Rada Legislacyjna

Rada Legislacyjna                                                                                                   2025-04-07

            przy

Prezesie Rady Ministrów

      RL.460.4.2025

(Minister Zdrowia)

Opinia o rządowym projekcie ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia

 

I. Uwagi ogólne

 

1. [Przedmiot niniejszej opinii] Przedmiotem niniejszej opinii jest rządowy projekt ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia (dalej: „Projekt”), w jego wersji z dnia 24 marca 2025 r., podany do publicznej wiadomości (tj. opublikowany na stronie internetowej Rządowego Centrum Legislacji) w dniu 25 marca 2025 r.^[1] Projekt został przygotowany przez Ministra Zdrowia, zaś dotycząca Projektu niniejsza opinia została opracowana i przyjęta przez Radę Legislacyjną z jej własnej inicjatywy, w ramach wykonania przez nią jej ustawowych zadań.^[2]

2. [Ogólna charakterystyka treści Projektu] Projekt przewiduje dokonanie zmian legislacyjnych w przepisach art. 5 i art. 24 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia[3] (dalej: „Ustawa”). Zmiany te polegają na zastąpieniu funkcjonującego obecnie na podstawie Ustawy „Systemu Ewidencji Zasobów Ochrony Zdrowia” (o którym jest mowa w art. 5 ust. 1 pkt 2 lit. c) oraz w art. 24 Ustawy) zupełnie nowym systemem w postaci „Systemu Ewidencji Potencjału Świadczeniodawcy”, zwanym w Projekcie oraz w niniejszej opinii „EPS” lub „systemem EPS” (o EPS jest mowa w art. 5 ust. 1 pkt 2 lit. c) oraz w art. 24 Ustawy w brzmieniu przewidzianym w art. 1 Projektu). Oprócz wspomnianych merytorycznych zmian legislacyjnych przewidzianych w art. 1 Projektu i dotyczących (systemu) EPS, Projekt zawiera przepisy przejściowe (art. 2 Projektu) oraz przepis o wejściu w życie (art. 3 Projektu).

3. [Ogólna ocena Projektu] Rada Legislacyjna pozytywnie opiniuje Projekt, wnosząc równocześnie o rozważenie wprowadzenia w jego treści – w toku dalszych prac legislacyjnych – stosownych poprawek omówionych w niniejszej opinii. Sama koncepcja stworzenia EPS i jego normatywnego unormowania w Ustawie jest pomysłem niezwykle zasadnym merytorycznie oraz wychodzącym naprzeciw realnie istniejącym potrzebom i oczekiwaniom w polskim systemie ochrony zdrowia. EPS – który będzie jednym z tzw. dziedzinowych systemów teleinformatycznych, o których jest mowa w Ustawie[4] – ma w swoim założeniu gromadzić informacje o usługodawcach, czyli o podmiotach wykonujących różnego rodzaju świadczenia w dziedzinie ochrony zdrowia (m. in. wykonujących działalność leczniczą, udzielających świadczeń zdrowotnych lub prowadzących aptekę), a także o ich szeroko rozumianym potencjale w zakresie wykonywanej w tym względzie działalności, znajdującym odzwierciedlenie w ich pracownikach medycznych, infrastrukturze, wyrobach medycznych czy innych szczegółowo określonych ich składnikach i związanych z nimi okolicznościach, tak aby dzięki wspomnianym informacjom monitorować tychże usługodawców oraz ich potencjał w czasie rzeczywistym (zob. art. 24 ust. 1 i 2 Ustawy w brzmieniu przewidzianym w Projekcie). W tym kontekście w uzasadnieniu Projektu stwierdza się, że celem EPS jest „zapewnienie możliwości monitorowania zasobów usługodawców w czasie rzeczywistym (w sposób zautomatyzowany), w szczególności w zakresie infrastruktury, łóżek szpitalnych, pracowników medycznych, wyrobów medycznych, środków ochrony indywidualnej, gazów medycznych oraz możliwości udzielania świadczeń opieki zdrowotnej (częściowym lub całkowitym) w celu zapewnienia wsparcia procesu decyzyjnego oraz możliwości reagowania w sytuacjach kryzysowych przez Ministra Zdrowia i organy terenowej administracji rządowej oraz podejmowania działań planistycznych w ramach Krajowego Planu Zarządzania Kryzysowego i przygotowań obronnych” (uzasadnienie Projektu, ss. 2-3).[5] Jak wynika z cytowanego fragmentu uzasadnienia Projektu, cele EPS mają być stosunkowo wszechstronne i daleko idące. Co prawda projektowany art. 24 ust. 1 in fine Ustawy (w brzmieniu przewidzianym w Projekcie) jako cel funkcjonowania EPS wskazuje samo tylko „monitorowanie” usługodawców i ich potencjału („EPS jest systemem teleinformatycznym, w którym są gromadzone aktualne informacje […] w celu ich monitorowania w czasie rzeczywistym”), ale z przywołanego wyżej fragmentu uzasadnienia Projektu jasno wynika, że cele EPS mają być w istocie znacznie szersze i ambitniejsze: ma to być mianowicie system informatyczny monitorujący usługodawców i ich potencjał, ale nie wyłącznie dla samego tylko gromadzenia czy przetwarzania stosownych danych i informacji (czyli bynajmniej nie ma to być cel sam w sobie), ale po to, aby na bazie przetwarzanych w EPS danych i informacji móc podejmować następnie określone decyzje w zakresie funkcjonowania w Polsce systemu ochrony zdrowia i udzielanych świadczeń zdrowotnych (także w konkretnych pojedynczych przypadkach) oraz by móc na tej podstawie adekwatnie reagować w sytuacjach kryzysowych lub zapobiegawczo przygotowywać się do wystąpienia sytuacji kryzysowych oraz by w oparciu o te dane prowadzić również przygotowania obronne (w dziedzinie obronności Państwa). To, że EPS ma służyć nie samemu tylko monitorowaniu jako takiemu, ale ma być wykorzystywany do podejmowania na tej bazie stosownych działań zarządczo-decyzyjnych, wynika zresztą ze względów wykładni systemowej wewnętrznej (aczkolwiek szkoda, że nie wynika to literalnie z brzmienia projektowanego przepisu art. 24 ust 1 in fine Ustawy, co niewątpliwie jest pewnym mankamentem tego przepisu). Mianowicie, cały uregulowany w Ustawie system informacji w ochronie zdrowia – a EPS ma być tylko jednym z elementów tego systemu – ma służyć do przetwarzania danych niezbędnych do prowadzenia polityki zdrowotnej państwa, podnoszenia jakości i dostępności świadczeń opieki zdrowotnej oraz finansowania zadań z zakresu ochrony zdrowia (zob. art. 1 ust. 1 i art. 5 Ustawy). Tym samym EPS ma dostarczać informacji i wiedzy, na podstawie których podejmowane będą decyzje (o różnym zresztą charakterze prawnym i w ramach bardzo zróżnicowanych procedur) wpływające istotnie na funkcjonowanie w Polsce systemu ochrony zdrowia, zarówno w pojedynczych przypadkach, jak też na płaszczyźnie ogólnosystemowej.

Takie właśnie szersze cele EPS wynikają też z innych fragmentów uzasadnienia Projektu, w których jest mowa o istniejących obecnie w polskim systemie ochrony zdrowia deficytach wiedzy dotyczących rzeczywistego i aktualnego potencjału poszczególnych usługodawców (świadczeniodawców) w zakresie udzielanych przez nich świadczeń. Otóż deficyty te – tam, gdzie istnieją – nie pozwalają w pełni racjonalnie i efektywnie podejmować decyzji w poszczególnych sytuacjach, gdy zagrożone jest zdrowie lub życie pacjenta i gdy w szczególności jednostka systemu Państwowego Ratownictwa Medycznego musi skutecznie skierować karetkę z pacjentem do miejsca, gdzie wykonanie zabiegu będzie w danej chwili możliwe. Obecnie zdarza się, że jednostki systemu Państwowego Ratownictwa Medycznego nie dysponują aktualnymi informacjami o kluczowym wyposażeniu usługodawców (np. o tomografie, rezonansie magnetycznym, lądowisku, windzie, lub o braku możliwości bezpiecznego transportu zaintubowanego pacjenta itp.), w tym o awariach tego wyposażenia lub o jego niedostępności z innych powodów, co oczywiście bardzo negatywnie wpływa na możliwość skutecznego udzielania pomocy medycznej i świadczeń zdrowotnych. Brak tego rodzaju informacji jest zresztą niekorzystny nie tylko w pojedynczych przypadkach (tj. przy okazji konkretnych zdarzeń), ale także z punktu widzenia ogólnosystemowego, chociażby dlatego, że owe deficyty wiedzy utrudniają centralne lub lokalne zarządzanie kryzysowe, tj. podejmowanie działań zabezpieczających na wypadek sytuacji kryzysowych, a także komplikują skuteczne podejmowanie działań związanych z obronnością (zob. uzasadnienie Projektu, ss. 1-2).

 W świetle powyższych uwag nie ulega najmniejszej wątpliwości, że stworzenie EPS i jego normatywne uregulowanie w Ustawie jest bardzo potrzebne i już obecnie można z dużą dozą pewności zakładać, że z czasem – po rzeczywistym i pełnym wdrożeniu EPS – istotnie polepszy to jakość i skuteczność działań zarządczo-decyzyjnych w polskim systemie ochrony zdrowia, na różnych jego poziomach. W tym sensie koncepcja EPS jest niewątpliwie wizją odważną, perspektywiczną i bardzo potrzebną.

W pełni doceniając koncepcję systemu EPS, Rada Legislacyjna pragnie wszakże zwrócić uwagę w niniejszej opinii na pewne mankamenty jej normatywnego uregulowania w Projekcie. Mankamenty te dotyczą przede wszystkim braku wymaganej precyzji i szczegółowości niektórych kluczowych przepisów Projektu, w tym przepisów dotyczących informacji, które mają być gromadzone w EPS (zob. projektowany art. 24 ust. 1 i 2 Ustawy), przepisów mówiących o udostępnianiu informacji z EPS innym podmiotom (zob. projektowany art. 24 ust. 7 Ustawy) oraz przepisu upoważniającego ministra właściwego do spraw zdrowia do wydania rozporządzenia określającego szczegółowe reguły funkcjonowania EPS (zob. projektowany art. 24 ust. 8 Ustawy).

