Dane osobowe pacjenta – czy obce osoby mogą mieć do nich dostęp?

Dane osobowe pacjenta to temat, który stał się bardzo popularny od 2018 roku, kiedy w życie weszło RODO, czyli Rozporządzenia o Ochronie Danych Osobowych. W związku z ustawą to co kiedyś było na porządku dziennym, przestało być dopuszczalne. Obecnie przetwarzanie danych osobowych pacjentów musi odbywać się według ściśle określonych zasad, zgodnie z obowiązującym prawem.

Wszystkie uchybienia w tej kwestii grożą poważnymi konsekwencjami prawnymi. Jakie dokładnie prawa przysługuje pacjentowi? W jaki sposób placówki medyczne mogą przetwarzać dane pacjentów?

Dane osobowe pacjenta – co to jest?

Aby móc mówić o danych osobowych, należy dowiedzieć się, co oznacza to pojęcie. Za dane osobowe uważa się m.in.:

• Imię i nazwisko,
• PESEL,
• Data urodzenia,
• Adres,
• Nazwisko panieńskie matki,
• Numer karty płatniczej
• Numer rachunku bankowego

Dane osobowe to również dane biometryczne, czyli odciski linii papilarnych, skan twarzy, DNA czy siatkówka oka oraz cechy fizyczne, fizjologiczne, ekonomiczne, kulturowe i społeczne oraz cechy fizyczne, fizjologiczne, ekonomiczne, kulturowe i społeczne. Są to również dane wrażliwe, do których należy m.in.:

• orientacja seksualna,
• wyznanie,
• stan zdrowia,
• występujące schorzenia,
• posiadane nałogi itp.

Dane osobowe dotyczące zdrowia to informacje o przeszłym, obecnym lub przyszłym stanie fizycznego, lub psychicznego zdrowia, które są zbierane w czapie rejestracji lub świadczenia opieki zdrowotnej. Może to być numer i symbol choroby, wyniki badań laboratoryjnych lub lekarskich, informacje o chorobie czy niepełnosprawności, ryzyku choroby, historii medycznej itp.

Oczywiście jedna informacja nic nie mówi, ale kilka, zebranych razem, pozwala zidentyfikować daną osobę. Ochrona danych osobowych jest bardzo ważna, dlatego od 24 maja 2018 obowiązuje RODO, czyli rozporządzenie dotyczące przetwarzania danych osobowych. Czy w każdej sytuacji dane osobowe pacjenta są chronione i przetwarzane w ten sam sposób? Czy są jakieś wyjątki w rozporządzeniu?

Dane osobowe pacjentów w placówkach medycznych

Zgodnie z obowiązującym rozporządzeniem przetwarzanie i gromadzenie danych pacjentów jest możliwe tylko za ich zgodą, ale dla działań medycznych zrobiono wyjątek. Placówki medyczne, zarówno państwowe, jak i prywatne świadczące usługi na rzecz pacjentów, mogą gromadzić dane osobowe. Jest to niezbędne do działania przychodni czy szpitali oraz do zachowania skuteczności leczenia.

Dane osobowe pacjenta potrzebne są na każdym etapie, zarówno w trakcie diagnozowania, jak i późniejszego leczenia. Jest to w pełni uzasadnione, np. w przypadku, gdy pacjent jest nieprzytomny, a musi otrzymać lek, ratujący życie. W takiej sytuacji lekarz musi mieć prawo sprawdzić, na co choruje dana osoba lub na jakie środki jest uczulona. Mimo że dane medyczne traktowane są w sposób wyjątkowy, to placówki medyczne muszą dbać, aby były należycie chronione.

Dane osobowe pacjentów przetwarzane są w wielu okolicznościach. Zazwyczaj są trzy miejsca, gdzie to tego dochodzi. Jest to rejestracja medyczna, moment udzielania świadczenia, archiwizowanie oraz przechowywanie informacji. Jak wynika z obserwacji, dane osobowe pacjentów przetwarzane są najczęściej podczas:

• wyboru placówki podstawowej opieki zdrowotnej, pielęgniarki środowiskowej lub położnej,
• rejestrowania pacjenta na wizytę, niezależnie od zastosowanego sposobu komunikacji,
• wizyty w placówce lub telekonsultacji,
• wykonywania zleconych badan lub zabiegów,
• odbierania wyników, skierowań i recept.

Ochrona danych osobowych pacjenta

Aby zapobiec łamaniu prawa, warto zaplanować system wdrażania ochrony danych osobowych. Placówki medyczne powinny dopilnować, aby znalazły się w nim środki zabezpieczeń wobec potencjalnego ryzyka, już na etapie planowania – np. nowej usługi lub aspektu działalności. Podmioty medyczne muszą prowadzić odpowiednią dokumentacje, tzn.

• rejestr czynności przetwarzania w placówce medycznej,
• dokumentację dotycząca oceny ryzyka naruszeń ochrony danych osobowych,
• dokumentację dotycząca przypadków naruszeń oraz ocenę ich skutków dla ochrony danych,
• politykę ochrony danych osobowych. 

Dzięki tym działaniom dane osobowe pacjenta będą bezpieczne. 

Dane wrażliwe  w placówkach medycznych – co mówi prawo?

W Rozrządzeniu o ochronie danych osobowych zawarty jest zakaz przetwarzania szczególnych kategorii danych osobowych. Obejmuje  takie informacje jak pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Jednak w ustawie są ujęte wyjątki, dopuszczające złamanie tego zakazu. Przetwarzanie danych wrażliwych możliwe jest:

• Gdy osoba wyraziła zgodę na przetwarzanie owych danych w jakimś konkretnym celu,
• Gdy przetwarzanie jest niezbędne do ochrony zdrowia lub żywotnych interesów danej osoby, a ta osoba nie fizycznie lub prawnie niezdolna do wyrażania zgody,
• Gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
• Gdy przetwarzanie danych jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy,
• Gdy przetwarzanie danych jest niezbędne do celów związanych takich jak: ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych 

Jak widać, RODO zezwala na przetwarzanie danych osobowych pacjentów w konkretnych, wyszczególnionych w rozporządzeniu sytuacjach.

Inspektor ochrony danych – jakie ma obowiązki?

Podmioty udzielająca świadczeń medycznych, które przetwarzają na dużą skalę dane osobowe, zostały zobligowane do powołania inspektora danych osobowych. Zgodnie z RODO konieczność ta nie dotyczy danych osobowych pacjentów lub klientów, w przypadku, gdy jest dokonywana przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika (pisaliśmy m.in. Szkolenia online dla inspektorów ochrony danych).

Oznacza to, że lekarz prowadzący prywatny gabinet nie musi powoływać inspektora. Oczywiście, jeżeli chce, ma taka możliwość. IDO musi zostać powołany np. w szpitalach, które nie mogą świadczyć usług medycznych bez przetwarzania danych medycznych pacjentów. Placówki medyczne są również zobowiązane do oceny skutków przetwarzania danych osobowych pacjentów. Jest to analiza przeprowadzana w przypadku istnienia wysokiego naruszenia praw i wolności osób, których dane dotyczą.

Rolą Inspektora Danych Osobowych jest wsparcie administratora danych i monitorowanie wypełniania przez niego obowiązków, które narzucają przepisy. Jego rolą jest również informowanie upoważnionych osób o obowiązkach spoczywających na nich w zakresie ochrony danych osobowych, monitorowanie przestrzegania niniejszego rozporządzenia i innych przepisów dotyczących danych osobowych. IDO odpowiada za kontakt i współpracę z organem nadzorczym, w tym z Prezesem UODO, w momencie kontroli (pisaliśmy na naszym innym blogu: Obowiązki inspektora ochrony danych osobowych).

Inspektor powinien oceniać ewentualne incydenty, a także udzielać rad i zaleceń dotyczących ochrony danych osobowych pacjentów. Jednym z obowiązków są również działania zwiększające świadomość tj. szkolenie personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. IOD powinien być informowany i brać udział we wszystkich sprawach, które mają związek z przetwarzaniem danych osobowych w danej placówce medycznej.

Inspektorem Ochrony Danych może być osoba, która posiada odpowiednią wiedzę i kwalifikacje z zakresu obowiązujących przepisów dotyczących ochrony danych osobowych oraz Rozporządzenia o Ochronie Danych Osobowych. Wymagana jest również wiedza z zakresu organizacji danej jednostki służby zdrowia. IOD musi mieć pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych.

Aby nie dochodziło do konfliktu interesów, inspektor nie powinien być jednocześnie w strukturze organizacyjnej administratora czy podmiotu przetwarzającego. Może nim być osoba wybrana spośród pracowników placówki medycznej, ale nie może być to ktoś, kto jest właścicielem lub członkiem zarządu. 

RODO a prawa pacjenta

Rozporządzenie o ochronie danych osobowych nakłada na szpitale i inne placówki medyczne szereg obowiązków, zwiększających prawa pacjentów. Jednym z nich jest obowiązek informacyjny wobec pacjentów. Dotyczy wszystkich pacjentów, których dane osobowe są zbierane przez administratora. Pacjenci muszą zostać poinformowani o:

• Tożsamości i danych kontaktowych administratora,
• Danych kontaktowych inspektora ochrony danych, jeżeli został powołany,
• celach przetwarzania danych osobowych oraz podstawy prawnej przetwarzania,
• Uzasadnionych przez prawo interesach, realizowanych przez administratora,
• O osobach, które będą odbierać dane osobowe,
• O zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej itd.,
• O terminie, w którym dane osobowe będą przechowywane,
• O prawie żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.
• Do otrzymania od placówki medycznej potwierdzenia, czy jego dane są przetwarzane, kto jest uprawniony do uzyskania dostępu do nich oraz kopii danych osobowych podlegających przetwarzaniu. W tym miejscu warto wspomnieć, że za pierwszą kopię danych osobliwych placówka medyczna nie powinna pobierać żadnych opłat. Za kolejne placówka ma prawo pobrać opłatę.

Obowiązek informacyjny można zrealizować na kilka sposobów. Lekarze i placówki medyczne mogą np. załączyć odpowiednią klauzulę do formularza wypełnianego przez pacjenta lub zamieścić taką informację na tablicach zlokalizowanych w pobliżu rejestracji. Osoba, która jest chce uzyskać dostęp do danych, musi zgłosić odpowiednie żądanie. Możne zrobić to w formie ustnej, pisemnej, elektronicznej, za pomocą telefonu lub maila.

Pisaliśmy na naszym innym blogu: Jak chronić swoje dane osobowe

Ważne jest, aby administrator powiadomił pacjenta, że otrzymał zgłoszenie oraz, że zostało rozpatrzone. Administrator powinien bez zbędnej zwłoki udostępnić dostęp do danych osobowych. Termin ten nie powinien być dłuższy niż 1 miesiąc od otrzymania żądania. W wyjątkowych przypadkach może zostać przedłużony o kolejne dwa miesiące, ale pacjent powinien zostać poinformowany o tym fakcie. Każdy pacjent ma prawo do dokumentacji medycznej.

W związku z tym podmioty medyczne muszą tak postępować, aby realizacja umowy powierzenia danych osobowych nie miała wpływu na leczenie oraz nie utrudniała natychmiastowego dostępu do dokumentacji pacjentów. W przypadku likwidacji przychodni czy szpitala placówka musi przekazać dane do administratora świadczeń medycznych. Bardzo ważną kwestią jest zachowanie w tajemnicy informacji związanych ze stanem zdrowia pacjenta, nawet po jego śmierci.

Archiwizacja dokumentacji medycznej – co mówi RODO?

RODO określa również sposób archiwizacji danych osobowych pacjentów. Według przepisów powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą. Okres przechowywania powinien nie być dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Aby ustalić dokładny okres przechowania danych, należy zapoznać się z ustawą o prawach pacjenta. Wynika z niej, że dokumentacja pacjentów powinna być przechowana zasadniczo przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

RODO – jakie obowiązki spoczywają na lekarzach i placówkach medycznych?

RODO wprowadziło duże zamieszanie w funkcjonowanie placówek medycznych. Oprócz wspomnianego wcześniej obowiązku informacyjnego lekarze muszą posiadać rejestr czynności przetwarzania danych osobowych. Rejestr ma najczęściej formę tabeli, w której podawane są potrzebne informacje, tj. dane administratora i Inspektora Ochrony, cele przetwarzania, kategorie osób, kategorie przetwarzanych danych osobowych, kategorie odbiorców danych i okres ich przechowywania.

