Organizacja i zakres działania systemu ochrony zdrowia w Polsce wynika bezpośrednio z art. 68 Konstytucji, który zapewnia wszystkim obywatelom ochronę zdrowia poprzez równy dostęp do świadczeń ochrony zdrowia finansowanych ze środków publicznych [Konstytucja Rzeczypospolitej Polskiej z dn. 2 kwietnia 1997 r.]. Główny ciężar organiza-cji ochrony zdrowia przypada na jednostki samorządu terytorialnego (m.in. na poziomie podstawowej opieki zdrowotnej, ambulatoryjnej opieki specjalistycznej oraz opieki szpi-talnej) zaś podstawą jej finansowania są środki publiczne (np. składki zdrowotne obywa-teli odprowadzane za pośrednictwem Narodowego Funduszu Zdrowia, środki budżetu państwa oraz środki własne jednostek samorządu terytorialnego). Sposób finansowania świadczeń zdrowotnych wynika m.in. z ustawy o świadczeniach opieki zdrowotnej finan-sowanych ze środków publicznych [Ustawa z dnia 27 lipca 2004 r. o świadczeniach opie-ki zdrowotnej finansowanych ze środków publicznych, Dz. U. z 2004 r. Nr 210 poz. 2135], ustawy o działalności leczniczej [Ustawa z dnia 15 kwietnia 2011 r. o działalności leczni-czej, Dz. U. z 2011 r. Nr 112 poz. 654] oraz ustaw „ustrojowych” samorządu terytorialne-go: ustawy o samorządzie gminnym [Ustawa z dnia 8 marca 1990 r. o samorządzie gmin-nym, Dz. U. z 1990 r. Nr 16 poz. 95], ustawy o samorządzie powiatowym [Ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym, Dz. U. z 1998 r. Nr 91 poz. 578], ustawy o samorządzie województwa [Ustawa z dnia 5 czerwca 1998 r. o samorządzie wojewódz-twa, Dz. U. z 1998 r. Nr 91 poz. 576].
Samorząd Województwa Łódzkiego (SWŁ), realizując swoje zadania wynikające z art. 14.1 ustawy o samorządzie województwa, na koniec czerwca 2017 r., prowadził 10
szpi-placówki podległe SWŁ zapewniają ponad połowę łóżek szpitalnych w regionie (6248 z 12 573), 295 miejsc w oddziałach dziennych oraz 40 stanowisk dializ [BSMZ 2017, s. 72, RSI 2018]. Oznacza to, że przy średnim obłożeniu w regionie, które wynosi 47,3 osoby na łóżko, daje to ok. 250 000 pacjentów przebywających w samych oddziałach szpitalnych, a razem z poradniami przyszpitalnymi i ratownictwem medycznym ponad 1,5 mln osób, których dane osobowe (w tym dane wrażliwe) trafiają do systemów informatycznych działających w placówkach ochrony zdrowia podległych SWŁ [BSMZ 2017, s. 65].
Wyniki badania
Spośród 13 podmiotów biorących udział w badaniu, 10 wyraziło zgodę na przeprowa-dzenie wywiadu. Odpowiadając na pytanie dotyczące określenia stopnia przygotowania do wprowadzenia zmian wynikających z RODO, 6 respondentów określiło ten stopień na 3, 3 respondentów określiło ten stopień na 2, a 1 respondent wskazał najniższy stopień. Wyniki te zostały przedstawione na wykresie (zob. rysunek 1). Żaden z respondentów nie wskazał wyższych stopni, tj. 4 lub 5.
· Centrum Systemów Informatycznych Ochrony Zdrowia (CSIOZ) – działania informa-cyjne: analizy, materiały szkoleniowe dla grup personelu;
· Urząd Marszałkowski – zespół audytu;
· Generalny Inspektor Ochrony Danych Osobowych (GIODO) – wymagania.
Należy zauważyć, że 4 respondentów potwierdziło, że nie otrzymało żadnego wspar-cia ze strony organów nadrzędnych, natomiast 3 wskazywało, że były podejmowane próby uzyskania takiego wsparcia, ale zakończyły się one niepowodzeniem.
Za największe problemy przy wdrażaniu zmian wynikających z RODO responden-ci uważają: brak wystarczających środków finansowych; brak odpowiedniej liczby osób, które mają być odpowiedzialne za bezpieczeństwo danych osobowych; zmienność i niejasność przepisów prawa; przeszkolenie wszystkich pracowników oraz uświadomie-nie im skali zagrożenia; oszacowauświadomie-nie wszystkich danych; negocjacje związane z przeuświadomie-nie- z przenie-sieniem odpowiedzialności na producenta bądź firmę serwisową; niechęć pracowników do wprowadzania zmian. Odpowiedzi respondentów zostały przedstawione na wykre-sie (zob. rysunek 2).
Rysunek 2. Największe problemy przy wdrażaniu zmian wynikających z RODO zgło-szone przez respondentów
Podsumowanie
Na podstawie wyników przeprowadzonego badania można wnioskować, że badane podmioty będą miały duży problem z wdrożeniem zmian wynikających z RODO w wy-maganym terminie. Nadal trwają prace nad nową ustawą o ochronie danych osobowych [RCL 2018] oraz kodeksem branżowym dla sektora ochrony zdrowia [RCL 2018, CSIOZ 2017, Najbuk 2017a]. Nie ulega jednak wątpliwości, że wszystkie te działania są podej-mowane zbyt późno. Jak wynika z badań, podmioty mogą liczyć na wsparcie ze stro-ny organów nadrzędstro-nych jedynie w zakresie działań informacyjstro-nych i audytowych. Jako największe problemy przy wdrażaniu wskazują najczęściej: brak zasobów finansowych i ludzkich, bariery świadomościowe, niejasność i fluktuację prawa. Wyniki te są zbież-ne m.in. z wynikami badań prowadzonych przez Centrum Systemów Informatycznych Ochrony Zdrowia [Najbuk 2017b].
Bibliografia
BSMZ – „Biuletyn Statystyczny Ministerstwa Zdrowia” (2017), [online] https://www.csioz.gov.pl/ fileadmin/user_upload/statystyka/biuletyn_2017_5a2e86b48fba0.pdf, dostęp: 15.01.2018. BSI (2017), Reforma UE w zakresie ochrony danych osobowych. Wprowadzenie i omówienie zmian, materiały szkoleniowe firmy BSI.
CSIOZ – Centrum Systemów Informacyjnych Ochrony Zdrowia (2017), Spotkanie dotyczące ko-deksu branżowego dla sektora ochrony zdrowia [online], https://www.csioz.gov.pl/aktualnosci/ szczegoly/spotkanie-dotyczace-kodeksu-branzowego-dla-sektora-zdrowia/, dostęp: 01.12.2017.
Czarnuch M. (2017), Ogólne Rozporządzenie o Ochronie Danych. Nowe wyzwanie regulacyjne
[online], http://forum2017.forumezdrowia.pl/wp-content/uploads/2017/09/FeZ-20170914-T.1. 2.2-Michal-Czarnuch-Prezentacja-RODO-Nowe-wyzwanie-regulacyjne.pdf, dostęp: 01.12.2017. „Gazeta Prawna” (2017a), Wielka Brytania: Cyberatak na NHS częścią międzynarodowego ataku
[onli-Gellert R. (2018), Understanding the Notion of Risk in the General Data Protection Regulation,
„Computer Law & Security Review”, vol. 34, issue 2.
GIODO (2017), Po kontroli GIODO związanej z wyciekiem danych osobowych, szpital wdraża środki naprawcze [online], http://giodo.gov.pl/pl/1520301/10175, dostęp: 01.12.2017.
Krystlik J. (2017), With GDPR, Preparation is Everything, „Computer Fraud & Security”, issue 6. Lisiak-Felicka D., Zajdel-Całkowska J., Zajdel R. (2017), Wybrane aspekty zarządzania bezpie-czeństwem informacji w podmiotach prowadzących działalność leczniczą, „Przedsiębiorczość i Za-rządzanie”, t. XVIII, z. 4, cz. 2.
Najbuk P. (2017a), RODO – Kodeks postępowania dla sektora ochrony zdrowia [online], https://www.
piit.org.pl/__data/assets/pdf_file/0015/6144/2017-07-23-RODO-DZP.pdf, dostęp: 01.12.2017.
Najbuk P. (2017b), RODO w sektorze ochrony zdrowia – gdzie jesteśmy i dokąd zmierzamy?, [online]
https://konferencja.csioz.gov.pl/wp-content/uploads/2017/08/Implementacja-RODO-w-sektorze-zdrowia-gdzie-jeste%C5%9Bmy-i-dok%C4%85d-zmierzamy.pptx.pdf, dostęp: 08.01.2018.
O’Connor Y., Rowan W., Lynch L. i in. (2017), Privacy by Design: Informed Consent and Internet of Things for Smart Health, „Procedia Computer Science”, vol. 113.
PWC (2017), 10 najważniejszych zmian, które wprowadza RODO [online], https://www.pwc.pl/pl/ artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html, dostęp: 01.12.2017. RSI – Regionalny Serwis Informacyjny (2018), Jednostki podległe [online], http://www.zdrowie. lodzkie.pl/zadania-departamentu/jednostki-podlegle, dostęp: 15.01.2018.
RCL – Rządowe Centrum Legislacji (2018), Projekt ustawy o ochronie danych osobowych [online], https://legislacja.rcl.gov.pl/projekt/12302950, dostęp: 08.01.2018.
Zaufanatrzeciastrona.pl (2017a), Wyciek danych wrażliwych 50 tysięcy pacjentów polskiego szpita-la [online], https://zaufanatrzeciastrona.pl/post/wyciek-danych-wrazliwych-50-tysiecy-pacjentow-polskiego-szpitala/, dostęp: 01.12.2017.
Zaufanatrzeciastrona.pl (2017b), Poważny błąd w aplikacji LUX MEDu – czaty z lekarzem mogli czy-tać inni użytkownicy [online], https://zaufanatrzeciastrona.pl/post/powazny-blad-w-aplikacji-lux-medu-czaty-z-lekarzem-mogli-czytac-inni-uzytkownicy/, dostęp: 01.12.2017.
Zerlang J. (2017), GDPR: A Milestone in Convergence for Cyber-security and Compliance, „Network
Security”, issue 6.
Akty prawne
Konstytucja Rzeczypospolitej Polskiej z dn. 2 kwietnia 2007 r.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogól-ne rozporządzenie o ochronie danych), [onli(ogól-ne] http://eur-lex.europa.eu/legal-content/PL/TXT/ PDF/?uri=CELEX:32016R0679&from=PL, dostęp: 15.12.2017.
Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej, Dz. U. z 2011 r. Nr 112 poz. 654. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. z 2016 r. poz. 922. Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym, Dz. U. z 1990 r. Nr 16 poz. 95. Ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym, Dz. U. z 1998 r. Nr 91 poz. 578. Ustawa z dnia 5 czerwca 1998 r. o samorządzie województwa, Dz. U. z 1998 r. Nr 91 poz. 576. Ustawa z dnia 27 lipca 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków