-Zdrowie (P1) i gromadzeniu danych o stanie zdrowia pacjentów i ich profilowaniu w sposób niezgodny z prawem.
Sąd odrzucił zażalenie w pozostałym zakresie.
-------------------------------------------------------------------------------------------------------------------------------------------------
Jak pisaliśmy za „Gazetą Prawną" samorząd aptekarski zarzucił aptekom Gemini zbytnie zainteresowanie wrażliwymi danymi pacjentów. Dane te mają być przetwarzane w aplikacji udostępnianej przez sieć, a służącej rezerwowaniu leków w wybranej aptece. Według artykułu, na podstawie danych osobowych z e-recepty dochodzi do profilowania pacjentów.
Naczelna Rada Aptekarska zgłosiła problem do Urzędu Ochrony Danych Osobowych (UODO), wskazując, że na recepcie może się znaleźć ponad 60 różnych danych, a kilka recept pozwala stworzyć wirtualną kopię pacjenta.
Teraz sprawą zajął się Rzecznik Praw Obywatelskich (RPO). Poinformował przy okazji, że od początku wprowadzenia e-recepty do RPO zgłaszają się zarówno pacjenci, jak i lekarze zaniepokojeni kwestiami ochrony prywatności w procesie informatyzacji ochrony zdrowia.
– Konstytucja zapewnia zaś obywatelom (art. 51) prawo do samodzielnego decydowania o ujawnianiu innym informacji na swój temat, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów – zwraca uwagę Rzecznik Praw Obywatelskich.
Równocześnie zastrzegł, że z aprobatą odnosi się do rozwiązań, które poprawiają warunki funkcjonowania systemu ochrony zdrowia, w tym przez jego informatyzację i dostosowanie do realiów życia współczesnego społeczeństwa.
– Należy jednak uważnie monitorować i reagować na praktyki, które mogłyby stanowić nadmierne wkroczenie w konstytucyjnie chronioną prywatność jednostek. A dane dotyczące zdrowia powinny być szczególnie chronione, ponieważ należą do kategorii informacji intymnych i wpływających na wiele innych aspektów naszego życia – czytamy w komunikacie.
W odpowiedzi na zainteresowanie RPO resort zdrowia zapewnił, że wraz z Centrum e-Zdrowia „dokładają najwyższej staranności w celu zagwarantowania ochrony danych dotyczących pacjentów gromadzonych w Systemie e-Zdrowia (P1) oraz niezwłocznie reagują na wszelkie otrzymywane sygnały w zakresie ewentualnych zagrożeń dla bezpieczeństwa tych danych”.
– Minister, dostrzegając ogromne zalety stopniowej informatyzacji polskiego systemu ochrony zdrowia, umożliwiającej chociażby lepsze reagowanie na potrzeby zdrowotne pacjentów oraz odpowiadanie na inne wyzwania stojące obecnie przed tym systemem, jest jednocześnie świadomy potencjalnych zagrożeń i ryzyk związanych z cyfryzacją tego systemu i potrzeby utrzymywania odpowiednich rozwiązań techniczno-organizacyjnych umożliwiających ich mitygowanie – napisał w odpowiedzi do RPO Janusz Cieszyński, podsekretarz stanu w MZ.
Dalej zapewnia, że „kwestia ochrony danych osobowych pacjentów przetwarzanych w systemie (…)stanowi jeden z węzłowych obszarów wymagających zapewnienia szczególnych środków zabezpieczających celem uchronienia przedmiotowych danych przed takowymi zagrożeniami”.
Według jego słów dane przechowywane są w zaszyfrowanej formie i podlegają pseudonimizacji, tzn. odseparowaniu danych medycznych od danych identyfikujących konkretną osobę. Dzięki temu, w przypadku dostępu do bazy danych gromadzącej dane medyczne, nie jest możliwe ustalenie, jakiej osoby dane te dotyczą. Również samo przekazywanie danych następuje poprzez zabezpieczone, szyfrowane połączenie zestawione bezpośrednio pomiędzy podmiotami.
– Odnosząc się natomiast do opisanego w ostatnich dniach w mediach przypadku wykorzystywania – przez spółkę prowadzącą sieć aptek – danych osobowych pacjentów zawartych w receptach elektronicznych w sposób budzący istotne wątpliwości prawne, należy podkreślić, iż nie mamy do czynienia z „wyciekiem informacji” z Systemu e-Zdrowia (P1), gdyż do takiego wycieku, z uwagi na ww. zabezpieczenia danych, nie doszło – wyjaśnia Janusz Cieszyński w piśmie do RPO.
Równocześnie informuje, że w tym przypadku można mówić o „podejrzeniu wykorzystania danych niezgodnie z prawem przez konkretną aptekę i spółkę prowadzącą sieć, do której należy ta apteka. I to właśnie te podmioty istotnie mogły nadużyć zaufanie pacjentów, którzy w dobrej wierze podali im dane niezbędne do realizacji recepty, jeśli oczywiście podejrzenia opisane w mediach się potwierdzą”.
– W wyniku dokonanych ustaleń powzięto istotne wątpliwości co do legalności przedmiotowej praktyki, dlatego też, kierując się dążeniem do zabezpieczenia danych osobowych pacjentów, Centrum e- Zdrowia zablokowało konto apteki. O zaistniałej sprawie poinformowano również właściwe organy ścigania – dodał wiceminister Janusz Cieszyński.
Sieć aptek Gemini w oświadczeniu rozesłanym do prasy zaprzecza nielegalnemu pozyskiwaniu danych pacjentów.