Minął ponad rok od początku obowiązywania w Unii Europejskiej rewolucyjnego aktu prawnego dotyczącego szeroko pojętej sfery ochrony danych osobowych, jakim jest Rozporządzenie Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znane szerzej jako RODO.
Nie da się ukryć, iż RODO miało niezwykle istotny wpływ na funkcjonowanie podmiotów gospodarczych oraz pracę osób, które przetwarzaj dane osobowe, poprzez wprowadzenie nowych obowiązków i standardów związanych z przetwarzaniem danych osobowych. RODO to również szereg uprawnień dla osób, których dane są przetwarzane.
Niewątpliwie grupą podmiotów, która znacząco odczuła zmiany wprowadzone przez RODO są podmioty związane z szeroko pojętą służbą medyczną ? tak z jednej strony pacjenci oraz z drugiej placówki medyczne (szpitale, SP ZOZ, przychodnie) i ich personel medyczny, jak również lekarze świadczący pracę lub współpracujący z placówkami medycznymi oraz prowadzący prywatne gabinety lekarskie.
W opracowaniu tym skupię się jednak w przeważającej mierze na sytuacji związanej z wprowadzeniem RODO z punktu widzenia lekarzy.
Administrator danych osobowych
Kim jest administrator danych osobowych oraz kogo możemy zakwalifikować pod pojęcie administratora danych osobowych w myśl RODO?
Zgodnie z definicją, jaką znajdziemy w RODO, ?Administrator? oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczani. Co to oznacza? Administratorem będzie zatem określona placówka medyczna (przychodnia, szpital, SP ZOZ) odpowiednio jako osoba prawna lub organ publiczny, lub prowadzący praktykę
w ramach prywatnego gabinetu lekarz jako osoba fizyczna.
Lekarz ? czy zawsze będzie administratorem danych osobowych?
Odpowiedź brzmi ? nie. Co do zasady, lekarz uznany będzie za administratora danych osobowych pacjenta, w przypadku pacjentów korzystających z usług opieki medycznej lekarzy w ramach prywatnych gabinetów. Wówczas w myśl definicji przedstawionej przez RODO, to dany lekarz ustalając cel
i sposoby przetwarzania danych osobowych pacjenta uznany będzie za administratora.
Co istotne, w sytuacji gdy lekarz zatrudniony jest w danej placówce medycznej w oparciu o stosunek pracy, działać on będzie z upoważnienia oraz polecenia pracodawcy-administratora. Osoby upoważnione przez administratora danych osobowych do przetwarzania danych osobowych zawartych w dokumentacji medycznej są zobowiązane do zachowania w tajemnicy informacji o pacjencie, które uzyskali podczas wykonywania zadań powierzonych przez pracodawcę – administratora. Warto zaznaczyć, że osoby takie są związane tajemnicą również po śmierci pacjenta.
Nieco odmiennie prezentuje się z kolei sytuacja lekarzy współpracujących z podmiotami medycznymi w oparciu o inne podstawy prawne niż stosunek pracy, w tym np. w oparciu o różnego rodzaju umowy współpracy. W takiej sytuacji lekarz co do zasady ? w myśl oraz w rozumieniu RODO ? będzie tzw. podmiotem przetwarzającym. Podmiot przetwarzający to w rozumieniu RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Co to oznacza? Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, wiążącego podmiot przetwarzający
i administratora, określającego przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podmiot przetwarzający w rozumieniu RODO zobowiązany jest zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Obowiązki administratorów danych osobowych pacjentów
Administratorzy danych osobowych pacjentów, zobowiązani są przepisami RODO do zapewnienia odpowiednich warunków zabezpieczających dokumentację medyczną w której znajdują się dane osobowe pacjentów przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych. Co więcej, administratorzy muszą stworzyć warunki umożliwiające wykorzystanie dokumentacji medycznej bez zbędnej zwłoki.
Co bardzo istotne, osoby upoważnione przez administratora danych osobowych do przetwarzania danych osobowych zawartych w dokumentacji medycznej (pracownicy służby medycznej danej placówki) są zobowiązane do zachowania w tajemnicy informacji o pacjencie, które uzyskali podczas wykonywania zadań powierzonych przez pracodawcę – administratora. Warto zaznaczyć, że osoby te są związane tajemnicą również po śmierci pacjenta.
Za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych w powyższym zakresie grozi odpowiedzialność administracyjna, dyscyplinarna, odszkodowawcza oraz w szczególnie rażących przypadkach – karna.
Istotnym obowiązkiem administratora danych osobowych względem osoby, której dane są przetwarzane jest spełnienie przez administratora tzw. obowiązku informacyjnego . Co to oznacza dla pacjentów? Gdy administrator (np. szpital) zbiera dane osobowe od pacjenta, ma on obowiązek go poinformować między innymi o:
- swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
- gdy ma to zastosowanie ? danych kontaktowych inspektora ochrony danych;
- celach przetwarzania danych osobowych oraz podstawy prawnej przetwarzania;
- prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią (tylko wtedy, jeżeli przetwarzanie odbywa się na podstawie przesłanki niezbędności do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora);
- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie ? o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej itd.;
- okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
- prawie do żądania od administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
Zauważyć również należy, iż personel medyczny danych placówek medycznych, a szczególnie pracownicy rejestracji, zobowiązani są chronić nie tylko dane osobowe pacjentów, ale również ich prawo pacjentów do godności oraz poszanowania ich intymności. Wobec tego za niedopuszczalne uznać należy sytuacje takie jak powtarzanie przez pracownika rejestracji danych osobowych uzyskanych od pacjenta na tyle głośno, aby osoby postronne je usłyszały. Co więcej, wyniki badań pacjentów powinny być wydawane w zaklejonej kopercie tylko pacjentowi, jego przedstawicielowi ustawowemu lub osobie upoważnionej przez pacjenta, aby ograniczyć dostęp osób postronnych do danych osobowych. Wskazać również należy, iż za niedozwolonym jest upublicznienie na drzwiach gabinetów lekarskich list z imionami i nazwiskami osób czekających danego dnia na wizytę do danego lekarza.
