O ile na udzielenie świadczenia zdrowotnego zgoda jest konieczna, co ze zgodą na przetwarzanie danych osobowych pacjenta?
Czym są dane osobowe? Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przez przetwarzanie danych, zgodnie z art. 4 pkt 2 RODO, rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Do najważniejszych aktów prawnych regulujących kwestię ochrony danych osobowych należą:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;
- ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
- ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia;
- ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych;
- rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
oraz szereg innych ustaw oraz wydanych na ich podstawie aktów wykonawczych.
W procesie udzielania świadczeń zdrowotnych nieuniknione jest zbieranie od pacjenta jego danych osobowych, w tym danych osobowych szczególnych kategorii, oraz ich dalsze przetwarzanie – sam tylko art. 24 ust. 1 u.p.p. nakłada obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej oraz zapewnienia ochrony danych zawartych w tej dokumentacji, zaś art. 25 ust. 1 u.p.p. wskazuje, że dokumentacja medyczna w odniesieniu do pacjenta powinna zawierać co najmniej:
- oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości (dane zwykłe):
- nazwisko i imię (imiona),
- datę urodzenia,
- oznaczenie płci,
- adres miejsca zamieszkania,
- numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość,
- w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania;
- opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych (dane osobowe szczególnej kategorii).
O ile przetwarzanie danych osobowych zwykłych jest legalne przy spełnieniu co najmniej jednej z przesłanek wskazanych w art. 6 ust 1 RODO, o tyle RODO wprowadza domyślny zakaz przetwarzania danych osobowych szczególnych kategorii, przyjmując, że należą do nich dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Art. 9 ust. 2 RODO wskazuje jedyne wyjątki, w ramach których przetwarzanie tych danych jest możliwe.
Uwaga!
Imię i nazwisko, nr PESEL, nr rachunku bankowego, wysokość i składniki wynagrodzenia – NIE są danymi osobowymi szczególnej kategorii.
W procesie udzielania świadczeń zdrowotnych oprócz danych osobowych zwykłych przetwarzane są dane osobowe szczególnej kategorii w szczególności w postaci danych dotyczących zdrowia. Zgodnie z art. 4 pkt 15 RODO dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Motyw 35 RODO określa, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia, w tym:
- informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej;
- numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;
- informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;
- wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.
Aby przetwarzanie danych osobowych odpowiadało zasadzie zgodności z prawem, musi być oparte o jedną z przesłanek wskazanych w art. 6 ust. 1 RODO – dla danych zwykłych – lub jeden z wyjątków przewidzianych w art. 9 ust. 2 RODO – dla danych osobowych szczególnych kategorii.
Dane dotyczące zdrowia w procesie udzielania świadczeń zdrowotnych przetwarzane są na podstawie art. 9 ust. 2 lit. h RODO, tj. gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.
Powyższe dane mogą być przetwarzane na podstawie art. 9 ust. 1 lit. h RODO wyłącznie wtedy, gdy są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
Sposób oraz warunki udzielania świadczeń zdrowotnych uregulowane są w szczególności w ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej, u.p.p., ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, u.z.f., ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, rozporządzeniu Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania, a więc mają swoją podstawę w prawie państwa członkowskiego.
Wobec powyższego – uzyskiwanie zgody pacjenta na przetwarzanie jego danych osobowych jest nieprawidłowe.
Dane zwykłe pacjenta mogą być lub są przetwarzane w celu rejestracji na wizytę, wysyłania monitów odwołujących wizytę lub przypominających o niej, prowadzenia rozliczeń z płatnikiem lub organami podatkowymi, czy też dochodzenia roszczeń wynikających z prowadzonej działalności. Przetwarzanie takie odbywa się na podstawie jednej z przesłanek z art. 6 ust. 1 RODO.
Przetwarzanie danych osobowych szczególnej kategorii na podstawie innej niż zgoda nie zwalania administratora danych osobowych (podmiotu wykonującego działalność leczniczą, w tym fizjoterapeutę wykonującego zawód w ramach działalności leczniczej w postaci indywidualnej lub grupowej praktyki fizjoterapeutycznej) z obowiązku informacyjnego wobec pacjenta, tj. poinformowania go m.in. o celach i podstawie przetwarzania danych, czyli, np. że przetwarza dane osobowe pacjenta w celu diagnozy medycznej/zapewnienia opieki zdrowotnej/leczenia/zarządzania systemami i usługami opieki zdrowotnej na podstawie art. 9 ust. 2 lit. h RODO.
Jak wzywać pacjenta do gabinetu zgodnie z RODO?
Tak, aby w jak najszerszym zakresie zachować prawo pacjenta do prywatności i godności, minimalizując ryzyko ujawnienia danych osobowych osobom nieuprawnionym, przy uwzględnieniu istniejących warunków organizacyjnych i lokalowych – brzmi skomplikowanie, ale w rzeczywistości jest to prostsze niż się wydaje, np.:
- za pomocą elektronicznego systemu identyfikacji (wyświetlania numerów nadanych pacjentom podczas rejestracji wraz z numerem gabinetu) – może mieć niewielkie zastosowanie ze względu na koszty wdrożenia i utrzymania;
- poprzez wywoływanie pacjentów za pomocą kolejnych numerów nadawanych pacjentom podczas rejestracji (do dokumentacji medycznej dołącza się właściwy numer/pacjentowi wręcza się odpowiedni numer, itp.; wywołania dokonuje przyjmujący fizjoterapeuta);
- w przypadku gdy wizyty umawiane są na konkretną godzinę – poprzez wywołanie pacjenta z godz. Y;
- w przypadku gdy w poczekalni znajduje się jedna osoba o danym imieniu – poprzez wywołanie pacjenta po tym imieniu.
- Możliwe jest również wywołanie pacjenta z wykorzystaniem więcej niż jednej wskazanej powyżej metody, z dodaniem numeru gabinetu, np. zapraszam Pana/Panią X (tylko imię) z godz. Y do gabinetu Z.
Niedopuszczalną praktyką jest wywoływanie pacjentów przy wykorzystaniu imienia i nazwiska bądź samego nazwiska pacjenta, jak też nadawanie pacjentom jakichkolwiek pseudonimów albo nazw fikcyjnych postaci!
Kancelaria Radcy Prawnego Krzysztof Baka