Dostrzeżone przez Radę Legislacyjną niedostatki w zakresie precyzji i szczegółowości przepisów Projektu dotyczą również (a może wręcz przede wszystkim) unormowania kwestii przetwarzania danych osobowych. Projekt przewiduje bowiem przetwarzanie danych osobowych w EPS, i to nawet w zakresie szerszym niż prawdopodobnie zakładają to autorzy Projektu. Przy czym trzeba tu przyznać, że twórcy Projektu jak najbardziej dostrzegają problem przetwarzania danych osobowych implikowany funkcjonowaniem EPS i nawet wraz z Projektem, jego uzasadnieniem oraz Oceną Skutków Regulacji przedstawili oni dokument zatytułowany: „Ocena skutków dla ochrony danych” (dalej: „Dokument DPIA”).[6] Dokument DPIA został sporządzony na podstawie art. 35 rozporządzenia UE o ochronie danych osobowych[7] (dalej: „RODO”), co oznacza, że sami autorzy Projektu musieli dojść do przekonania, że w przypadku Projektu spełnione są normatywne przesłanki sporządzenia oceny skutków dla ochrony danych określone w art. 35 ust. 1 RODO. Ten ostatni przepis RODO stanowi, że administrator (a zgodnie z projektowanym art. 24 ust. 5 Ustawy, administratorem danych osobowych przetwarzanych w systemie EPS jest minister właściwy do spraw zdrowia) przed przystąpieniem do przetwarzania danych osobowych dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, mając prawny obowiązek przeprowadzenia tej oceny wówczas, gdy „dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Skoro zatem Minister Zdrowia (jako formalny autor Projektu i przyszły administrator danych w EPS) sporządził i publicznie przedstawił ocenę skutków dla ochrony danych w postaci Dokumentu DPIA, to tym samym autorzy Projektu przyjęli słuszne założenie (co najmniej implicite, bo nie napisali tego wyraźnie), że przepisy Projektu w zakresie funkcjonowania EPS mogą z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (tak jak to przewiduje art. 35 ust. 1 RODO). W każdym razie na podstawie Projektu na pewno będą przetwarzane dane osobowe. Niestety, zdaniem Rady Legislacyjnej przyjęcie tego trafnego skądinąd założenia nie przełożyło się ani na wymaganą w takich przypadkach przez RODO szczegółowość odnośnych projektowanych przepisów krajowych (tu: projektowanych przepisów Ustawy dotyczących ochrony danych osobowych w związku z funkcjonowaniem EPS), ani też nie znalazło to adekwatnego wyrazu w sporządzonym przez Ministra Zdrowia Dokumencie DPIA, gdyż w tym ostatnim akcie występuje kilka stwierdzeń na temat zakresu przetwarzania danych osobowych na podstawie przepisów Projektu, które są po prostu niezgodne ze stanem faktycznym oraz ze stanem prawnym. Podobne nieadekwatne stwierdzenia występują też w tym względzie w uzasadnieniu Projektu.

Rada Legislacyjna ma przy tym pełną świadomość faktu, że unormowanie w Projekcie kwestii dotyczących funkcjonowania EPS, w tym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, nie jest wcale zadaniem łatwym. Wyzwania legislacyjne związane z prawidłowym i efektywnym unormowaniem tychże zagadnień w Projekcie dorównują bowiem wysokiej merytorycznej randze i znaczeniu instytucji EPS, która jest przewidziana w Projekcie. Dlatego też mając na względzie te specyficzne okoliczności, Rada Legislacyjna bynajmniej nie twierdzi, że wie, jak należy optymalnie ukształtować treść przepisów Projektu. Niemniej jednak, biorąc pod uwagę praktykę obecnej Rady Legislacyjnej w opiniowaniu projektów z zakresu ochrony zdrowia i funkcjonowania rejestrów publicznych, a także uwzględniając wiedzę i doświadczenie jej członków w zakresie problematyki ochrony danych osobowych, Rada Legislacyjna pragnie poddać pod rozwagę autorom Projektu kilka uwag o charakterze refleksyjnym oraz szereg towarzyszących temu propozycji legislacyjnych de lege ferenda. Dla dobra funkcjonowania polskiego systemu ochrony zdrowia – w zakresie jego wrażliwego elementu, jakim będzie EPS – warto jest bowiem zastanowić się nad możliwościami jeszcze lepszego niż obecnie ukształtowania w Projekcie przepisów dotyczących omawianej tutaj instytucji prawnej.

 

II. Szczegółowe uwagi krytyczne dotyczące niektórych rozwiązań Projektu oraz dołączonych do niego dokumentów

 

1. [Nieprecyzyjne wskazanie podmiotów, o których informacje mają być gromadzone w EPS oraz brak wskazania powiązania informacji w EPS z poszczególnymi podmiotami] Projektowane przepisy art. 24 ust. 1 i 2 Ustawy w nieprecyzyjny sposób wskazują podmioty, o których informacje mają być gromadzone w EPS, a ponadto nie przesądzają, czy wszystkie informacje gromadzone w EPS mają być powiązane z konkretnymi (poszczególnymi) podmiotami (usługodawcami).

I tak, z projektowanego art. 24 ust. 1 pkt 1 Ustawy – który to przepis wymienia dane identyfikujące usługodawców – nie wynika jednoznacznie, czy ten projektowany przepis ma dotyczyć (i przesądzać o wpisie do EPS) wszystkich usługodawców bez względu na formę prawną, w jakiej działają, w tym również usługodawców będących osobami fizycznymi, czy też może ów projektowany przepis ma dotyczyć tylko usługodawców innych niż osoby fizyczne (w tym zwłaszcza podmioty lecznicze działające w formie spółek, samodzielnych publicznych zakładów opieki zdrowotnej lub jednostek budżetowych). W projektowanym art. 24 ust. 1 pkt 1 Ustawy występują sformułowania, które mogą przemawiać za przyjęciem albo pierwszego, albo drugiego wariantu interpretacyjnego, aczkolwiek dla Rady Legislacyjnej nie ulega absolutnie najmniejszych wątpliwości, że w tym projektowanym przepisie chodzi i powinno chodzić o wszystkich usługodawców, bez względu na formę, w jakiej działają, czyli również o osoby fizyczne. Z literalnego punktu widzenia przemawia za tym samo posłużenie się w tym projektowanym przepisie wyrazem „usługodawca”, bez żadnego bliższego kwalifikatora, co oznacza konieczność odwołania się do legalnej definicji „usługodawcy” zamieszczonej w art. 2 pkt 15 Ustawy (ta ostatnia definicja odsyła z kolei do legalnej definicji „świadczeniodawcy” zawartej w art. 5 pkt 41 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych[8] – na temat tej definicji zob. szersze uwagi niżej w punkcie II.2 niniejszej opinii przy okazji omawiania problematyki danych osobowych). Otóż legalna definicja „usługodawcy”, a także „świadczeniodawcy” w oczywisty sposób literalnie obejmuje nie tylko jednostki organizacyjne, ale również osoby fizyczne, w tym osoby wykonujące zawód medyczny (np. zawód lekarza lub pielęgniarki) w formie indywidualnej praktyki. Ponadto objęcie zakresem podmiotowym projektowanego art. 24 ust. 1 pkt 1 Ustawy również usługodawców będących osobami fizycznymi znajduje swoje niewątpliwe wsparcie w wykładni celowościowej, odwołującej się do wielokrotnie już wspominanej zasadniczej idei uzasadniającej powołanie do życia EPS.

Tymczasem wbrew tym oczywistym argumentom interpretacyjnym, w projektowanym art. 24 ust. 1 pkt 1 Ustawy występują sformułowania sugerujące, iż przepis ten dotyczy tylko usługodawców będących jednostkami organizacyjnymi. W szczególności, w przepisie tym wymienia się informację w postaci „nazwy” usługodawcy, bez wymienienia przy tej okazji imienia i nazwiska usługodawcy (choć oczywiście można bronić interpretacji, iż „nazwa” obejmuje również imię i nazwisko osoby fizycznej; tak jest na pewno w przypadku pojęcia „firmy”,[9] choć akurat projektowany art. 24 ust. 1 pkt 1 Ustawy nie posługuje się pojęciem „firmy”, lecz jedynie „nazwy”). Dla całkowitego rozwiania związanych z tym ewentualnych wątpliwości interpretacyjnych Rada Legislacyjna postuluje wyraźne wymienienie w projektowanym art. 24 ust. 1 pkt 1 Ustawy informacji w postaci imienia i nazwiska osoby fizycznej (jako informacji gromadzonej w EPS).

Niezależnie od wskazanych powyżej mankamentów projektowanych przepisów art. 24 ust. 1 Ustawy w zakresie jednoznacznego wskazania podmiotów (a konkretnie usługodawców), których mają dotyczyć informacje gromadzone w EPS, w projektowanych przepisach art. 24 ust. 1 i 2 Ustawy występuje jeszcze dodatkowa nieścisłość dotycząca charakteru powiązań poszczególnych informacji gromadzonych w EPS z usługodawcami, których dane są gromadzone w EPS. W tym kontekście powstaje mianowicie wątpliwość, czy dokładnie wszystkie informacje gromadzone w EPS mają dotyczyć poszczególnych „usługodawców” (zob. legalną definicję „usługodawcy” zamieszczoną w art. 2 pkt 15 Ustawy) i mają być wiązane z tymi usługodawcami i do nich przypisywane (co dotyczy m. in. informacji o pracownikach medycznych, infrastrukturze materialnej ochrony zdrowia oraz o wyposażeniu medycznym), czy też raczej – alternatywnie – jedynie część informacji w EPS ma dotyczyć konkretnych (poszczególnych) usługodawców, a mianowicie dane identyfikujące usługodawców oraz niektóre dane o pracownikach medycznych, podczas gdy inne informacje gromadzone w EPS, w tym pozostałe informacje o pracownikach medycznych, dane o infrastrukturze, sprzęcie, wyposażeniu czy wyrobach medycznych, mają być gromadzone w EPS w postaci niejako zanonimizowanej i zagregowanej, to znaczy bez ich przypisywania do poszczególnych usługodawców? Pozornie odpowiedź na to pytanie wydaje się oczywista: z samego już opisu celów powołania do życia EPS, tak jak te cele są przedstawione w uzasadnieniu Projektu oraz w Ocenie Skutków Regulacji, wynika jednoznacznie, że istotą EPS ma być gromadzenie w ramach jednego rejestru publicznego wszelkich informacji, które są ściśle powiązane z indywidualnymi i konkretnymi usługodawcami oraz które opisują cały aktualnie posiadany przez tych poszczególnych usługodawców potencjał świadczeniowy, w postaci pracowników medycznych, infrastruktury, wyposażenia, sprzętu czy wyrobów medycznych. Taka jest bowiem zasadnicza idea powoływania do życia EPS – najzupełniej zresztą słuszna i zrozumiała – aby w ramach jednego rejestru publicznego, prowadzonego w systemie teleinformatycznym i dostępnego dla wielu różnych podmiotów publicznych, móc gromadzić dane o potencjale poszczególnych usługodawców, co potem ma się przekładać na określone decyzje zarządcze w polskim systemie ochrony zdrowia (związane głównie z alokacją tego potencjału do różnych zadań, na poziomie poszczególnych przypadków lub zdarzeń oraz na poziomie ogólnosystemowym, w tym związanym z obronnością Państwa).

