RCL opublikowało projekt rozporządzenia ministra zdrowia w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinny spełniać aplikacje mobilne służące do przesyłania danych zawartych w informacji o wystawionej recepcie oraz sposobu wymiany informacji w postaci elektronicznej między Internetowym Kontem Pacjenta i aplikacjami mobilnymi. Poniżej zamieszczamy uzasadnienie projektu.
Niniejszy projekt rozporządzenia stanowi wykonanie upoważnienia zawartego w art. 96b ust. 2e ustawy z dnia 6 września 2001 r. – Prawo farmaceutyczne (Dz. U. z 2020 r. poz. 944, z późn. zm.).
Projektowane rozporządzenie określa szczegółowe warunki organizacyjne i techniczne, które powinny spełniać aplikacje mobilne służące do przesyłania danych dotyczących informacji o wystawionej recepcie oraz sposób wymiany informacji w postaci elektronicznej między Internetowym Kontem Pacjenta, o którym mowa w art. 7a ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2020 r. poz. 702, z późn. zm.), zwanym dalej „IKP”, i aplikacjami mobilnymi, mając na uwadze konieczność zapewnienia szybkiego i bezpiecznego dostępu użytkowników aplikacji mobilnych do informacji o wystawionej recepcie oraz bezpieczeństwa danych przetwarzanych w aplikacjach mobilnych użytkowanych przez pacjenta.
Projektowane rozporządzenie dookreśla zatem szczegóły korzystania z nowego kanału komunikacji, w ramach którego pacjent może otrzymać uproszczoną informację o recepcie wystawionej w postaci elektronicznej, polegającego na przekazywaniu informacji o wystawionej recepcie do aplikacji mobilnych. Rozwój nowych technologii umożliwia bowiem w chwili obecnej poszerzanie kanałów komunikacji z pacjentem. Przedmiotowy sposób komunikacji byłby stosowany na żądanie pacjenta wyrażone w IKP, a jego wybór jednocześnie wiązałby się z tym, że pacjent nie otrzymywałby już analogicznych wiadomości SMS. Ponadto w świetle powyższego warto podkreślić, iż sposób, w jaki pacjentowi będą dostarczane informacje o wystawionej recepcie, będzie wynikiem jego autonomicznej decyzji w tym zakresie.
Informację o wystawionej recepcie IKP może przekazać przede wszystkim wyłącznie do aplikacji mobilnej wykorzystującej profil zaufany lub obsługiwanej przez systemy korzystające z usług sieciowych wykorzystujących profil zaufany, o których mowa w art. 19c ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346, z późn. zm.).
Co istotne, aby pacjent mógł korzystać z aplikacji mobilnej informującej go o wystawieniu recepty, aplikacja ta musi spełniać szereg warunków organizacyjnych i technicznych określonych m.in. w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, z późn. zm.), zwanym dalej „RODO”. Przede wszystkim musi zagwarantować odpowiednio wysoki poziom zabezpieczenia danych osobowych przetwarzanych w aplikacji mobilnej przed dostępem osób nieupoważnionych.
Podstawowym sposobem zabezpieczenia danych w świetle RODO jest pseudonimizacja danych i ich szyfrowanie, które domyślnie powinny stosować podmioty przetwarzające dane dotyczące zdrowia. Następnie aplikacja mobilna przetwarzającą tę kategorię danych powinna także zagwarantować:
1) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
2) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
3) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Dane pacjenta przetwarzane w aplikacji mobilnej mogą być wykorzystywane wyłącznie do zrealizowania przez pacjenta recepty, a zatem cel przetwarzania danych osobowych w aplikacji nie może zostać zmieniony (np. na cele związane marketingiem usług zdrowotnych), nawet za zgodą osoby, której dane będą przetwarzane w tej aplikacji.
Równolegle aplikacja mobilna musi również zapewniać:
1) rozliczalność, rozumianą jako przypisanie określonego działania w systemie teleinformatycznym obsługującym aplikację do osoby fizycznej lub procesu oraz umiejscowienie ich w czasie;
2) integralność, autentyczność i poufność danych identyfikacyjnych i uwierzytelniających użytkownika;
3) codzienną synchronizację czasu systemowego z czasem uniwersalnym koordynowanym UTC(PL);
4) spełnienie wymagań dla zadeklarowanych poziomów bezpieczeństwa środków identyfikacji elektronicznej;
5) przejść testy integracyjne zakończone wynikiem pozytywnym, potwierdzające interoperacyjność systemów identyfikacji elektronicznej.
Podłączenie aplikacji mobilnej do IKP będzie następować po potwierdzeniu przez Centrum e-Zdrowia spełnienia przez system teleinformatyczny obsługujący tę aplikację wskazanych w rozporządzeniu wymagań.
Projektowane rozporządzenie wejdzie w życie z dniem 1 stycznia 2021 r., wraz z dniem wejścia w życie przepisu zawierającego delegację ustawową do wydania rozporządzenia.
Proponowany termin wejścia w życie nie narusza zasady demokratycznego państwa prawnego. Zgodnie z art. 4 ust. 2 ustawy z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i niektórych innych aktów prawnych (Dz. U. z 2019 r. poz. 1461) w uzasadnionych przypadkach akty normatywne mogą wchodzić w życie w terminie krótszym niż czternaście dni, a jeżeli ważny interes państwa wymaga natychmiastowego wejścia w życie aktu normatywnego i zasady demokratycznego państwa prawa nie stoją temu na przeszkodzie, dniem wejścia w życie może być dzień ogłoszenia tego aktu w dzienniku urzędowym. Proponowany termin jest uzasadniony koniecznością jak najszybszego zabezpieczenia sprawnej realizacji zaspokajania potrzeb zdrowotnych społeczeństwa.
Projekt rozporządzenia nie będzie miał wpływu na działalność mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.
Projekt rozporządzenia nie podlega procedurze notyfikacji w rozumieniu przepisów rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. poz. 2039 oraz z 2004 r. poz. 597).
Projekt rozporządzenia nie wymaga przedstawienia właściwym organom i instytucjom Unii Europejskiej, w tym Europejskiemu Bankowi Centralnemu, w celu uzyskania opinii, dokonania powiadomienia, konsultacji albo uzgodnienia.
Projekt rozporządzenia nie jest sprzeczny z prawem Unii Europejskiej.
Jednocześnie należy wskazać, że nie ma możliwości podjęcia alternatywnych w stosunku do projektowanego rozporządzenia środków umożliwiających osiągnięcie zamierzonego celu.
Źródło: RCL
