Identyfikacja elektroniczna i usługi zaufania w e-zdrowiu

Istotnym elementem e-zdrowia jest infrastruktura zaufania oraz zapewnienie interopera-cyjności systemów identyfikacji elektronicznej, wykorzystywanych do uwierzytelniania osób w usługach online. Na gruncie europejskim, z 1 lipca 2016 r. weszły w życie przepisy rozpo-rządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektro-nicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

18 Dz. U. z 2016 r. poz. 186, z późn. zm.

19 Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483, z późn. zm.)

20 A. Gryszczyńska, Struktura tajemnic [w:] G. Szpor (red.), Jawność i jej ograniczenia, Warszawa 2014, s. 183.

21 Dz. U. z 2015 r. poz. 464, z późn. zm.

22 Dz. U. z 2014 r. poz. 332, z późn. zm.

23 Dz. U. z 2014 r. poz. 1429, z późn. zm.

24 Dz. U. z 2014 r. poz. 1435, z późn. zm.

25 Dz. U. z 2014 r. poz. 1184, z późn. zm.

oraz uchylające dyrektywę 1999/93/WE²⁶. Z kolei na gruncie polskim, od 7 października zaczęła obowiązywać ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektro-nicznej²⁷, która uchyliła ustawę z dnia 18 września 2001 r. o podpisie elektronicznym²⁸. Rozpo-rządzenie eIDAS oraz nowa ustawa, wprowadza nowe rozwiązania prawne, niektóre modyfikuje ale i wprowadza domniemania prawne, które będą miały pierwszeństwo przed regulacjami krajowymi. W rozdziale zostaną omówione narzędzia prawno-informatyczne mające wpływ na rozwój dziedziny e-zdrowie, są to m.in.: podpis elektroniczny, pieczęć elektroniczna, znacznik elektroniczny, rejestrowane doręczenie, dokument elektroniczny.

Rozporządzenie eIDAS wpisuje się w cele dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE²⁹. Na mocy dyrektywy, ustanowiona sieć organów krajowych odpowiedzialnych za e-zdrowie, musi opracować wytyczne w sprawie transgranicznego dostępu do danych i usług.

Zapewnienie wzajemnego uznawania elektronicznych środków identyfikacji i uwierzytelniania, ułatwi przenaszalność danych, zwiększając bezpieczeństwo i ciągłość transgranicznej opieki zdrowotnej. Powinno także, przy uwierzytelnianiu usług online, respektować zasady dotyczą-ce ochrony danych osobowych przewidzianych w dyrektywie 95/46/WE³⁰. Zasada wzajemnego uznawania dotyczy przetwarzania tylko tych danych identyfikacyjnych, które są adekwatne, wła-ściwe i nie wykraczają poza cele przyznania dostępu do danej usługi online.

W rozporządzeniu eIDAS wprowadza się trzy rodzaje podpisów elektronicznych:

• podpis elektroniczny (dane w postaci elektronicznej, które są dołączone lub logicznie po-wiązane z innymi danymi w postaci elektronicznej, użyte przez osobę fizyczną jako podpis),

• zaawansowany podpis elektroniczny (brak odpowiednika w dotychczasowym polskim porządku prawnym, jest to podpis elektroniczny, który spełnia wymogi określone w art.

26 rozporządzenia eIDAS),

• kwalifikowany podpis elektroniczny (zgodnie z art. 131 jest odpowiednikiem bezpiecz-nego podpisu elektroniczbezpiecz-nego weryfikowabezpiecz-nego za pomocą ważbezpiecz-nego kwalifikowabezpiecz-nego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym).

Kwalifikowany podpis elektroniczny nie musi się składać z urządzenia i oprogramowania (tokenu i oprogramowania), ale może się w pełni opierać na rozwiązaniach programistycznych

26 Dz. Urz. UE L 257 z 2014, s. 109. Rozporządzenie, ze względu na pewność i przejrzystość prawa, poprzez art. 50 ust. 1 uchyliło dyrektywę Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych z dniem 1 lipca 2016 r., z kolei poprzez art. 52 ust. 2 wyznaczyło datę stoso-wania nowych przepisów. Dziesięcioletni okres obowiązystoso-wania dyrektywy 1999/93/WE, nie zapewnił szczegółowych ram transgranicznych i międzysektorowych, które odnosiłyby się do bezpiecznych, wiarygodnych i łatwych do realizacji transakcji elektronicznych.

27 Dz. U. z 2016 poz. 1579.

28 Dz. U. z 2013 r. poz. 262, z 2014 r. poz. 1662 oraz z 2015 r. poz. 1893.

29 Dz. Urz. UE L 88 z 2011, s. 45. Dyrektywa Parlamentu Europejskiego i Rady z dnia 9 marca 2011 r. w sprawie stosowania prawa pacjentów w transgranicznej opiece zdrowotnej.

30 Dz. Urz. UE L 281, z 1995, s. 31. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.

w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

(czyli o samo oprogramowanie) i być uruchamiany poprzez użycie loginu i hasła. Takie rozwią-zanie wychodzi naprzeciw istniejącym potrzebom oraz ułatwi, a w wielu przypadkach umożliwi podpisywanie dokumentów z urządzeń mobilnych³¹.

Rozporządzenie eIDAS w art. 25 zrównało podpis własnoręczny i kwalifikowany nie. Dotychczasowa polska regulacja w art. 5 ust. 2 wskazywała, że dane w postaci elektronicz-nej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Obecnie, zgodnie z art 25 ust. 1 podpisowi elektronicznemu nie można odmówić skutku prawnego wy-łącznie z tego powodu, że podpis ma postać elektroniczną. Z kolei regulacja art. 25 ust. 3 wyraź-nie wskazuje, że kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wy-danym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich.

Nowym narzędziem, nieistniejącym dotychczas ani w dyrektywie 1999/93/WE, ani w usta-wie z dnia 18 września 2001 r. o podpisie elektronicznym, jest wprowadzona w art. 35 rozpo-rządzenia eIDAS – pieczęć elektroniczna, która służy dla opatrywania dokumentów przez osoby prawne. Wprowadza się trzy rodzaje pieczęci elektronicznych:

• pieczęć elektroniczna (dane w postaci elektronicznej dodane do innych danych w po-staci elektronicznej lub logicznie z nimi powiązane, w celu zapewnienia autentyczności i integralności),

• zaawansowana pieczęć elektroniczna (spełnia wymogi określone w art 36 rozporządze-nia eIDAS),

• kwalifikowana pieczęć elektroniczna (oznacza zaawansowaną pieczęć elektroniczną, zo-stała złożona za pomocą kwalifikowanego urządzenia do składania pieczęci elektronicz-nej i opiera się na kwalifikowanym certyfikacie pieczęci elektroniczelektronicz-nej).

Rozporządzenie eIDAS w sekcji 6 wprowadza ponadto elektroniczny znacznik czasu, czyli dane w postaci elektronicznej, które wiążą inne dane w postaci elektronicznej z określonym czasem, stanowiąc dowód na to, że te dane istniały w danym czasie, oraz kwalifikowany elektro-niczny znacznik czasu. W art. 41 wskazuje na domniemanie dokładności daty i czasu z integral-nością danych.

Nowością w rozporządzeniu eIDAS jest usługa rejestrowanego doręczenia elektronicznego, zawarta w sekcji 7. Jest to usługa umożliwiająca przesłanie danych między stronami trzecimi drogą elektroniczną i zapewniająca dowody związane z posługiwaniem się przesłanymi dany-mi, w tym dowód wysłania i otrzymania danych, oraz chroniąca przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub jakiejkolwiek nieupoważnionej zmiany. To narzędzie również korzysta z domniemania (art. 43 ust. 2).

31 D. Szostek, Rozporządzenie eIDAS – dokąd zmierzamy?, „radca.pl” 2016, nr 2 (10), s. 22.

Parlament Europejski i Rada Unii Europejskiej podkreśliły ważność dokumentu elektronicz-nego, dla rozwoju usług transgranicznych. W rozporządzenie eIDAS wprowadzono definicję do-kumentu elektronicznego, która oznacza każdą treść przechowywaną w postaci elektronicznej, w szczególności tekst lub nagranie dźwiękowe, wizualne lub audiowizualne. Zgodnie z art. 46 nie może być kwestionowany skutek prawny dokumentów elektronicznych, z powodu postaci elektronicznej.

W krajowym porządku prawnym doszło do zmian, m.in.: w ustawie z dnia 27 lipca 2001 r. o dia-gnostyce laboratoryjnej³², w ustawie z dnia 6 września 2001 r. - Prawo farmaceutyczne³³, w ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicz-nych³⁴, w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia³⁵.