Tymczasem niestety wbrew temu podstawowemu celowościowemu założeniu przyświecającemu tworzonej instytucji EPS, projektowane przepisy art. 24 ust. 1 pkt 2-8 i ust. 2 Ustawy nie odzwierciedlają literalnie tej zarysowanej wyżej zasadniczej idei EPS. O ile bowiem z projektowanych przepisów art. 24 ust. 1 pkt 1 i pkt 3 lit. b) Ustawy rzeczywiście wynika, że przewidziane w tych projektowanych przepisach informacje mają dotyczyć poszczególnych usługodawców i być z tymi usługodawcami ściśle powiązane (dotyczy to danych identyfikujących usługodawców oraz danych dotyczących miejsca wykonywania zawodu medycznego przez poszczególnych pracowników medycznych – gdzie dane dotyczące tego miejsca siłą rzeczy są powiązane z poszczególnymi usługodawcami i tych usługodawców dodatkowo identyfikują), o tyle z projektowanych przepisów art. 24 ust. 1 pkt 2, pkt 3 lit. a), pkt 4-8 oraz ust. 2 Ustawy już wcale nie wynika, aby przewidziane w tych projektowanych przepisach informacje musiały być koniecznie powiązane z poszczególnymi usługodawcami. Przeciwnie, te wymienione ostatnio projektowane przepisy wymieniają różne kategorie informacji dotyczących pracowników medycznych, infrastruktury i obiektów medycznych, sprzętu, wyposażenia, wyrobów medycznych lub innych jeszcze okoliczności, ale bez ich literalnego powiązania z poszczególnymi usługodawcami oraz bez konieczności ich przypisywania do indywidualnych usługodawców. Z literalnego brzmienia projektowanych przepisów art. 24 ust. 1 pkt 2, pkt 3 lit. a), pkt 4-8 oraz ust. 2 Ustawy wynika, że w EPS mają być po prostu gromadzone wskazane tam informacje, ale w postaci niejako zagregowanej i zbiorczej, bez ich przypisywania do poszczególnych i konkretnych usługodawców. Taka konkluzja – choć oczywiście kolidująca z zasadniczą ideą powoływania do życia EPS – płynie z literalnych sformułowań występujących bądź niewystępujących we wspomnianych projektowanych przepisach Ustawy. W projektowanym art. 24 ust. 1 in principio Ustawy, zawierającym tzw. wprowadzenie do wyliczenia,[10] nie wymieniono bowiem kategorii „usługodawców” jako części wspólnej wprowadzenia do wyliczenia, odnoszącej się do wszystkich kolejnych punktów („EPS jest systemem teleinformatycznym, w którym są gromadzone aktualne informacje o:”). Przy czym w tych kolejnych punktach projektowanego art. 24 ust. 1 Ustawy o „usługodawcach” jest mowa wyraźnie tylko i wyłącznie w punkcie 1 wymieniającym dane identyfikujące usługodawców; ponadto również z projektowanego art. 24 ust. 1 pkt 3 lit. b) Ustawy, wymieniającego dane dotyczące miejsca wykonywania zawodu medycznego przez pracownika medycznego, można implicite wnosić, że dane te będą co najmniej pośrednio dotyczyły konkretnego usługodawcy, u którego dany pracownik medyczny wykonuje swój zawód medyczny na podstawie stosunku pracy lub umowy cywilnoprawnej (zob. legalną definicję „pracownika medycznego” w art. 2 pkt 11 Ustawy). Natomiast w pozostałych punktach stanowiących wyliczenie w projektowanym art. 24 ust. 1 Ustawy, a także w projektowanym art. 24 ust. 2 Ustawy, nie ma literalnie mowy o tym, że wymienione w tych projektowanych przepisach informacje gromadzone w EPS muszą być imiennie i bezpośrednio powiązane z poszczególnymi usługodawcami.

Zdaniem Rady Legislacyjnej, zastosowanie takiej właśnie techniki legislacyjnej jest w tym przypadku absolutnie nieakceptowalne, gdyż przeczy to podstawowej i wielokrotnie już w tej opinii opisywanej idei powoływania do życia EPS: istotą EPS ma być przecież wyraźne i jednoznaczne powiązanie informacji obrazujących potencjał świadczeniowy w polskiej ochronie zdrowia z poszczególnymi usługodawcami, czyli przypisanie tych informacji do indywidualnych usługodawców, nie zaś ich gromadzenie w EPS w formie zagregowanej oraz zbiorczej i niejako zanonimizowanej. Biorąc to pod uwagę, Rada Legislacyjna proponuje rozważenie zastosowania w projektowanym art. 24 ust. 1 Ustawy dwóch alternatywnych rozwiązań legislacyjnych. Po pierwsze, możliwe jest użycie wyrazu mówiącego o „usługodawcach” lub nawet zwrotu o „poszczególnych usługodawcach” już w samym wprowadzeniu do wyliczenia w projektowanym art. 24 ust. 1 in principio Ustawy („EPS jest systemem teleinformatycznym, w którym są gromadzone aktualne informacje o poszczególnych usługodawcach:”). Po drugie, możliwe jest posługiwanie się wyrazem „usługodawca” (używanym w odpowiednim przypadku deklinacyjnym) w każdym poszczególnym punkcie projektowanego art. 24 ust. 1 Ustawy. Z kolei w projektowanym art. 24 ust. 2 Ustawy należy wyraźnie i literalnie przesądzić, że przewidziane tam informacje gromadzone w EPS mają dotyczyć poszczególnych usługodawców (np. „W systemie EPS są gromadzone również dane o częściowym albo całkowitym braku możliwości udzielania świadczeń opieki zdrowotnej przez poszczególnych usługodawców z powodu siły wyższej lub z przyczyn leżących po stronie usługodawcy.”).

Ponadto Rada Legislacyjna zauważa, że w projektowanym przepisie art. 24 ust. 1 pkt Ustawy, wśród wymienianych tam informacji dotyczących usługodawców, występuje sformułowanie: „adres identyfikator, o którym mowa w art. 17c ust. 3 pkt 1 ustawy”. W tym sformułowaniu występuje oczywisty błąd interpunkcyjny w postaci braku przecinka jako znaku przestankowego oddzielającego od siebie wyraz „adres” oraz wyrazy „identyfikator, o którym mowa w art. 17c ust. 3 pkt 1 ustawy”. De lege ferenda ten brak przecinka należy uzupełnić.

2. [Rozbieżność treściowa pomiędzy projektowanymi przepisami art. 24 ust. 1 i 2 Ustawy a uzasadnieniem Projektu i Dokumentem DPIA w zakresie wskazania zakresu danych osobowych przetwarzanych w EPS] Pomiędzy treścią projektowanych przepisów art. 24 ust. 1 i 2 Ustawy (z jednej strony) a treścią uzasadnienia Projektu i Dokumentem DPIA (z drugiej strony) występuje zasadnicza rozbieżność w zakresie wskazania rodzajów i zakresu danych osobowych, które będą przetwarzane w ramach projektowanego EPS. O tej rozbieżności Rada Legislacyjna dlatego wspomina już w tym miejscu niniejszej opinii, gdyż zauważenie (zidentyfikowanie) tego błędu już tutaj – wraz z towarzyszącą temu konkluzją, iż przepisy Projektu w istocie dość szeroko normują przetwarzanie danych osobowych – jest punktem wyjścia dla wielu dalszych uwag w niniejszej opinii, które dotyczą niezgodności szeregu przepisów Projektu z RODO. Ponieważ, jak wynika z projektowanych art. 24 ust. 1 i 2 Ustawy, przepisy te – całkowicie wbrew temu, o czym jest mowa w uzasadnieniu Projektu oraz w Dokumencie DPIA – dozwalają na stosunkowo szerokie przetwarzanie wielu kategorii danych osobowych w ramach EPS, wymagana jest w tym zakresie zgodność Projektu z przepisami RODO, w tym zwłaszcza przejawiająca się poprzez wymaganą większą szczegółowość niektórych przepisów Projektu, czego niestety w tych ostatnich przepisach brakuje.

W tym kontekście należy w punkcie wyjścia zauważyć, że w uzasadnieniu Projektu oraz w Dokumencie DPIA wymienia się stosunkowo wąski zakres danych osobowych, które mają być przetwarzane w ramach EPS. Wymienia się tutaj mianowicie jedynie dane dotyczące pracowników medycznych przewidziane w projektowanym art. 24 ust. 1 pkt 3 Ustawy, tzn. identyfikator pracownika medycznego, o którym jest mowa w art. 17c ust. 5 Ustawy, oraz dane dotyczące miejsca wykonywania zawodu medycznego przez danego pracownika medycznego (uzasadnienie Projektu, s. 3; Dokument DPIA, ss. 2, 4-5; nawiasem mówiąc, w tym względzie występuje rozbieżność pomiędzy treścią projektowanego art. 24 ust. 1 pkt 3 lit. b) Ustawy a treścią Dokumentu DPIA, ponieważ w tym projektowanym przepisie Ustawy wymienia się w tym kontekście tylko miejsce wykonywania zawodu medycznego przez pracownika medycznego, podczas gdy Dokument DPIA wymienia w tym kontekście również czas wykonywania zawodu medycznego; rozbieżność ta wymaga oczywiście wyjaśnienia i usunięcia).

Informacje wymienione w tym kontekście w uzasadnieniu Projektu i w Dokumencie DPIA, a przewidziane w projektowanym art. 24 ust. 1 pkt 3 Ustawy (tzn. informacje dotyczące pracowników medycznych), rzeczywiście stanowią dane osobowe (w rozumieniu art. 4 pkt 1 RODO) i będą one przetwarzane w ramach EPS. Problem polega jednak na tym, że na podstawie Projektu w ramach EPS będą przetwarzane również inne kategorie danych osobowych (w rozumieniu art. 4 pkt 1 RODO), o których uzasadnienie Projektu oraz Dokument DPIA w ogóle w tym kontekście nie wspominają. Mianowicie, w ramach tworzonego na podstawie Projektu systemu EPS przetwarzane będą również dane osobowe „usługodawców”, a konkretnie usługodawców będących osobami fizycznymi. Tak więc w EPS będą przetwarzane dane osobowe nie tylko pracowników medycznych, ale również usługodawców, o czym uzasadnienie Projektu oraz Dokument DPIA całkowicie milczą. Rzecz jasna, w systemie EPS będą przetwarzane dane osobowe jedynie tych usługodawców, którzy są osobami fizycznymi, gdyż cała kategoria prawna danych osobowych dotyczy informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (zob. art. 4 pkt 1 RODO).[11]

Być może brak w uzasadnieniu Projektu oraz w Dokumencie DPIA wzmianki o przetwarzaniu w ramach systemu EPS danych osobowych usługodawców wynika z tego, że zdaniem autorów Projektu system EPS ma zawierać informacje jedynie o tych usługodawcach, którzy nie są osobami fizycznymi. O wątpliwościach związanych z jednoznacznym zidentyfikowaniem kręgu usługodawców objętych systemem EPS Rada Legislacyjna wspomniała już wyżej w punkcie II.1 niniejszej opinii (wątpliwości te wynikają chociażby z braku wymienienia w projektowanym art. 24 ust. 1 pkt 1 Ustawy informacji o imieniu i nazwisku usługodawcy jako informacji gromadzonej w EPS). Rada Legislacyjna opowiedziała się i opowiada konsekwentnie za objęciem przez system EPS również tych usługodawców, którzy są osobami fizycznymi. Zresztą, zdaniem Rady Legislacyjnej na gruncie przepisów Ustawy oraz Projektu nie ma – mimo wskazanych wcześniej nieścisłości – tak naprawdę wątpliwości odnośnie tego, że EPS ma obejmować informacje również o usługodawcach będących osobami fizycznymi. Jest tak przede wszystkim dlatego, że projektowany art. 24 ust. 1 pkt 1 Ustawy posługuje się pojęciem „usługodawcy” bez żadnego bliższego kwalifikatora ograniczającego, zaś legalna definicja „usługodawcy” zawarta w art. 2 pkt 15 Ustawy, odwołująca się z kolei do legalnej definicji „świadczeniodawcy” z art. 5 pkt 41 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, obejmuje swoim zakresem również usługodawców (i świadczeniodawców) będących osobami fizycznymi.

Pojęcie „usługodawców” w rozumieniu Ustawy obejmuje w szczególności następujące kategorie osób fizycznych: (1) osoby fizyczne będące przedsiębiorcami i jednocześnie podmiotami leczniczymi wykonującymi działalność leczniczą;[12] (2) osoby fizyczne inne niż wymienione wyżej w punkcie 1, które uzyskały fachowe uprawnienia do udzielania świadczeń zdrowotnych i udzielają ich w ramach wykonywanej działalności gospodarczej;[13] (3) osoby fizyczne realizujące czynności z zakresu zaopatrzenia w wyroby medyczne;[14] (4) osoby fizyczne będące farmaceutami i udzielające opieki farmaceutycznej;[15] (5) osoby fizyczne będące farmaceutami i prowadzące aptekę w ramach jednoosobowej działalności gospodarczej.[16] Wszystkie te wymienione wyżej kategorie osób fizycznych są „usługodawcami” w rozumieniu Ustawy i informacje ich dotyczące będą na ogólnych zasadach gromadzone w ramach systemu EPS. Taka wykładnia wynika z bezpośredniego rozumienia art. 2 pkt 15 Ustawy w zw. z art. 5 pkt 41 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (oraz ewentualnie w zw. z przepisami innych ustaw normujących działalność leczniczą lub zawody medyczne), przy czym wykładnia ta jest potwierdzana w praktyce również przez Ministra Zdrowia.[17]

Rada Legislacyjna mocno przy tym podkreśla, że danymi osobowymi wymienionych wyżej kategorii osób fizycznych jako usługodawców w rozumieniu Ustawy są i będą nie tylko informacje wprost identyfikujące te osoby i wskazane w projektowanym art. 24 ust. 1 pkt 1 Ustawy (np. adres, identyfikator, o którym mowa w art. 17c ust. 3 pkt 1 Ustawy, numer REGON), ale również wszelkie inne informacje, na podstawie których będzie można zidentyfikować (skojarzyć, wskazać) konkretną osobę fizyczną. To ostatnie zastrzeżenie dotyczy również niektórych spośród tych informacji, o których jest mowa w projektowanych art. 24 ust. 1 pkt 2-8 i ust. 2 Ustawy. Przykładowo, informacje o pracowniku medycznym zatrudnionym u usługodawcy będącego osobą fizyczną (a o których to informacjach jako gromadzonych w EPS jest mowa w projektowanym art. 24 ust. 1 pkt 3 Ustawy) są same w sobie danymi osobowymi o tym konkretnym pracowniku medycznym, ale niezależnie od tego są to jednocześnie dane osobowe usługodawcy będącego osobą fizyczną, ponieważ na podstawie tych danych dotyczących pracownika medycznego można zidentyfikować osobę fizyczną będącą usługodawcą, która zatrudnia danego pracownika. Dalej, danymi osobowymi w tym rozumieniu (tzn. w rozumieniu art. 4 pkt 1 RODO) mogą być również niektóre informacje dotyczące infrastruktury i obiektów usługodawcy będącego osobą fizyczną, a o których to informacjach jest mowa np. w projektowanych przepisach art. 24 ust. 1 pkt 4 Ustawy. Wynika to z faktu, że również na podstawie opisu obiektów, w których usługodawca będący osobą fizyczną wykonuje działalność leczniczą (lub praktykę lekarską lub inną praktykę medyczną) można w wielu przypadkach zidentyfikować konkretną osobę fizyczną: mamy tu wówczas do czynienia z dokonywaniem w oparciu o te informacje identyfikacji ekonomicznej tożsamości osoby fizycznej (zob. art. 4 pkt 1 RODO). Tym bardziej danymi osobowymi o usługodawcach będących osobami fizycznymi będą również te informacje, o których jest mowa w projektowanym art. 24 ust. 2 Ustawy, czyli gromadzone w systemie EPS informacje o częściowym albo całkowitym braku możliwości udzielania świadczeń opieki zdrowotnej z powodu siły wyższej lub z przyczyn leżących po stronie usługodawcy. Nie ulega przy tym wątpliwości, że te ostatnie informacje są nie tylko danymi osobowymi, ale niekiedy są wręcz wrażliwymi danymi osobowymi (w rozumieniu art. 9 ust. 1 RODO), ponieważ mogą one mówić o stanie zdrowia konkretnego usługodawcy będącego osobą fizyczną (np. informacja o przerwie w wykonywaniu działalności leczniczej przez usługodawcę w związku z jego chorobą lub macierzyństwem).

Tymczasem ani w uzasadnieniu Projektu ani też w Dokumencie DPIA nie ma w ogóle mowy o tych licznych kategoriach danych osobowych, które będą przetwarzane w ramach systemu EPS (w tym nie ma tam mowy o wspomnianych wyżej wrażliwych danych osobowych). Rada Legislacyjna postuluje oczywiście uzupełnienie uzasadnienia Projektu oraz Dokumentu DPIA o wspomniane wyżej informacje.

Co jednak może nawet istotniejsze, skoro, jak wynika z powyższych analiz Rady Legislacyjnej, w ramach systemu EPS będą przetwarzane tak liczne i szerokie zakresowo dane osobowe usługodawców (będących osobami fizycznymi), to tym bardziej poszczególne przepisy Projektu dotyczące funkcjonowania systemu EPS powinny być zgodne w swojej treści z przepisami RODO i powinny być tak ukształtowane treściowo, aby w należyty sposób chronić osoby fizyczne w związku z przetwarzaniem ich danych osobowych w EPS, tak jak tego wymagają przepisy RODO. Niestety, w tym ostatnim zakresie występują w przepisach Projektu liczne deficyty, o czym jest mowa niżej w kolejnych punktach niniejszej opinii.

3. [Brak dostatecznie szczegółowego wskazania celów przetwarzania danych osobowych w projektowanym art. 24 ust. 1 in fine Ustawy] Projektowany art. 24 ust. 1 in fine Ustawy w sposób zdecydowanie za wąski wskazuje cele przetwarzania danych osobowych na potrzeby funkcjonowania EPS. Projektowany przepis art. 24 ust. 1 in fine Ustawy stanowi, że poszczególne informacje w systemie EPS są gromadzone „w celu ich monitorowania w czasie rzeczywistym”. Tymczasem z samego już uzasadnienia Projektu przedstawiającego zasadniczą ideę EPS wynika, że informacje w EPS nie mają być gromadzone dla samego tylko monitorowania usługodawców i związanych z nimi informacji (okoliczności) obrazujących ich potencjał świadczeniowy, ale mają one służyć podejmowaniu na tej podstawie licznych decyzji zarządczych w polskim systemie ochrony zdrowia, zarówno w poszczególnych przypadkach (tj. przy okazji pojedynczych zdarzeń), jak też w płaszczyźnie ogólnosystemowej, a ponadto mają służyć procesom decyzyjnym lub je wspomagać w ramach zarządzania kryzysowego (prewencyjnego i podczas już zaistniałych sytuacji kryzysowych) oraz dla potrzeb obronności Państwa i przygotowań obronnych (zob. wyżej w punkcie I.3 niniejszej opinii). Wspomniane tutaj decyzje zarządcze podejmowane na podstawie danych osobowych gromadzonych i przetwarzanych w EPS będą zarówno decyzjami w rozumieniu art. 22 ust. 1 RODO, jak też decyzjami, które nie należą do kategorii decyzji z art. 22 ust. 1 RODO. W każdym razie cele procesu gromadzenia i przetwarzania danych osobowych w systemie EPS mają być w swoim założeniu znacznie bardziej wszechstronne i ambitniejsze niż samo tylko monitorowanie odnośnych informacji w czasie rzeczywistym (o którym to monitorowaniu jest literalnie mowa w projektowanym art. 24 ust. 1 in fine Ustawy). Tego rodzaju szersze cele, dla realizacji których mają być gromadzone i przetwarzane w EPS informacje o osobach fizycznych (tj. o usługodawcach oraz pracownikach medycznych), muszą być w miarę szczegółowo wskazane w samej Ustawie (obecnie: w przepisach Projektu przewidujących znowelizowanie Ustawy) i nie można ich pozostawiać jedynie w domyśle. 

Postulowana tutaj przez Radę Legislacyjną konieczność rozbudowania (uszczegółowienia) projektowanego przepisu art. 24 ust. 1 in fine Ustawy, w zakresie dotyczącym bardziej szczegółowego wskazania tam celów przetwarzania danych osobowych gromadzonych w EPS, ma swoje normatywne uzasadnienie w przepisach RODO. Przede wszystkim wynika to ze skodyfikowanej w art. 5 ust. 1 lit. b) RODO zasady ograniczenia celu przetwarzania danych osobowych. Powołany art. 5 ust. 1 lit. b) RODO stanowi, że „Dane osobowe muszą być […] zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami […] („ograniczenie celu”)”. Przepis ten przesądza o konieczności wskazywania celów przetwarzania danych osobowych w sposób konkretny, wyraźny i wyczerpujący, a więc nie w sposób jedynie ogólny (ogólnikowy) lub wybiórczy (selektywny), tak jak to ma miejsce w projektowanym art. 24 ust. 1 in fine Ustawy. Co więcej, w świetle powołanego przepisu RODO niedopuszczalna jest zasadniczo sytuacja, w której dane osobowe są najpierw zbierane dla określonego celu, a następnie są przetwarzane w zupełnie innym celu. Co prawda od tej ogólnej zasady dopuszczalne są pewne wyjątki, ale jedynie przy zachowaniu ściśle określonych przesłanek i warunków, w sposób zawężający tę ekstraordynaryjną możliwość (zob. art. 6 ust. 4 w zw. z art. 23 ust. 1 RODO). Zdaniem Rady Legislacyjnej, jest wątpliwe, aby obecne brzmienie projektowanego przepisu art. 24 ust. 1 in fine Ustawy czyniło zadość wspomnianej wyżej ogólnej zasadzie wynikającej z RODO (a już tym bardziej dopuszczalnym od tej zasady wyjątkom). Wątpliwości Rady Legislacyjnej biorą się przede wszystkim z tego, że na podstawie projektowanego art. 24 ust. 7 Ustawy informacje gromadzone w systemie EPS będą udostępniane online innym podmiotom, w celu wykonywania ich ustawowych zadań. Już choćby zatem z tego projektowanego przepisu art. 24 ust. 7 Ustawy wynika, że dane gromadzone w systemie EPS nie będą przetwarzane jedynie „w celu ich monitorowania w czasie rzeczywistym”, jak o tym wąsko stanowi projektowany art. 24 ust. 1 in fine Ustawy, ale będą przetwarzane następnie w znacznie szerszych celach, w tym związanych z celami działania podmiotów wskazanych w projektowanym art. 24 ust. 7 Ustawy (przy czym ten ostatni przepis, wskazując cele przetwarzania danych osobowych udostępnianych innym podmiotom z EPS, jest sam w sobie dalece nieprecyzyjny, co zresztą stanowi zupełnie odrębny mankament Projektu, o którym jest osobno mowa niżej w punkcie II.5 niniejszej opinii). Brak precyzji i dostatecznej szczegółowości projektowanego art. 24 ust. 1 in fine Ustawy w zakresie wskazania celów przetwarzania danych gromadzonych w systemie EPS nie może być obecnie usprawiedliwiany (czy też bagatelizowany) poprzez odwołanie się do projektowanego art. 24 ust. 7 Ustawy, w którym wskazano dalsze cele przetwarzania danych osobowych pochodzących z EPS po ich przekazaniu innym podmiotom. Pomijając już w tym miejscu nieprecyzyjność i niedostateczną szczegółowość samego projektowanego art. 24 ust. 7 Ustawy (o czym jest osobno mowa w innym punkcie niniejszej opinii), należy pamiętać, że na podstawie projektowanego art. 24 ust. 7 Ustawy dane osobowe gromadzone w EPS będą przetwarzane przez zupełnie inne podmioty niż administrator danych gromadzonych w systemie EPS, którym będzie minister właściwy do spraw zdrowia. Na podstawie projektowanego art. 24 ust. 1 Ustawy to właśnie minister właściwy do spraw zdrowia (jako administrator danych w EPS) będzie gromadził oraz przetwarzał dane osobowe usługodawców oraz pracowników medycznych i dlatego też już w tym podstawowym projektowanym przepisie Ustawy, upoważniającym go do tego, należy wyczerpująco i szczegółowo wskazać cele przetwarzania danych osobowych gromadzonych w EPS (tak aby nie dochodziło do zasadniczo zakazanej przez RODO sytuacji, w której dane osobowe są najpierw zbierane w określonym celu – tu: w celu ich monitorowania w czasie rzeczywistym – a następnie są przetwarzane w zupełnie innym celu). Nie można odpowiedzialności normatywnej związanej z określeniem celu przetwarzania danych osobowych w EPS niejako przerzucać na inne przepisy Ustawy lub innych ustaw lub na inne podmioty przetwarzające dane z EPS: trzeba to uczynić wyczerpująco w projektowanym art. 24 ust. 1 Ustawy. Przy czym określając w projektowanym art. 24 ust. 1 in fine Ustawy szczegółowe cele przetwarzania danych osobowych gromadzonych w EPS, należy tam wspomnieć zarówno o podejmowaniu na tej podstawie decyzji zarządczych w systemie ochrony zdrowia oraz innych działań związanych z zapewnianiem społeczeństwu świadczeń zdrowotnych, jak też o przekazywaniu tych danych innych podmiotom w celu realizowania takich właśnie zadań i działań.

Tego rodzaju stanowisko interpretacyjne znajduje również wsparcie w przepisie art. 6 ust. 3 w zw. z art. 6 ust. 1 lit. c) i e) RODO. Te ostatnie przepisy dotyczą w szczególności właściwych podstaw prawnych przetwarzania danych osobowych: otóż każdy administrator danych może przetwarzać dane osobowe jedynie na podstawach wskazanych w art. 6 ust. 1 RODO. W przypadku przetwarzania danych osobowych przez ministra właściwego do spraw zdrowia w ramach systemu EPS taką podstawą prawną może być w zasadzie tylko art. 6 ust. 1 lit. c) RODO (tzn. przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) lub art. 6 ust. 1 lit. e) RODO (tzn. przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi). W obu tych przypadkach przepisy RODO wymagają, aby ta podstawa prawna przetwarzania danych była określona w prawie państwa członkowskiego, któremu podlega administrator (tak wyraźnie stanowi art. 6 ust. 3 lit. b) w zw. z art. 6 ust. 1 lit. c) i e) RODO), a przy tym w tej krajowej podstawie prawnej przetwarzania danych musi być określony cel przetwarzania danych, zaś gdy przetwarzanie następuje na podstawie art. 6 ust. 1 lit. e) RODO, to musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 3 zd. 2 RODO). Ponadto wspomniana wyżej krajowa podstawa prawna przetwarzania danych może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów RODO, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania (art. 6 ust. 3 zd. 3 RODO).

W świetle powyższych przepisów RODO, dla Rady Legislacyjnej jest niewątpliwe, że cele przetwarzania danych osobowych przez ministra właściwego do spraw zdrowia w ramach systemu EPS są określone w projektowanym przepisie art. 24 ust. 1 in fine Ustawy zdecydowanie za wąsko i zbyt ogólnie (zbyt selektywnie). W przekonaniu Rady Legislacyjnej należałoby w tym projektowanym przepisie co najmniej zasygnalizować możliwość wykorzystywania tychże danych osobowych na potrzeby procesów zarządczych w systemie ochrony zdrowia (w tym na potrzeby decyzji w rozumieniu art. 22 ust. 1 RODO i na potrzeby decyzji nienależących do tej kategorii) oraz na potrzeby późniejszego ich przekazywania innym podmiotom publicznym, o których jest mowa w projektowanym art. 24 ust. 7 Ustawy, dla wykonywania tego samego rodzaju działań i zadań. Te bardziej rozbudowane cele przetwarzania danych osobowych w ramach EPS trzeba wskazać już w tym projektowanym przepisie art. 24 ust. 1 in fine Ustawy, łącznie ze wskazaniem tu dalszych celów, takich jak podejmowanie decyzji przez inne podmioty na podstawie tych danych, gdyż w przeciwnym wypadku dojdzie do naruszenia zasady ograniczenia celu, o której jest mowa w art. 5 ust. 1 lit. b) RODO oraz do naruszenia art. 6 ust. 3 RODO (w zw. z art. 6 ust. 1 lit. c) i e) RODO), a także do konieczności ewentualnego zastosowania wyjątku przewidzianego w art. 6 ust. 4 w zw. z art. 23 ust. 1 RODO (a jest wątpliwe, czy przepisy Projektu w obecnym brzmieniu spełniają przesłanki powołania się na te wyjątkowe sytuacje).

Zdaniem Rady Legislacyjnej, proponowane brzmienie art. 24 ust. 1 in fine Ustawy mogłoby wyglądać chociażby następująco: „[…] w celu ich monitorowania w czasie rzeczywistym oraz w celu podejmowania na podstawie ich automatycznego przetwarzania, w tym wyłącznie automatycznego przetwarzania, decyzji zarządczych w systemie ochrony zdrowia lub innych działań związanych z prowadzeniem polityki zdrowotnej państwa, podnoszeniem jakości i dostępności świadczeń opieki zdrowotnej oraz finansowaniem zadań z zakresu ochrony zdrowia, w tym poprzez ich przekazywanie podmiotom wskazanym w ust. 7”.

4. [Brak dopuszczenia w Projekcie możliwości podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO na podstawie przetwarzania danych w EPS] Przepisy Projektu nie przewidują wyraźnie prawnej dopuszczalności podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO na podstawie przetwarzania danych gromadzonych w EPS, co albo stanowi niedopatrzenie autorów Projektu (być może spowodowane niepoprawną wykładnią przepisu art. 22 ust. 1 RODO), albo też stanowi to ich świadome rozstrzygniecie legislacyjne, mogące wszakże w przyszłości spowodować niepożądane ograniczenie możliwości pełnego wykorzystywania całego potencjału EPS, co będzie z kolei niezgodne z deklarowanymi celami tej instytucji prawnej.

W Dokumencie DPIA zostało wyraźnie stwierdzone, że na podstawie przepisów Projektu nie będzie dochodziło do automatycznego przetwarzania danych (w tym profilowania) w tym celu, aby na podstawie tych automatycznie przetwarzanych danych podejmować decyzje wywołujące skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływające na osobę fizyczną (Dokument DPIA, s. 6). Innymi słowy, w Dokumencie DPIA zanegowano okoliczność, jakoby na podstawie Projektu miało dochodzić do podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO. Ten ostatni przepis RODO stanowi co następuje: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.”.

Tymczasem zdaniem Rady Legislacyjnej, wbrew powyższemu zastrzeżeniu sformułowanemu w Dokumencie DPIA, na podstawie Ustawy znowelizowanej w przyszłości przez Projekt będzie niejednokrotnie dochodziło do konieczności podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO. Decyzje w rozumieniu art. 22 ust. 1 RODO będą podejmowane na podstawie wyłącznie automatycznego przetwarzania danych osobowych gromadzonych w systemie EPS, przy czym – co należy podkreślić – na podstawie systemu EPS i na podstawie przetwarzanych w nich danych osobowych (oraz innych danych) będą też podejmowane takie decyzje zarządcze w polskim systemie ochrony zdrowia, które nie będą decyzjami w rozumieniu art. 22 ust. 1 RODO. W poprzednim punkcie niniejszej opinii Rada Legislacyjna wypowiedziała się za koniecznością bardziej szczegółowego wskazania celów przetwarzania danych osobowych gromadzonych w EPS (zob. uwagi do projektowanego art. 24 ust. 1 in fine Ustawy przedstawione wyżej w punkcie II.3 niniejszej opinii), w tym w szczególności za koniecznością przesądzenia, że dane osobowe gromadzone w EPS mają służyć m. in. do podejmowania działań zarządczych i decyzyjnych w polskim systemie ochrony zdrowia. Przy czym Rada Legislacyjna ponownie podkreśla, że część z tych decyzji podejmowanych w oparciu o EPS będzie decyzjami w rozumieniu art. 22 ust. 1 RODO, natomiast inna ich część bynajmniej nie będzie należała do tej kategorii prawnej. W każdym razie sygnalizowana w tym miejscu przez Radę Legislacyjną możliwość podejmowania na podstawie przetwarzania danych w systemie EPD decyzji w rozumieniu art. 22 ust. 1 RODO nie powinna absolutnie ujść uwadze autorów Projektu. Tymczasem tak się niestety stało.

To, że na podstawie informacji gromadzonych w systemie EPS będą podejmowane określone decyzje zarządcze w polskim systemie ochrony zdrowia, jest oczywiście dostrzegane przez autorów Projektu w jego uzasadnieniu. W tym kontekście w uzasadnienia Projektu wyraźnie stwierdza się, że „wdrożenie systemu pozwoli […] na podniesienie jakości procesu decyzyjnego w ochronie zdrowia w zakresie potencjału usługodawcy i poprawy jakości udzielanych świadczeń” (uzasadnienie Projektu, s. 3). W uzasadnieniu Projektu stwierdza się również, że „podjęto decyzję o stworzeniu centralnego systemu teleinformatycznego Ewidencja Potencjału Świadczeniodawcy (EPS), którego celem jest zapewnienie możliwości monitorowania zasobów usługodawców w czasie rzeczywistym
(w sposób zautomatyzowany) […] w celu zapewnienia wsparcia procesu decyzyjnego oraz możliwości reagowania w sytuacjach kryzysowych przez Ministra Zdrowia i organy terenowej administracji rządowej oraz podejmowania działań planistycznych w ramach Krajowego Planu Zarządzania Kryzysowego i przygotowań obronnych” (uzasadnienie Projektu, ss. 2-3). Jak z powyższego wynika, jest oczywiste i niekwestionowane, że system EPS, wraz z gromadzonymi w nim informacjami, ma służyć podejmowaniu rozmaitych decyzji zarządczych, jednostkowych i ogólnych, w polskim systemie ochrony zdrowia oraz ma ten proces decyzyjny wspomagać. W tym zakresie nie ma zatem żadnego sporu. Jednakże, o ile autorzy Projektu uznają, że te decyzje nie będą decyzjami w rozumieniu art. 22 ust. 1 RODO (zob. Dokument DPIA, s. 6), o tyle Rada Legislacyjna stanowczo twierdzi, że przynajmniej część tych decyzji będzie miała taki właśnie charakter prawny. Przy czym jeżeli to Rada Legislacyjna ma w tym przypadku rację, to w konieczny sposób musi to wpłynąć na treść niektórych przepisów Projektu, tzn. musi to znaleźć odzwierciedlenie w przepisach Projektu, czego obecnie tam nie ma.

