Evropská unie a její ochrana osobních údajů – jaký je stav pacienta?
Zapisujete údaje do registru pacientů? A pokud ano, nezajišťuje náhodou správu dat nějaký subjekt mimo území EU? Nejste náhodou zapojeni do klinického hodnocení, u něhož se data zpracovávají mimo EU? Nepracujete náhodou jako správce informačního systému nemocnice a nesjednáváte právě nové cloudové úložiště? Pokud je vaše odpověď alespoň na některou otázku kladná, pak je toto zamyšlení určeno možná právě vám.
I když legislativa Evropské unie na ochranu osobních údajů jistě není centrálním tématem našeho zdravotnictví, bylo by chybou přehlížet její současný vývoj, který může mít výrazné dopady i na zdravotnický sektor. Takováto lehkovážnost se nám může vymstít tím, že přehlédneme důležité vývojové trendy, které se projeví v našem zdravotnictví o to citelněji, oč později si jich všimneme. Přitom měsíc říjen 2015 byl na signály těchto trendů velmi bohatý a málo z nich lze označit za povzbudivé.
Klíčovou událostí je rozsudek Soudního dvora EU, známý spíše pod jmény iniciátorů jako Maxmilian Schrems v. Data Protection Commissioner. Daný rozsudek zneplatňuje a činí nepoužitelným nejčastěji používaný mechanismus pro předávání osobních údajů do USA (praxe označovala tento mechanismus termínem „safe harbor“). Mechanismus tohoto „bezpečného přístavu“ umožňoval českým nemocnicím, lékařům, zkoušejícím, zkrátka všem zpracovatelům osobních údajů, aby tyto osobní údaje předávali svým partnerům v USA na základě celkem jednoduchého internetového ověření, že daný partner je na seznamu „spolehlivých“ příjemců a k předání údajů tedy dochází obrazně řečeno v bezpečném prostředí chráněného přístavu.
Na první pohled by se zdálo, že zneplatnění tohoto konkrétního mechanismu je pro zdravotnickou praxi okrajovou otázkou a malým problémem. Skutečný dopad tohoto rozhodnutí však plně doceníme až z makropohledu, až v okamžiku, kdy se podíváme na čísla. Ta jasně dokládají, že vitální část medicínských inovací, léčiv a zdravotnických prostředků proudí právě mezi USA a EU. Pěkně zpracovaná statistika je například zde: http://www.statista.com/statistics/ 265757/pharmaceutical‑industry‑ ‑eu‑trade‑partners‑in‑import/. Součástí tohoto proudu jsou nevyhnutelně i osobní údaje. Bez nich celý proud utichne. A právě daný rozsudek amputuje nejvýznamnější cestu, kterou mohly osobní údaje proudit. V důsledku tohoto rozsudku například každý z nikoli malého počtu českých lékařů zapojených do výzkumu léčiva či zdravotnického prostředku sponzorovaného americkým výrobcem má o problém navíc – musí řešit, zda náhodou není povinen změnit zaběhlý systém předávání údajů sponzorovi. Stejně tak každý sponzor (zadavatel klinického hodnocení) se musí zamýšlet nad otázkou, zda náklady na „compliance“ a vytvoření nového systému pořád ještě dávají ekonomicky smysl tomu, aby v dané studii pokračoval.
Uvedený rozsudek přitom – jak se dále pokusím ukázat – bohužel není ojedinělým úkazem na tomto poli. Současný vývoj se tak podobá počínání člověka, který se brání vnímanému nebezpečí střelbou, leč do vlastní nohy. Přináší s sebou riziko, že vinou nejasné a nejisté právní úpravy bude úroveň ochrany pro subjekty osobních údajů nižší a navíc ze strany okolního světa budeme vnímáni jako partner nepředvídatelný a rizikový, kterého je lepší ponechat i s jeho osobními údaji v jeho „splendid isolation“.
Dokonalost nebo smrt aneb stávající úprava a rozsudek ESD z 6. 10. 2015
Stávající zaběhlá a v oblasti zdravotnictví až dosud celkem bezproblémově fungující právní úprava ochrany osobních údajů je založena na směrnici 95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Tato unijní směrnice vymezuje pravidla pro ochranu osobních údajů, ale protože je přenesená do právních řádů jednotlivých členských států EU (včetně ČR) formou vnitrostátních zákonů, v praxi tuto směrnici téměř nikdo nečte (čte se jen text zákona).
Tuto směrnici však doplňuje několik rozhodnutí Komise EU, která umožňují například tak významnou operaci s osobními údaji, jako je jejich předávání i mimo území členských států EU. Tato rozhodnutí již – na rozdíl od uvedené směrnice – nejsou do vnitrostátních právních řádů členských států EU přepsána nijak, působí přímo a musíme tedy pracovat přímo s nimi samotnými.
Z těchto rozhodnutí mělo až donedávna klíčový praktický význam rozhodnutí Komise č. 2000/520/ES ze dne 26. 7. 2000, které umožňovalo díky pravidlům o tzv. bezpečném přístavu předávání údajů do USA. Soudní dvůr EU svým rozsudkem C‑362/14 ze dne 6. 10. 2015 ve věci Maxmilian Schrems v. Data Protection Commissioner rozhodl, že uvedené rozhodnutí č. 2000/520/ES je neplatné. Rozsudek je výmluvnou ukázkou toho, jak nebezpečné je nechat se zmýlit prvním dojmem a prvním čtením.
Po prvním přečtení je totiž lehké podlehnout pocitu, že daný rozsudek je právním vítězstvím EU nad mediálně známou slídivou činností amerických úřadů známou pod názvem „sledovací program PRISM“ (jen pro připomenutí – šlo o program vládního sledování elektronické komunikace). Při pozornějším studiu však uvedený rozsudek vypadá spíše jako ilustrativní ukázka toho, kam vede odsouvání problému do budoucnosti v naivní víře, že problém sám vyšumí do ztracena.
Již v roce 2013 totiž sama předkladatelka celého mechanismu „safe harbor“ (tzn. Komise EU) vydala sdělení o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU [pro zájemce jde o sdělení COM (2013) 847 final]. V tomto sdělení se velmi přímočaře uvádí, že „všechny společnosti zapojené do programu PRISM, které poskytují orgánům Spojených států přístup k údajům uchovávaným a zpracovávaným v USA, mají osvědčení o dodržování zásad ‚bezpečného přístavu‘, což ‚ze systému bezpečného přístavu učinilo jednu z cest, jejichž prostřednictvím mají orgány zpravodajství Spojených států přístup k shromažďování osobních údajů původně zpracovávaných v EU‘.“
Komise tedy již v roce 2013 sama celý systém safe harbor označila za nevěrohodný en bloc a celý jej provázala s aférou PRISM, nicméně namísto rázného a rychlého vytvoření odpovídající náhrady navrhla jen několik dílčích úprav. Nelze se tedy příliš divit tomu, že Soudní dvůr EU nebyl výsledným stavem nijak oslněn a nyní, o dva roky později, celé rozhodnutí Komise o bezpečných přístavech zrušil.
Další pozoruhodnou okolností je to, jaké jsou dopady tohoto rozsudku na reálný život a praxi. Tok dat mezi EU a USA se samozřejmě v důsledku tohoto rozsudku nezastaví (alespoň v to doufejme) a společnosti a jednotlivci budou namísto toho postupovat jinou cestou. Touto alternativní cestou bude téměř jistě cesta tzv. standardních smluvních doložek, která spočívá v tom, že ten, kdo bude chtít předávat osobní údaje do USA, si do smlouvy s příjemcem zkopíruje Komisí vytvořený vzor smluvního textu záruk a americký partner (jako příjemce údajů) se svým podpisem zaváže tyto záruky respektovat. Podrobné informace včetně textů jsou zde: http://ec.europa. eu/justice/data‑protection/international‑transfers/ transfer/index_en.htm.
Tato cesta ovšem objektivně jen stěží poskytne subjektům osobních údajů ochranu a záruky vyšší než právě metoda „bezpečného přístavu“. Spíše naopak. Výsledkem tedy je, že od 6. 10. 2015 je úprava osobních údajů předávaných do USA v objektivně horším stavu, než tomu bylo předtím, a jakýkoli český zdravotnický subjekt poskytující data do USA musí řešit to, na jakém právním základě a jak je může poskytovat.
Reformu dvakrát měř a jednou řež aneb návrh nového nařízení
Bylo by nespravedlivé tvrdit, že Komise EU byla a je v oblasti ochrany osobních údajů zcela bez aktivity. Ambice EU v oblasti ochrany osobních údajů se projevily v roce 2012, kdy spatřil světlo světa její návrh na tzv. obecné nařízení o ochraně osobních údajů. Tento návrh byl medializován jako „reforma právního rámce ochrany osobních údajů“. Původní návrh Komise z roku 2012 přinášel řadu progresivních myšlenek, včetně například usnadnění cesty pro sdílení dat shromažďovaných v oblasti klinického výzkumu (viz čl. 83 původního návrhu).
Ačkoli na webových stránkách Komise tento původní návrh stále ještě visí, legislativní cestou se z něj stalo něco zcela jiného a aktuální „kompromisní“ dokument zachycující současnou podobu této zákonodárné iniciativy (http:// data.consilium.europa.eu/doc/document/ ST‑9565‑2015‑INIT/en/pdf) obsahuje ustanovení poměrně nic neříkající. Například právě ohledně zpracování dat pro vědecké účely se v textu čl. 83 odst. 2 uvádí toto (jde o můj vlastní překlad, ale obávám se, že chyba není v překladu): Dostatečné záruky uvedené v odstavcích 1 a 1 budou stanoveny v právu EU nebo v právu členských států a zajistí, aby se na údaje vztahovaly technologické a/nebo organizační prostředky ochrany podle tohoto nařízení, které budou minimalizovat zpracování osobních údajů za dodržení zásad proporcionality a nezbytnosti, jako jsou pseudonymizace dat, s výjimkou případů, kdy by tato opatření bránila dosažení účelu zpracování a tento účel není možné dosáhnout jinak přiměřenými prostředky.
To je hezky vyjádřené přání, nikoli však konkrétní a srozumitelná právní norma použitelná v praxi. Obávám se proto, že ani zde na lepší zítřky nesvítá.
Hlavně žádné mýty aneb osobní údaje si dokážeme chránit jen u nás v Evropě
Celá výše popsaná neveselá situace je o to paradoxnější, že v Evropské unii žijeme s pocitem určité kulturní nadřazenosti a s představou, že jinde (zejména v USA) osobní údaje nejsou chráněny vůbec anebo podstatně méně než u nás. Tento předpojatý přístup však může vést špatným směrem.
Ochrana osobních údajů je i mimo EU předmětem jak velmi kvalitní odborné diskuse, tak i celkem inspirativního právního rámce. Příkladů je mnoho, zájemci se mohou podívat například na stránky federálního ministerstva zdravotnictví (http://www.hhs.gov/ocr/privacy/).
Ačkoli není možné věnovat se tomuto tématu do hloubky, i jen krátké srovnání standardu platného v USA a standardu EU může napovědět, že:
| v USA jsou informace o zdravotním stavu chráněny tzv. HIPAA legislativou, zejména ministerskými vyhláškami označovanými jako tzv. Privacy Rule a Security Rule,
| tato legislativa platí uniformně ve všech státech federace a uživatel tedy vystačí s jejich znalostí (na rozdíl od směrnice EU, která se přenáší do zákonů jednotlivých členských států EU a uživatel si tedy ve výsledku musí přečíst 28 zákonů jednotlivých států namísto jedné směrnice),
| úprava zahrnuje i poměrně inovativní a flexibilní nástroje umožňující snazší realizaci výzkumu a vývoje (viz například institut „IRB waiver of HIPAA authorization“ – postačí zadat do internetového vyhledávače).
Závěr
Účelem tohoto článku nebylo připojit se k módní vlně kritizující neschopnost Evropské unie. Unii vděčíme jako stát za mnoho. Cílem tohoto zamyšlení bylo poukázat na poznatek, který je zdravotnictví poměrně dobře znám: neléčit nemoc, o které víme, je nezodpovědné. Pokud chceme chránit osobní údaje předávané do zahraničí, pak je dobré udělat to kvalitně a tak, aby se z nás nestal ostrov izolovaný od zbytku světa. Současný vývoj však nedává mnoho nadějí k optimismu, že tímto směrem míříme.
Zdroj: