arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
24.03.2021

RODO dla lekarzy. Dane osobowe pacjentów podlegają ochronie

Adam Warawko

Elementem podstawowej działalności placówek służby zdrowia jest gromadzenie i przetwarzanie danych osób fizycznych. Oznacza to, że podlegają one regulacjom unijnego rozporządzenia o ochronie danych osobowych (RODO). Nakłada ono na te podmioty liczne obowiązki, a zaniedbania mogą prowadzić do odpowiedzialności zarówno wobec osób poszkodowanych, jak i organów administracyjnych.

Czy pacjent musi wyrazić zgodę na przetwarzanie danych

Przetwarzanie danych osobowych zwykłej kategorii jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków z art. 6 ust. 1 RODO. W dużym uproszczeniu podstawami mogą być: zgoda, umowa, obowiązki prawne, żywotne interesy, interes publiczny i uzasadniony interes Administratora. Przykładowo w sytuacji, gdy przetwarzanie jest „niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą”, to samo zawarcie umowy z osobą, której dane dotyczą, daje Administratorowi prawo do gromadzenia i przetwarzania jego danych w takim zakresie, w jakim jest to niezbędne do realizacji tej umowy i nie ma konieczności uzyskiwać dodatkowej zgody tej osoby.

W przypadku placówek medycznych przetwarzane dane osobowe będą jednak, w zdecydowanej większości, danymi dotyczącymi zdrowia, które są zaliczane przez art. 9 ust. 1 RODO do danych szczególnej kategorii. Podstawy ich przetwarzania określone zostały w art. 9 ust. 2 RODO i do celów świadczenia usług medycznych podstawą będzie, w szczególności, litera h wspomnianego przepisu.

Nie oznacza to bynajmniej, że w niektórych wypadkach, do podjęcia pewnych czynności, nie będzie konieczne uzyskanie zgody osoby, której dane dotyczą. Konieczność taka zaistnieje np. w wypadku chęci wysłania przez Administratora informacji marketingowych do swoich pacjentów.

Przykładowe obowiązki administratora danych

Zgodnie z artykułem 24 RODO obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się w sposób zgodny z rozporządzeniem oraz aby administrator był w stanie to wykazać. Decyzja odnośnie wyboru konkretnych środków leży w gestii administratora, mogą to być na przykład: pseudonimizacja, minimalizacja danych czy wprowadzenie zabezpieczeń fizycznych lub elektronicznych. W każdym przypadku administrator musi być w stanie wykazać, że w należyty sposób dba o bezpieczeństwo danych pacjentów.

Zgodnie z wymogami RODO, jednym z podstawowych obowiązków placówki medycznej jako Administratora danych osobowych, jest udzielenie pacjentowi informacji na temat jego praw związanych z przetwarzaniem danych, przy czym informacja ta powinna być udzielona „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”. Obowiązek ten obejmuje między innymi podanie osobie, której dane dotyczą danych kontaktowych administratora, informacji o celu i podstawie prawnej przetwarzania, okresie przez jaki dane będą przechowywane, a także informacji o prawie żądania dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, czy prawie do wniesienia skargi do organu nadzorczego. RODO nie określa szczegółowo formy, w jakiej osoby muszą być informowani o swoich prawach, w praktyce większość placówek wywiesza stosowne komunikaty w widocznych dla pacjentów miejscach.

Niezwykle istotnym obowiązkiem Administratora jest również właściwa reakcja na naruszenia ochrony danych, takie jak na przykład wyciek danych, czy ich zniszczenie. Zgodnie z prawem w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator jest zobowiązany podjąć działania zaradcze naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach zastosować środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ochrona danych jest związana z innymi prawami pacjentów

Należy pamiętać o tym, że w przypadku placówek służby zdrowia, zagadnienie ochrony danych osobowych nabiera bardzo specyficznego charakteru. Prawo do ochrony danych jest powiązane z prawem do poszanowania godności i intymności, lecz nie jest bezwzględne. Ochrona danych osobowych, choć sama w sobie jest bardzo ważnym zagadnieniem, nigdy nie powinna być traktowana jako ważniejsza od ratowania życia i zdrowia pacjenta. Warto mieć na uwadze również to, że przepisy odnoszące się do, szeroko rozumianej, ochrony danych osobowych nie znajdują się tylko w RODO, czy w ustawie o ochronie danych osobowych, ale również w wielu innych ustawach, czy rozporządzeniach.  W sektorze ochrony zdrowia na szczególną uwagę zasługuje zwłaszcza ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.

Podsumowując, realizacja podstawowych obowiązków wynikających z RODO w placówkach służby zdrowia powinna opierać się na minimalizacji ryzyka nieautoryzowanego ujawnienia danych pacjentów. Na terenie placówki medycznej konieczne jest w związku z tym między innymi: zachowanie odpowiednich warunków podczas rejestracji pacjenta (w tym wprowadzenie możliwości rejestracji elektronicznej), zachowanie prywatności przy weryfikacji tożsamości pacjenta, zapewnienie anonimowości przy wzywaniu pacjentów do gabinetów, a także zapewnienie prywatności podczas przekazywania pacjentowi informacji o jego stanie zdrowia.