W poniższych rozważaniach – siłą rzeczy stosunkowo skrótowych – Rada Legislacyjna syntetycznie wyjaśni, dlaczego jej zdaniem część decyzji podejmowanych na podstawie informacji gromadzonych w systemie EPS będzie należała do kategorii decyzji w rozumieniu art. 22 ust. 1 RODO. Przepis art. 22 ust. 1 RODO zakazuje poddawania osób fizycznych: (1) decyzji, (2) która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych i która (3) wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. W tym kontekście pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO obejmuje bynajmniej nie tylko decyzje w znaczeniu publicznoprawnym, jako akty władcze ze sfery publicznej, ale obejmuje to wszelkie akty stosowania prawa, w tym akty, które dokonują oceny (ewaluacji) okoliczności związanych z osobą fizyczną i które to akty mogą wywoływać skutki m.in. w sferze społecznej lub finansowej osoby fizycznej.[18] Wyłącznie zautomatyzowane przetwarzanie danych osobowych to takie operacje na danych osobowych, które są dokonywane poprzez automatyczne systemy (automatyczne technologie), których efekty nie są poddawane znaczącej ludzkiej interwencji.[19] Decyzje w rozumieniu art. 22 ust. 1 RODO nie muszą koniecznie wywoływać skutków prawnych: wystarczy, że wywołują one podobnie istotne skutki, np. w sferze społecznej lub finansowej, przy czym w momencie podejmowania danej decyzji jej skutki nie muszą się wcale materializować od razu (natychmiast): wystarczy, że można zasadnie przewidywać, że wystąpią one w przyszłości.[20] Decyzjami wywołującymi skutki przewidziane w art. 22 ust. 1 RODO są również takie decyzje, które powodują selekcję pewnych podmiotów (osób fizycznych), tzn. przekazanie spraw pewnych podmiotów do rozpatrywania i procedowania w innym trybie niż spraw innych podmiotów, co może powodować nierówną dystrybucję pewnych obciążeń, np. obciążeń administracyjnych lub finansowych.[21] Takie decyzje w rozumieniu art. 22 ust. 1 RODO i wywołujące skutki opisane w tym przepisie są często podejmowane właśnie w systemie ochrony zdrowia i polegają one np. na tym, że określony zautomatyzowany system (zautomatyzowana technologia) automatycznie segreguje pacjentów, w oparciu o przetwarzanie ich danych osobowych dotyczących ich zdrowia, i przypisuje ich do określonego miejsca w kolejce oczekujących na świadczenie lub przypisuje ich automatycznie do określonej procedury medycznej. Inaczej mówiąc, automatyczne segregowanie chorych oczekujących w izbie przyjęć do dalszego postępowania z nimi w szpitalu stanowi decyzję w rozumieniu art. 22 ust. 1 RODO.[22] Warto jeszcze wspomnieć o tym, że dla uznania danej decyzji za decyzję w rozumieniu art. 22 ust. 1 RODO nie ma bynajmniej znaczenia to, czy znaczące skutki wywoływane przez tę decyzję (a o których to skutkach jest mowa w tym przepisie) są dla danego podmiotu korzystne (pozytywne) czy też negatywne (szkodliwe).[23]

 W przekonaniu Rady Legislacyjnej, całkiem spora grupa decyzji zarządczych podejmowanych na podstawie informacji gromadzonych w systemie EPS będzie się kwalifikowała właśnie do omówionej wyżej kategorii decyzji w rozumieniu art. 22 ust. 1 RODO. Autorzy Projektu prawdopodobnie dlatego uważają inaczej, gdyż – jak była już o tym mowa wyżej w punkcie II.2 niniejszej opinii – w ogóle nie dostrzegają oni faktu, iż w rzeczywistości bardzo duży zakres informacji gromadzonych i przetwarzanych w systemie EPS będzie stanowił dane osobowe usługodawców. Zdaniem twórców Projektu, system EPS w bardzo niewielkim zakresie będzie przetwarzał dane osobowe, a mianowicie tylko w zakresie dotyczącym pracowników medycznych, o czym jest mowa w projektowanym art. 24 ust. 1 pkt 3 Ustawy. Tymczasem we wcześniejszych rozważaniach Rada Legislacyjna w sposób bardzo obszerny wyjaśniła już, że w rzeczywistości system EPS będzie przetwarzał w bardzo szerokim zakresie dane osobowe usługodawców (będących osobami fizycznymi), i to nie tylko ich dane osobowe o charakterze ściśle identyfikacyjnym (np. nazwa, adres, identyfikator, o którym jest mowa w art. 17c ust. 3 pkt 1 Ustawy, numer REGON), ale również ich dane osobowe, które pozwalają na zidentyfikowanie ich tożsamości ekonomicznej w rozumieniu art. 4 pkt 1 RODO, czyli np. informacje o posiadanej infrastrukturze i obiektach, w których wykonują działalność leczniczą, czy też informacje o ich szczególnie cennym – z punktu widzenia ich potencjału świadczeniowego – wyposażeniu, a ponadto dane osobowe wrażliwe, np. o ich stanie zdrowia uniemożliwiającym czasowo udzielanie świadczeń zdrowotnych (zob. uwagi wyżej w punkcie II.2 niniejszej opinii). Przy czym wszystkie te dane osobowe usługodawców będących osobami fizycznymi będą w ramach systemu EPS przetwarzane w sposób zautomatyzowany w rozumieniu art. 22 ust. 1 RODO, czyli bez znaczącego udziału czynnika ludzkiego oraz bez istotnej ludzkiej interwencji. To, że przetwarzanie informacji w systemie EPS będzie następowało w sposób w pełni zautomatyzowany jest akurat w pełni potwierdzane i przyznawane przez samych autorów Projektu (tyle, że autorzy Projektu nie uznają tych informacji za dane osobowe). W uzasadnieniu Projektu jego twórcy piszą, że w ramach systemu EPS zasoby usługodawców będą monitorowane „w sposób zautomatyzowany” (uzasadnienie Projektu, s. 2) oraz że „Zakłada się wprowadzenie jak najszerszej automatyzacji przekazywania danych przez połączenie z systemami teleinformatycznymi usługodawców, co pozwoli na pozyskiwanie danych w czasie rzeczywistym (lub do niego zbliżonym) oraz pozwoli na odciążenie personelu w obszarze zadań sprawozdawczych.” (uzasadnienie Projektu, s. 3). O zautomatyzowanym gromadzeniu informacji w ramach systemu EPS jest również mowa w Dokumencie DPIA (zob. ss. 1, 2 i 4 tego dokumentu). Czyli nie ulega wątpliwości, że dane osobowe usługodawców gromadzone w systemie EPS będą tam przetwarzane w sposób w pełni zautomatyzowany (w rozumieniu art. 22 ust. 1 RODO), a przy tym na podstawie tak automatycznie przetwarzanych danych osobowych będą mogły zapadać decyzje – podejmowane przez właściwe podmioty, w tym przez podmioty wymienione w projektowanym art. 24 ust. 7 Ustawy – o określonym wykorzystaniu poszczególnych usługodawców oraz ich zasobów do realizowania określonych zadań w systemie ochrony zdrowia, w systemie zarządzania kryzysowego lub w systemie obronności Państwa. Takie rozstrzygnięcia będą w oczywisty sposób spełniały przesłanki „decyzji” w rozumieniu art. 22 ust. 1 RODO (gdyż będą to akty stosowania prawa, w tym akty dokonujące oceny lub ewaluacji poszczególnych usługodawców jako spełniających określone kryteria przydatności i potencjału), a ponadto owe decyzje będą wywoływały wobec usługodawców będących osobami fizycznymi (a częściowo również wobec osób fizycznych będących pracownikami medycznymi) istotne skutki w rozumieniu art. 22 ust. 1 RODO, np. skutki w postaci konieczności większego zaangażowania swojego potencjału usługowego lub sprzętowego do wykonywania określonych zadań z zakresu ochrony zdrowia, zarządzania kryzysowego lub obronności Państwa.

Można sobie oczywiście teoretycznie wyobrazić sytuację, w której podmioty mające dostęp do danych (informacji) przetwarzanych w systemie EPS (w tym podmioty wymienione w projektowanym art. 24 ust. 7 Ustawy) zrezygnują z podejmowania tych wskazanych wyżej decyzji, nie chcąc popadać w sprzeczność w tym zakresie z przepisem art. 22 ust. 1 RODO. Tyle tylko, że w takiej sytuacji sama celowość i sensowność powoływania do życia systemu EPS stanie pod znakiem zapytania, gdyż, jak wielokrotnie już o tym była mowa w niniejszej opinii, EPS ma służyć właśnie zoptymalizowaniu podejmowania decyzji zarządczych w polskim systemie ochrony zdrowia, tak aby decyzje te mogły być podejmowane w oparciu o rzeczywiste i aktualne dane o potencjale poszczególnych usługodawców, w tym usługodawców będących osobami fizycznymi. Nie ma więc sensu rezygnowanie z tej właśnie obiecującej funkcjonalności systemu EPS, tym bardziej, że o ile art. 22 ust. 1 RODO co do zasady zakazuje poddawania osób fizycznych decyzjom opartym na w pełni zautomatyzowanym przetwarzaniu danych osobowych, o tyle przepisy art. 22 ust. 2-4 RODO wprowadzają od tego zakazu określone wyjątki. W omawianym tutaj kontekście najbardziej relewantny wyjątek wynika z przepisu art. 22 ust. 2 lit. b) RODO, stanowiącego, że podejmowanie decyzji, o których mowa w art. 22 ust. 1 RODO, jest dozwolone, jeżeli decyzja „jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”. Tak więc de lege ferenda Rada Legislacyjna stanowczo postuluje, aby w przepisach Projektu (czy też w projektowanych przepisach Ustawy) wyraźnie dopuścić możliwość podejmowania przez właściwe podmioty decyzji na podstawie w pełni zautomatyzowanego przetwarzania danych osobowych w systemie EPS. Zaproponowane w niniejszej opinii przez Radę Legislacyjną brzmienie projektowanego art. 24 ust. 1 in fine Ustawy (zob. uwagi wyżej w punkcie II.3 niniejszej opinii) w dużej mierze spełnia ten postulat, aczkolwiek trzeba pamiętać, że dla zalegalizowania w prawie krajowym możliwości podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO konieczne jest zapewnienie w prawie krajowym państwa członkowskiego również innych jeszcze zabezpieczeń praw, wolności i interesów osób fizycznych, stosownie do brzmienia przepisów art. 22 ust. 2-4 RODO. Rada Legislacyjna postuluje podjęcie stosownych kroków legislacyjnych idących w tym właśnie kierunku.

