• Październik 20, 2019
RODO, a sytuacja pacjenta w placówkach medycznych

RODO, a sytuacja pacjenta w placówkach medycznych

Wrzesień 3, 2019

Minął ponad rok od początku obowiązywania w Unii Europejskiej rewolucyjnego aktu prawnego dotyczącego szeroko pojętej sfery ochrony danych osobowych, jakim jest Rozporządzenie Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znane szerzej jako RODO.

Niewątpliwie RODO istotnie wpłynęło na sytuację pacjentów oraz podmiotów leczniczych związaną z przetwarzaniem danych osobowych pacjentów w ramach świadczonych usług opieki medycznej. RODO wprowadziło szereg regulacji zarówno dla osób, których dane są przetwarzane (tu pacjenci) oraz administratorów danych osobowych pacjentów (tu podmioty lecznicze). RODO przyznało osobom, których dane są przetwarzane szereg nowych uprawnień, a z kolei wobec administratorów nałożone zostały nowe i rozszerzone wcześniej obowiązujące obowiązki względem podmiotów, których dane osobowe przetwarzają, jak również
w stosunku do samych danych osobowych. 

Administrator danych osobowych 

Kim jest administrator danych osobowych oraz kogo możemy zakwalifikować pod pojęcie administratora danych osobowych w myśl RODO? 

Zgodnie z definicją, jaką znajdziemy w RODO, „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczani.  Co to oznacza? Administratorem będzie zatem określona placówka medyczna (przychodnia, szpital, SP ZOZ) odpowiednio jako osoba prawna lub organ publiczny, lub prowadzący praktykę
w ramach prywatnego gabinetu lekarz jako osoba fizyczna.

Jakie dane osobowe pacjenta są przetwarzane?

W ramach świadczonej opieki lub usług opieki medycznej przez szeroko pojęte podmioty lecznicze dochodzi do przetwarzania tzw. „danych osobowych zwykłych” oraz tzw. „danych osobowych wrażliwych”. Za dane osobowe „zwykłe” uznać należy dane takie jak m.in. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, adres zamieszkania/zameldowania i zamieszkania, numer telefonu. Dane takie podawane są najczęściej przy rejestracji pacjenta w danej placówce medycznej lub znajdują się już w zasobach danej placówki z uwagi na wcześniejsze wizyty. Za dane „wrażliwe” w przypadku pacjenta uznać należy dane osobowe pacjenta dotyczące zdrowia.

Dane osobowe dotyczące zdrowia to dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia. Do tej kategorii danych zaliczamy również informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej. Będą to wszelkie informacje, na przykład o chorobie, niepełnosprawności, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym osoby, której dane dotyczą. Źródłem pochodzenia ww. danych osobowych dotyczących zdrowia może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne.

Obowiązki administratora danych osobowych

Placówki medyczne lub lekarze świadczący usługi opieki medycznej w ramach prywatnej praktyki, jako administratorzy danych osobowych pacjentów, zobowiązani są przepisami RODO do zapewnienia odpowiednich warunków zabezpieczających dokumentację medyczną w której znajdują się dane osobowe pacjentów przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych. Co więcej, administratorzy muszą stworzyć warunki umożliwiające wykorzystanie dokumentacji medycznej bez zbędnej zwłoki.

Co bardzo istotne, osoby upoważnione przez administratora danych osobowych do przetwarzania danych osobowych zawartych w dokumentacji medycznej (pracownicy służby medycznej danej placówki) są zobowiązane do zachowania w tajemnicy informacji o pacjencie, które uzyskali podczas wykonywania zadań powierzonych przez pracodawcę – administratora. Warto zaznaczyć, że osoby te są związane tajemnicą również po śmierci pacjenta.

Za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych w powyższym zakresie grozi odpowiedzialność administracyjna, dyscyplinarna, odszkodowawcza oraz w szczególnie rażących  przypadkach – karna. 

Istotnym obowiązkiem administratora danych osobowych względem osoby, której dane są przetwarzane jest spełnienie przez administratora tzw. obowiązku informacyjnego . Co to oznacza dla pacjentów? Gdy administrator (np. szpital) zbiera dane osobowe od pacjenta, ma on obowiązek go poinformować między innymi o:

  • swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
  • gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
  • celach przetwarzania danych osobowych oraz podstawy prawnej przetwarzania;
  • prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią (tylko wtedy, jeżeli przetwarzanie odbywa się na podstawie przesłanki niezbędności do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora);
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej itd.;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  • prawie do żądania od administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

Zauważyć również należy, iż personel medyczny danych placówek medycznych, a szczególnie pracownicy rejestracji, zobowiązani są chronić nie tylko dane osobowe pacjentów, ale również ich prawo pacjentów do godności oraz poszanowania ich intymności. Wobec tego za niedopuszczalne uznać należy sytuacje takie jak powtarzanie przez pracownika rejestracji danych osobowych uzyskanych od pacjenta na tyle głośno, aby osoby postronne je usłyszały. Co więcej, wyniki badań pacjentów powinny być wydawane w zaklejonej kopercie tylko pacjentowi, jego przedstawicielowi ustawowemu lub osobie upoważnionej przez pacjenta, aby ograniczyć dostęp osób postronnych do danych osobowych. Wskazać również należy, iż za niedozwolonym jest upublicznienie na drzwiach gabinetów lekarskich list z imionami i nazwiskami osób czekających danego dnia na wizytę do danego lekarza.

Prawa pacjenta jako podmiotu, którego dane osobowe są przetwarzane

RODO poza nowymi i rozszerzonymi obowiązkami dla administratorów wprowadziło nowe i zmodyfikowało istniejące uprawnienia przysługujące podmiotom, których dane osobowe są przetwarzane.

I tak, drogi pacjencie, pamiętaj, iż masz prawo m.in. do:

  • żądania informacji, czy dany podmiot przetwarza Twoje dane osobowe;
  • uzyskania dostępu do swoich danych osobowych przetwarzanych przez dany podmiot;
  • uzyskania kopii danych osobowych przetwarzanych przez dany podmiot;
  • prawo do sprostowania danych osobowych, gdyby administrator dysponował nieprawidłowymi lub nieaktualnymi danymi osobowymi.

Powiązane artykuły