"RODO nakłada na podmioty lecznicze obowiązki związane z ochroną danych osobowych pacjentów, pracowników czy kontrahentów. To nie tylko prawa pacjentów do informacji o przetwarzaniu ich danych, ale również obowiązki placówek dotyczące bezpieczeństwa, minimalizacji danych oraz transparentności w ich używaniu. "
Mec. Kamila Kozera
Warto zwrócić uwagę, że dane przetwarzane przez podmiot leczniczy dotyczące stanu zdrowia to tak zwane dane szczególnych kategorii, potocznie określane jako dane wrażliwe.
Przetwarzanie szczególnych kategorii danych osobowych jest ograniczone przez przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zasadą jest bowiem że zabrania się przetwarzania szczególnych kategorii danych osobowych, chyba że zachodzi jeden z wyjątków wyłączających zakaz na przykład, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, diagnozy medycznej i leczenia, zapewnienia opieki zdrowotnej czy zabezpieczenia społecznego.
Dane szczególnych kategorii są zatem zwykle przetwarzane w oparciu o przepis prawa. Podstawą przetwarzania nie jest natomiast zgoda pacjenta.
Podmiot leczniczy jest administratorem danych osobowych w rozumieniu przepisów o ochronie danych osobowych. W związku z tym ciąży na nim wiele obowiązków, a jednym z podstawowych jest realizacja tzw. obowiązku informacyjnego w momencie zbierania danych osobowych. W ramach tego obowiązku podmiot leczniczy powinien poinformować, między innymi kto jest administratorem ich danych osobowych, w jakim celu dane są przetwarzane, jak długo dane będą przechowywane, jakie podmioty są odbiorcami danych osobowych, jakie prawa przysługują osobom, których dane dotyczą.
BEZPIECZEŃSTWO DANYCH
Dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym zakresie należy właściwie zorganizować przetwarzanie danych osobowych oraz opracować odpowiedną dokumentację odnosząca się do zabezpieczeń technicznych oraz organizacyjnych. Zabezpieczenia powinny zapewniać ochronę danych osobowych przetwarzanych tradycyjnie, papierowo oraz przetwarzanych elektronicznie na przykład podmiot leczniczy powinien zadbać, aby dane w systemach informatycznych były odpowiednio chronione przed dostępem osób nieupoważnionych. Regularne testowanie, mierzenie i ocenianie skuteczności środków mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora. Zabezpieczenia organizacyjne odnoszą się przede wszystkim do dokumentacji oraz wdrożenia wynikających z niej procedur.
Nie można zapomnieć również o tym, że podmiot leczniczy za każdym razem, gdy zleca innemu podmiotowi wykonanie usług związanych z dostępem do danych osobowych, zobowiązany jest do zawarcia umowy powierzenia przetwarzania danych osobowych. Dotyczy to na przykład sytuacji korzystania z zewnętrznych usług informatycznych, czy księgowych.
Co do zasady, podmiot leczniczy nie powinien usuwać danych pacjenta na jego żądanie, zarówno w trakcie leczenia, jak i po zakończonym leczeniu. Według RODO żądanie usunięcia danych jest nieskuteczne, gdy ich przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na interes publiczny w dziedzinie zdrowia publicznego. Natomiast zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta, każdy podmiot wykonujący działalność leczniczą jest obowiązany do przechowywania dokumentacji medycznej, a okres przechowywania dokumentacji zależy od jej rodzaju. Podmiot leczniczy więc nie powinien na życzenie pacjenta usuwać danych osobowych i dokumentacji medycznej.
Dane szczególnych kategorii dotyczące informacji o stanie zdrowia, mogą być udostępniane osobom upoważnionym. Udostępnianie informacji rodzinie pacjenta wymaga więc upoważnienia ze strony pacjenta, chyba że są ku temu wyraźne podstawy prawne (na przykład zagrożenie życia, stan nieprzytomności) lub gdy mówimy o pacjencie niepełnoletnim. Co do zasady więc jeżeli lekarz bez zgody pacjenta udostępnił jego diagnozę członkom rodziny, sądząc, że to w ich interesie może zostać zgłoszony i pociągnięty do odpowiedzialności prawnej przez pacjenta. Upoważnienie jest więc niezwykle ważne, a udzielenie informacji powinno nastąpić dopiero po weryfikacji i upewnieniu się, że mamy do czynienia z osobą uprawnioną.
Zasady udostępniania dokumentacji medycznej powinny być wyraźnie określone w stosownej procedurze, która powinna obowiązywać w danej placówce medycznej. Warto posiadać taki dokument, ponieważ wgląd do niego mogą zażądać organy regulacyjne albo Rzecznik Praw Pacjenta. Dlatego proponujemy zatroszczyć się o taki dokument, aby nie spotkać się z zarzutem nieprzestrzegania praw pacjentów.
Przepisy prawa nie zabraniają udzielania informacji o stanie zdrowia w rozmowie telefonicznej. Kwestią zasadniczą w tym przypadku jest natomiast, aby udzielić informacji osobie do tego uprawnionej. Każdy podmiot leczniczy powinien mieć wdrożone procedury weryfikacyjne osoby dzwoniącej.
Konto: 30 1600 1404 1843 4058 0000 0001
Biuro Poznań
ul. Libelta 29A/4
61-707 Poznań
E-mail: kancelaria@answer.com.pl