5. [Brak wymaganej precyzji i szczegółowości projektowanych przepisów o udostępnianiu informacji z EPS] Projektowane przepisy art. 24 ust. 7 Ustawy dotyczące udostępniania informacji z EPS innym podmiotom są niedostatecznie precyzyjne i za mało szczegółowe w normowaniu tych właśnie kwestii. Przede wszystkim trzeba przypomnieć, że o celu przetwarzania danych osobowych w systemie EPS polegającym na udostępnianiu informacji z EPS podmiotom trzecim w ogóle nie ma mowy w projektowanym art. 24 ust. 1 in fine Ustawy. We wcześniejszych rozważaniach Rada Legislacyjna zaproponowała już poprawienie tego mankamentu Projektu (zob. uwagi wyżej w punkcie II.3 niniejszej opinii), aczkolwiek samo tylko uzupełnienie i uszczegółowienie w tym zakresie projektowanego przepisu art. 24 ust. 1 in fine Ustawy (choć oczywiście konieczne) nie wyeliminuje niedostatecznej precyzji i szczegółowości projektowanego przepisu art. 24 ust. 7 Projektu. W tym ostatnim zakresie Rada Legislacyjna proponuje przede wszystkim, aby w finalnej części tego projektowanego przepisu w sposób bardziej szczegółowy zostały tam wskazane dopuszczalne (dozwolone) cele przetwarzania danych osobowych przez podmioty wymienione w poszczególnych punktach projektowanego art. 24 ust. 7 Ustawy. Bezwzględnie wymagają tego przepisy RODO, w tym omówione już przepisy art. 5 ust. 1 lit. b) RODO (zasada ograniczenia celu przetwarzania) oraz art. 6 ust. 3 w zw. z art. 6 ust. 1 lit. c) i e) RODO (konieczność szczegółowego wskazania w prawie krajowym celów przetwarzania danych, jeżeli ich przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi). Co prawda projektowany art. 24 ust. 7 in fine Ustawy (w brzmieniu obecnie przewidzianym w Projekcie) stara się w jakiś sposób ograniczyć cele dalszego przetwarzania danych przez podmioty, które uzyskały dane z systemu EPS (mianowicie, w myśl tego projektowanego przepisu, informacje z EPS są udostępniane wskazanym tam podmiotom „w celu i zakresie niezbędnym do realizacji ich zadań ustawowych”), ale zdaniem Rady Legislacyjnej ten projektowany przepis Ustawy jest w aktualnym brzmieniu dalece niewystarczający z punktu widzenia przepisów RODO, a przede wszystkim jest niewystarczający dla efektywnej ochrony praw i interesów osób fizycznych (tzn. usługodawców i pracowników medycznych) w związku z przetwarzaniem ich danych osobowych. Absolutnie minimalnym wymogiem w tym względzie wynikającym literalnie z RODO jest to, aby w projektowanym art. 24 ust. 7 in fine Ustawy wyraźnie zapisać, że informacje z EPS mogą być udostępniane podmiotom wskazanym w projektowanym art. 24 ust. 7 pkt 1-7 Ustawy tylko „w celu i zakresie niezbędnym do realizacji ich zadań ustawowych realizowanych w interesie publicznym lub w ramach sprawowania przez nie władzy publicznej” – tak dosłownie nakazuje to przesądzić w prawie krajowym przepis art. 6 ust. 3 zd. 2 RODO. Ale nawet takie drobne stylistyczne rozbudowanie projektowanego art. 24 ust. 7 in fine Ustawy (w stosunku do jego aktualnej wersji z Projektu) może okazać się niewystarczające dla skutecznej ochrony praw osób fizycznych w związku z przetwarzaniem ich danych osobowych przez podmioty wskazane w projektowanym art. 24 ust. 7 pkt 1-7 Ustawy. Może to być niewystarczające tym bardziej dlatego, że powołany wyżej wymóg z art. 6 ust. 3 zd. 2 RODO ma charakter jedynie minimalny, zaś przepis art. 6 ust. 3 zd. 3 RODO upoważnia państwa członkowskie UE do tego, aby w swoim prawie wewnętrznym znacznie bardziej szczegółowo normowały one cele i warunki przetwarzania danych osobowych, jeżeli takie przetwarzanie następuje na podstawach określonych w art. 6 ust. 1 lit. c) lub e) RODO – a z takim właśnie przypadkiem będziemy mieli do czynienia w przypadku przetwarzania danych osobowych w ramach systemu EPS.

W tym kontekście Rada Legislacyjna proponuje, aby zastanowić się nad znacznie bardziej szczegółowym wskazaniem w projektowanym art. 24 ust. 7 Ustawy tych ustawowych celów i zadań publicznych realizowanych w interesie publicznym przez podmioty wymienione w projektowanym art. 24 ust. 7 pkt 1-7 Ustawy, dla urzeczywistniania których podmioty te mogą otrzymywać i przetwarzać dane osobowe z systemu EPS. W istocie trudno byłoby się bowiem zgodzić na to, aby takie podmioty wymienione w projektowanym art. 24 ust. 7 Ustawy, jak np. Minister Obrony Narodowej, minister właściwy do spraw wewnętrznych czy też wojewoda, mogły uzyskiwać i przetwarzać dane osobowe usługodawców i pracowników medycznych z systemu EPS do realizacji wszelkich swoich ustawowych zadań (co obecnie projektowany art. 24 ust. 7 in fine Ustawy jak najbardziej dopuszcza). Te ustawowe zadania wskazanych przykładowo podmiotów są bowiem zbyt szerokie zakresowo i zbyt różnorodne, aby można było bez żadnych zastrzeżeń zaakceptować sytuację, w której podmioty te zawsze mogą wykorzystywać i przetwarzać dane osobowe usługodawców i pracowników medycznych pozyskane z systemu EPS, nawet jeżeli czynią to dla realizacji swoich ustawowych zadań. Takie przetwarzanie danych osobowych byłoby bowiem zdecydowanie za szerokie (nadmierne), a tym samym niezgodne chociażby z zasadami z art. 5 ust. 1 lit. b) i c) RODO (tj. z zasadami ograniczenia celu przetwarzania oraz minimalizacji przetwarzanych danych). Ponadto należałoby w projektowanym art. 24 ust. 7 Ustawy wyraźnie przesądzić, że wskazane tam podmioty nie mogą przekazywać danych osobowych czy też w ogóle wszelkich informacji pozyskanych z systemu EPS dalszym jeszcze (innym) podmiotom.

Kolejnym dostrzegalnym mankamentem projektowanego przepisu art. 24 ust. 7 Ustawy jest wyraźnie niedbałe językowo i w dużej mierze niezrozumiałe brzmienie punktu 7 tego przepisu, zwłaszcza jego końcowej części, gdzie występuje następujące sformułowanie: „[…] – zakresie usługodawcy, dla którego jest podmiotem tworzącym”. Ten fragment przepisu jest ewidentnie niedostosowany treściowo do wcześniejszej części przepisu i w istocie nie wiadomo, o co w tej części przepisu tak naprawdę chodzi. Prawdopodobnie brakuje tutaj określonego wyrazu lub wyrazów. Rada Legislacyjna prosi autorów Projektu o ponowne przeanalizowanie tego projektowanego przepisu.

6. [Niedostateczna szczegółowość projektowanego art. 24 ust. 8 Ustawy jako ustawowego upoważnienia do wydania rozporządzenia] Projektowany art. 24 ust. 8 Ustawy w sposób niedostatecznie szczegółowy określa elementy, które minister właściwy do spraw zdrowia powinien uregulować w rozporządzeniu wydawanym na podstawie tego przepisu, a także zbyt ogólnie określa wytyczne dla treści wydawanego rozporządzenia. Przede wszystkim przepis ten daje za dużą dowolność właściwemu ministrowi przy kształtowaniu treści wydawanego na tej podstawie rozporządzenia. Treść tego projektowanego upoważnienia ustawowego nie jest w pełni zgodna z art. 92 ust. 1 Konstytucji RP, gdyż upoważnienie to nie jest dostatecznie „szczegółowe” w rozumieniu konstytucyjnym, a ponadto treść tego projektowanego upoważnienia jest stanowczo zbyt ogólna z punktu widzenia skutecznej ochrony praw osób fizycznych w związku z przetwarzaniem ich danych osobowych, tak jak tego wymagają przepisy RODO.

Brak wymaganej szczegółowości projektowanego upoważnienia ustawowego zawartego w projektowanym art. 24 ust. 8 Ustawy – niedopuszczalny zarówno z punktu widzenia Konstytucji RP, jak też przepisów RODO – dotyczy, po pierwsze, zbyt ogólnikowego zakreślenia kręgu podmiotów, do których wydawane na tej podstawie rozporządzenie ma być adresowane oraz, po drugie, niedostatecznie szczegółowego i zbyt selektywnego wskazania w tym przepisie wytycznych dotyczących treści wydawanego rozporządzenia, a zwłaszcza zupełnego pominięcia wytycznych związanych z ochroną danych osobowych.

Jeżeli chodzi o podmiotowy zakres stosowania rozporządzenia wydawanego na podstawie projektowanego art. 24 ust. 8 Ustawy, to w tym względzie projektowany przepis stanowi, iż „Minister właściwy do spraw zdrowia określi, w drodze rozporządzenia, podmioty obowiązane do przekazywania danych do EPS”. W tym kontekście nie wiadomo przede wszystkim, czy pojęcie „podmiotów”, o których jest mowa w tym przepisie obejmuje tylko i wyłącznie usługodawców (skoro to właśnie informacje o usługodawcach mają w swoim założeniu być gromadzone w EPS), czy też być może w pojęciu tym mogą się również mieścić inne jeszcze osoby lub podmioty działające za usługodawców lub w imieniu usługodawców. Docelowo byłoby przy tym zasadne, aby wydając na omawianej projektowanej podstawie prawnej stosowne rozporządzenie, minister właściwy do spraw zdrowia mógł je zaadresować bynajmniej nie do wszystkich usługodawców w rozumieniu ustawowym (tzn. w rozumieniu art. 2 pkt 15 Ustawy w zw. z art. 5 pkt 41 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych), ale jedynie do ich wybranych kategorii, w tym zwłaszcza tych, które mają szczególnie ważne znaczenie z punktu widzenia funkcjonowania polskiego systemu ochrony zdrowia. Ale aby właściwy minister mógł w taki właśnie sposób ograniczyć zakres podmiotowy omawianego rozporządzenia, musiałby być związany dostatecznie szczegółowymi wytycznymi do wydania treści wchodzącego tutaj w grę rozporządzenia.