Problemy związane z ochroną i przetwarzaniem danych osobowych w ramach RODO jakie spotkać można w służbie zdrowia
- Anonimowość pacjenta
w trakcie rejestracji:
Przede wszystkim należy możliwie zminimalizować ryzyko ujawnienia informacji o danych osobowych pacjenta osobom postronnym, w szczególności danych wrażliwych dotyczących stanu zdrowia pacjenta. Obowiązku tego należy dopełnić przy uwzględnieniu uwarunkować technicznych, organizacyjnych i lokalowych w placówce.
Można to zapewnić poprzez wydzielenie odpowiedniej strefy rejestracji, do której dostęp będą miały tylko aktualnie przyjmowani i obsługiwani pacjenci (wraz z przedstawicielem ustawowym lub opiekunem).
Powyższe zrealizować można przykładowo poprzez oddzielenie strefy rejestracji barierką lub poprzez zamieszczenie informacji o konieczności przebywania przy jednym stanowisku rejestracyjnym tylko jednego pacjenta.
- Anonimowość pacjenta
w trakcie wzywania pacjenta do gabinetu:
Podobnie jak w przypadku problemu anonimowości pacjenta przy rejestracji, również i w tym przypadku należy możliwie zminimalizować ryzyko ujawnienia informacji o danych osobowych pacjenta osobom postronnym, w szczególności danych wrażliwych dotyczących stanu zdrowia pacjenta.
Anonimowość w tym przypadku można zapewnić poprzez np. wezwanie z wykorzystaniem numeru identyfikacyjnego nadanego zgodnie z art. 36 ust. 5 ustawy o działalności leczniczej; wezwanie po numerze nadanym podczas rejestracji; czy też wezwanie po określonej godzinie wizyty jeżeli jest to możliwe.
- Rozmowa lekarza z pacjentem o jego chorobie na sali chorych:
Wskazać należy, że z uwagi na ryzyko ujawnienia danych osobowych, w szczególności danych dotyczących zdrowia, osobom postronnym, przekazywanie przez personel medyczny pacjentowi informacji ujawniających dane o stanie jego zdrowia na sali wieloosobowej powinno być ograniczone do minimum niezbędnego do realizacji celu w którym są przetwarzane. Komunikacja z pacjentem związana z realizacją bieżącego monitorowania stanu zdrowia (pytanie o samopoczucie, uzyskanie/przekazanie informacji o procesie leczenia) ? w tym czynności obchodu lekarskiego lub pielęgniarskiego (podstawowa komunikacja z pacjentem, informacje o lekach, informacje o planowanych badaniach) ? w takich przypadkach możliwe jest przekazanie informacji o stanie zdrowia pacjenta na sali chorych. Należy tu również pamiętać o poszanowaniu intymności pacjenta, co oznacza, że osoby nieuprawnione, tj. np. osoby odwiedzające innych pacjentów powinny w czasie obchodu opuścić salę chorych. Ta sama zasada dotyczy odwiedzających danego pacjenta oraz osób biorących w obchodzie innych niż udzielające świadczeń zdrowotnych.
- Udostępnianie drogą telefoniczną informacji o okoliczności hospitalizacji pacjentów o wskazanej przez rozmówcę tożsamości w sytuacji, gdy nie ma pewności, co do tożsamości rozmówcy, a udzielenie tych informacji może mieć wpływ na zdrowie lub życie pacjenta:
Należy tu stwierdzić, iż w takiej sytuacji możliwym jest udzielenie informacji, ale tylko w wyjątkowych przypadkach. Gdyby odmowa udzielenia informacji o pobycie pacjenta w szpitalu mogłaby uniemożliwić realizację prawa członków rodziny bądź osób bliskich do informacji o stanie zdrowia pacjenta, podmiot taki powinien udzielić informacji w sytuacjach nagłych (np. wypadek drogowy). Co istotne jednak, podmiot taki powinien dostatecznie uprawdopodobnić, że rozmówca jest osobą uprawnioną do uzyskania takich informacji poprzez zapytanie rozmówcy np. o adres zamieszkania pacjenta, numer jego PESEL (gdy podmiot dysponuje takimi danymi). Ponadto, należy się tu kierować zasadą minimalizacji i przekazywać wyłącznie takie informacje, jakie są niezbędne w danym nagłym przypadku.
Prawa pacjenta jako podmiotu, którego dane osobowe są przetwarzane
Nie należy zapominać, iż RODO poza nowymi i rozszerzonymi obowiązkami dla administratorów wprowadziło nowe i zmodyfikowało istniejące uprawnienia przysługujące podmiotom, których dane osobowe są przetwarzane ? tu pacjentów.
I tak, pacjenci mają prawo do:
- żądania informacji, czy dany podmiot przetwarza Twoje dane osobowe;
- uzyskania dostępu do swoich danych osobowych przetwarzanych przez dany podmiot;
- uzyskania kopii danych osobowych przetwarzanych przez dany podmiot;
- prawo do sprostowania danych osobowych, gdyby administrator dysponował nieprawidłowymi lub nieaktualnymi danymi osobowymi.
Istota przepisów
Na koniec wypada podkreślić jeszcze, że oczywiście nie ujmując znaczenia oraz doniosłości przepisów RODO, na względzie powinien być przede wszystkim obowiązek ratowania zdrowia i życia ludzkiego przez personel medyczny, poświęcając przy tym niekiedy dobro jakim jest ochrona danych osobowych.