Dodatkowo pacjent musi wyrazić zgodę na działania marketingowe. Bez tego placówka nie ma prawa wysyłać newsletterów, ulotek o promocjach czy innych materiałów. Pacjent, który wyraża zgodę na takie działania, nie musi składać pisma, wystarczy forma elektroniczna i zaznaczenie odpowiedniego miejsca na stronie przychodni czy gabinetu. Co istotne, wszystkie osoby, które mają styczność z danymi osobowymi pacjentów, muszą być odpowiednio przeszkolone i zapoznane z przepisami RODO.

Jeżeli istnieje podejrzenie, że mogło dojść do wycieku danych osobowych, mogły zostać skradzione lub zgubione, podmiot medyczny musi poinformować o tym Prezesa Urzędu Ochrony Danych Osobowych. Ma na to 72 godziny. Dobrą praktyką jest również powiadomienie pacjentów o możliwości wystąpienia przestępstwa.

ROOD – jak powinno wyglądać w praktyce w gabinetach lekarskich?

Lekarze i osoby pracujące z danymi osobowym pacjentów muszą nauczyć się postępowania, które nie narusza RODO. Jest kilka czynności, o których muszą pamiętać lekarze i osoby z nimi współpracujące. Dane osobowe pacjentów muszą być chronione na każdym etapie, począwszy od rejestracji. W momencie umawiania wizyty przy okienku może stać tylko jedna osoba. Dzięki temu dane osobowe nie zostaną usłyszane przez innych pacjentów. Obecnie zabronione jest wywoływanie pacjentów po nazwisku.

Kilka temu takie praktyki nie były niczym dziwnym, ale obecnie lekarz musi poprosić pacjenta do gabinetu, mówiąc jego imię, numer, jaki dostał w rejestracji lub godzinę, na którą został umówiony. Karty pacjentów nie mogą znajdować się w miejscu widocznym dla innych osób przebywających w gabinecie. Niezbędne jest zabezpieczenie pomieszczeń, w których dane osobowe pacjentów są przechowywane. Miejsca te powinny być zamykane, a dostęp mogą mieć tylko osoby upoważnione do przetwarzania danych wrażliwych.

Każda taka osoba musi mieć imienne upoważnienie, a jego zakres jest zależny od zajmowanego stanowiska. Odpowiednio chronione muszą być również dane przechowane w wersji elektronicznej. Ważne jest, aby były zabezpieczone hasłem, dostępnym tylko upoważnionym osobom. Oczywiście hasła nie mogą być nigdzie zapisywane. Ważne jest również prawidłowe ustawienie monitorów. Według przepisów RODO ekrany muszą stać tak, aby nikt niepowołany nie mógł zobaczyć, co jest na nich wyświetlane.

Osoby pracujące przy komputerach muszą pamiętać, aby w chwili odejścia, zablokować sprzęt. Lekarze i właściciele placówek leczniczych muszą wiedzieć, że za nieprzestrzeganie zasad ochrony danych osobowych, grożą duże kary. Może to być grzywna, a nawet ograniczenie lub pozbawienie wolności.

Audyt RODO w placówce medycznej

Aby mieć pewność, że placówka medyczna działa zgodnie z RODO, zalecane są regularne audyty, przeprowadzane przez firmy zewnętrzne. Audytor sprawdza funkcjonowanie placówki na określonych stanowiskach, zapoznaje się ze stopniem przestrzegania przepisów przez pracowników, weryfikuje dokumenty posiadane przez placówkę. Sprawdzane jest, kto ma dostęp do danych osobowych pacjentów i czy jest to konieczne. Po dokonaniu kontroli sporządzana jest notatka służbowa, a następnie raport dotyczący ochrony danych osobowych pacjentów.

Końcowym elementem audytu jest również szkolenie personelu i ujednolicenie praktyk związanych z RODO. Dzięki audytom można uniknąć kar pieniężnych, związanych z brakiem wypełniania obowiązków związanych z wypełnianiem rozporządzenia RODO.

Dane osobowe pacjenta i ich ochrona jest w dzisiejszych czasach priorytetem. Każdy, kto ma kontakt z danymi osobowymi pacjentów musi dokładnie znać rozporządzenie RODO, wiedzieć jak chronić i przetwarzać dane tak, aby nie miały do nich dostępu obce osoby. Warto o tym pamiętać, bo brak wiedzy może skutkować ogromnymi karami.