Powyższy postulat wiąże się zatem wprost z drugim zasygnalizowanym wcześniej mankamentem projektowanego art. 24 ust. 8 Ustawy, jakim jest brak w tym przepisie dostatecznie szczegółowych i precyzyjnych wytycznych do wydania treści rozporządzenia. W aktualnym brzmieniu ten projektowany przepis wymienia dwie wytyczne. Mianowicie, wydając stosowne rozporządzenie, minister właściwy do spraw zdrowia powinien mieć na uwadze „zakres świadczeń opieki zdrowotnej udzielanych przez usługodawców oraz potrzebę zabezpieczenia potrzeb zdrowotnych społeczeństwa”. Obie te ustawowe wytyczne są słuszne treściowo, ale jednocześnie są one zbyt ogólne, a ponadto ewidentnie tutaj brakuje kolejnej ważnej wytycznej, związanej z koniecznością daleko idącej ochrony praw osób fizycznych w związku z przetwarzaniem ich danych osobowych. W tym kontekście należy bowiem pamiętać, że to właśnie rozporządzenie wydawane przez ministra właściwego do spraw zdrowia na podstawie projektowanego art. 24 ust. 8 Ustawy będzie w dużej mierze determinowało zakres danych osobowych, które będą gromadzone i przetwarzane w EPS. Co prawda zakres ten jest generalnie określony w projektowanych przepisach art. 24 ust. 1 i 2 Ustawy, ale w tych ostatnich przepisach wskazano jedynie pewne ogólne kategorie informacji gromadzone w EPS, natomiast ich szczegółowy zakres ma zostać określony właśnie w rozporządzeniu wydawanym na podstawie projektowanego art. 24 ust. 8 Ustawy. W tym względzie byłoby rzeczą niezwykle pożądaną, aby kształtując w rozporządzeniu zakres tych informacji (danych) oraz zakres podmiotów obowiązanych do ich przekazywania do systemu EPS, minister właściwy do spraw zdrowia kierował się wytyczną w postaci obowiązku ochrony praw i interesów osób fizycznych w związku z przetwarzaniem ich danych osobowych w systemie EPS. Nakazują to zarówno względy natury konstytucyjnej (tzn. konieczność ochrony praw podmiotów danych osobowych na podstawie art. 51 w zw. z art. 31 ust. 3 Konstytucji RP), jak też obowiązki wynikające wprost z przepisów RODO. W tym kontekście należałoby zwłaszcza wspomnieć o zasadzie minimalizacji danych wynikającej z art. 5 ust. 1 lit. c) RODO: przepis ten wymaga, aby zakres przetwarzanych danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, dla których dane są przetwarzane. Wynikająca z tego przepisu RODO zasada minimalizacji danych powinna być zatem kolejną ważną materialnoprawną wytyczną wyraźnie zapisaną w projektowanym art. 24 ust. 8 Ustawy, którą minister właściwy do spraw zdrowia powinien się kierować, wydając na tej podstawie wskazane tam rozporządzenie. Dzięki temu wydając stosowne rozporządzenie, minister właściwy do spraw zdrowia mógłby ograniczyć zarówno zakres podmiotów zobowiązanych do przekazywania informacji (w tym danych osobowych) do EPS, jak też ograniczyć zakres przedmiotowy przekazywanych danych osobowych. Rada Legislacyjna postuluje zatem uzupełnienie projektowanego art. 24 ust. 8 Ustawy o taką właśnie wytyczną, tzn. wytyczną w postaci obowiązku poszanowania praw i interesów podmiotów danych osobowych przetwarzanych w EPS, w tym poprzez ograniczenie zakresu danych osobowych przetwarzanych w systemie EPS do tego, co niezbędne dla realizacji celów EPS.

Kolejnym jeszcze przejawem braku w projektowanym przepisie art. 24 ust. 8 Ustawy dostatecznej precyzji i szczegółowości jest całkowite pominięcie w tym przepisie odwołania się do tych informacji gromadzonych w EPS, o których jest mowa w projektowanym art. 24 ust. 2 Ustawy: chodzi mianowicie o „dane o częściowym albo całkowitym braku możliwości udzielania świadczeń opieki zdrowotnej z powodu siły wyższej lub z przyczyn leżących po stronie usługodawcy”. Informacje te mają być gromadzone i przetwarzane w przyszłym systemie EPS, ale w projektowanym przepisie Ustawy są one opisane w sposób bardzo ogólnikowy i enigmatyczny. Doprecyzowanie w rozporządzeniu zakresu i treści tego rodzaju informacji mających być gromadzonymi w EPS byłoby ze wszech miar wskazane i pożądane, lecz niestety w projektowanym art. 24 ust. 8 Ustawy minister właściwy do spraw zdrowia nie został upoważniony do szczegółowego określenia zakresu tych właśnie ostatnio wspomnianych informacji, które mają być gromadzone w systemie EPS. Jest to zaskakujące tym bardziej, że omawiane tutaj projektowane upoważnienie ustawowe wyraźnie upoważnia właściwego ministra m.in. do szczegółowego określenia zakresu takich informacji gromadzonych w EPS, jak dane dotyczące miejsca wykonywania zawodu medycznego przez pracownika medycznego (zob. projektowany art. 24 ust. 8 w zw. z art. 24 ust. 1 pkt 3 lit. b) Ustawy). Rada Legislacyjna nie twierdzi bynajmniej, że precyzowanie w rozporządzeniu tego, jak należy wskazać czy też określić w EPS miejsce wykonywania zawodu medycznego przez pracownika medycznego, jest niepotrzebne. Niewątpliwie jednak określenie tego akurat elementu na potrzeby wpisu w EPS może być teoretycznie pozostawione nawet intuicyjnemu rozumieniu, podczas gdy tego samego nie da się powiedzieć o okolicznościach, które powodują całkowity lub częściowy brak możliwości udzielania świadczeń opieki zdrowotnej przez usługodawcę, zwłaszcza że należy tu rozstrzygnąć nie tylko o konkretnych powodach tego stanu rzeczy, ale również o czasokresie ich trwania aktualizującym obowiązek wpisu do EPS. Ponadto wśród informacji (przyczyn) mieszczących się w zakresie projektowanego art. 24 ust. 2 Ustawy mogą być m.in. dane osobowe o charakterze wrażliwym w rozumieniu art. 9 RODO, a w szczególności przyczyny o charakterze zdrowotnym związane z danym usługodawcą. Biorąc to pod uwagę, Rada Legislacyjna jest zdania, że minister właściwy do spraw zdrowia w rozporządzeniu wydawanym na podstawie projektowanego art. 24 ust. 8 Ustawy powinien móc nie tylko określić szczegółowy zakres informacji gromadzonych w EPS, o których jest mowa w projektowanym art. 24 ust. 2 Ustawy (tzn. powinien wskazać, o jakie przyczyny tam chodzi), ale powinien też przewidzieć w tym zakresie odpowiednie zabezpieczenia dla praw i interesów usługodawcy będącego osobą fizyczną, w razie, gdy te wspomniane wyżej informacje dotyczą danych osobowych wrażliwych usługodawcy. Tego bowiem wyraźnie wymagają od prawa państwa członkowskiego przepisy art. 9 RODO. Niestety, projektowany art. 24 ust. 8 Ustawy w obecnym brzmieniu nie daje właściwemu ministrowi takich legislacyjnych możliwości.

7. [Pozostałe usterki legislacyjne Projektu] Rada Legislacyjna zauważa ponadto dalsze jeszcze usterki legislacyjne Projektu, o mniejszym już ciężarze gatunkowym. Przede wszystkim w Projekcie należy ujednolicić posługiwanie się skrótem na oznaczenie „Systemu Ewidencji Potencjału Świadczeniodawcy”. W projektowanym art. 5 ust. 1 pkt 2 lit. c) Ustawy wprowadzony został w tym względzie skrót: „EPS”, ale w dalszych przepisach Projektu używane są w tym zakresie zamiennie również inne określenia, takie jak: „system” (projektowany art. 24 ust. 2 Projektu) oraz „system EPS” (projektowane art. 24 ust. 4-6 Ustawy), względnie też normuje się wprawdzie pewne kwestie związane z EPS, ale w ogóle bez odwoływania się w tym względzie do jakiegokolwiek pojęcia lub skrótu, przy pozostawieniu tego niejako w domyśle (projektowany art. 24 ust. 3 Ustawy). W niniejszej opinii Rada Legislacyjna wyraźnie na samym jej początku zaznaczyła, że będzie używała w jej treści wymiennie określeń „EPS” lub „system EPS” (zob. wyżej punkt I.2 niniejszej opinii), ale niniejsza opinia jest tekstem prawniczym (a nie prawnym) i w tym przypadku dopuszczalna jest tego rodzaju konwencja językowa alternatywna lub zamienna. Tymczasem w ustawie takie odchodzenie od raz ustalonego skrótu jest prawnie niedopuszczalne (zob. § 154 Zasad techniki prawodawczej).

Przy posługiwaniu się w projektowanym art. 24 ust. 2 Ustawy pojęciem „system e-Krew” Projekt w ogóle nie zawiera legalnej definicji tego pojęcia, ani też nie odsyła do takiej definicji. Pojęcie „system e-Krew” nie jest też legalnie definiowane w obecnej wersji Ustawy, a zresztą aktualnie Ustawa w ogóle się tym pojęciem nie posługuje. W związku z tym w projektowanym art. 24 ust. 2 Ustawy należy odesłać do legalnej definicji pojęcia „system e-krew” (gdzie wszystkie wyrazy definiendum są pisane małą literą) zawartej w art. 5 pkt 22 ustawy z dnia 22 sierpnia 1997 r. o publicznej służbie krwi.[24] 

 

III. Konkluzje

 

Rada Legislacyjna pozytywnie opiniuje Projekt i równocześnie, opowiadając się za jego dalszym procedowaniem w ramach rządowego procesu legislacyjnego, wnosi o rozważenie przez autorów Projektu zamieszczonych w niniejszej opinii refleksji oraz propozycji de lege ferenda. Projekt, w zakresie, w jakim przewiduje utworzenie i funkcjonowanie EPS, jest bardzo nowoczesnym, potrzebnym i dobrze wymyślonym rozwiązaniem prawnym, które – jeśli będzie prawidłowo wdrożone – z pewnością przyniesie pozytywne skutki dla efektywnego funkcjonowania polskiego systemu ochrony zdrowia. Przede wszystkim przewidziana w Projekcie instytucja EPS umożliwi skuteczniejsze udzielanie świadczeń zdrowotnych pacjentom, zwłaszcza w sytuacjach poważnego zagrożenia dla zdrowia lub życia ludzkiego, a także umożliwi ona lepsze ogólnosystemowe zarządzanie polskim systemem ochrony zdrowia, w tym na potrzeby zarządzania kryzysowego oraz dla potrzeb obronności Państwa – wszystko to zaś dzięki generowanym przez EPS możliwościom wiarygodnego monitorowania aktualnego potencjału świadczeniodawców w dziedzinie ochrony zdrowia, co zwiększy szansę na podejmowanie bardziej optymalnych decyzji na podstawie tak gromadzonej aktualnej wiedzy. Aby wszakże ów potencjał EPS mógł się rzeczywiście zmaterializować w praktyce, projektowane przepisy Ustawy normujące instytucję EPS powinny zostać – w przekonaniu Rady Legislacyjnej – istotnie doprecyzowane oraz uszczegółowione, tak aby nie budziły one na przyszłość niepożądanych wątpliwości interpretacyjnych i nie pozostawiały szeregu kwestii poza zakresem prawnego uregulowania. Szczególne wątpliwości Rady Legislacyjnej budzą przepisy Projektu dotyczące przetwarzania danych osobowych w systemie EPS. W tym ostatnim zakresie Rada Legislacyjna dostrzega zarówno wyraźne niedoszacowanie przez autorów Projektu zakresu danych osobowych, które będą przetwarzane w ramach EPS, jak też istnienie bardzo konkretnych niezgodności niektórych przepisów Projektu z przepisami RODO. Te wszystkie mankamenty Projektu bynajmniej nie dyskwalifikują go w sensie prawno-legislacyjnym, ale wywołują potrzebę dalszego pogłębionego namysłu nad szeregiem jego szczegółowych rozwiązań. Rada Legislacyjna wyraża szczerą nadzieję, że jej niniejsze uwagi wydatnie pomogą w tym namyśle w dalszych stadiach rządowego procesu legislacyjnego, przez które Projekt będzie przechodzić.

 

 

 

Na podstawie projektu opinii przygotowanego przez prof. dra hab. Marka Szydło Rada Legislacyjna przyjęła niniejszą opinię w trybie obiegowym w dniu 7 kwietnia 2025 r.