Czy lekarz musi pobierać od pacjenta zgodę na przetwarzanie danych osobowych

Brak komentarzy

gabinet lekarskiRODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych dotyczy każdego, kto przetwarza dane osób fizycznych. Wśród zobowiązanych do dostosowania się do nowych przepisów znajdą się również lekarze i lekarze dentyści. Ochrona danych z ich perspektywy ma bardzo istotne znaczenie! Chociażby dlatego, że w gabinetach i poradniach dochodzi do przetwarzana danych dotyczących zdrowia czy danych genetycznych, które są danymi szczególnych kategorii. Czy w związku z tym lekarz będzie zobowiązany do pobierania od pacjentów zgody, by zamieszczać w dokumentacji medycznej ich dane osobowe lub by kontaktować się z nim telefonicznie w celu przełożenia wizyty? Takie pytania kierują do mnie lekarze, którzy po wstępnych „szkoleniach z RODO” boją się nadchodzących zmian. Zastanawiają się również, jak skupić się na leczeniu i czynić użytek z nowych technologii, a jednocześnie nie narazić się na odpowiedzialność za niedopełnienie czynności formalno-prawnych. W poniższym artykule wyjaśnię kwestię zgody pacjenta na przetwarzanie jego danych w kontekście świadczonych usług medycznych.

Działalność lecznicza

Zacznijmy od definicji, którą znajdziemy w art. 3 ust. 1 ustawy o działalności leczniczej. Jej brzmienie jest następujące: „Działalność lecznicza polega na udzielaniu świadczeń zdrowotnych. Świadczenia te mogą być udzielane za pośrednictwem systemów teleinformatycznych lub systemów łączności. Działalność lecznicza może również polegać na promocji zdrowia lub na realizacji zadań dydaktycznych i badawczych w powiązaniu z udzielaniem świadczeń zdrowotnych i promocją zdrowia, w tym wdrażaniem nowych technologii medycznych oraz metod leczenia”.

Dokumentacja medyczna

Podmiot udzielający świadczeń zdrowotnych jest zobowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną. O tym w jaki sposób ma to robić mówi ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawa o systemie informacji w ochronie zdrowia, jak również wydane na ich podstawie rozporządzenia. Co więcej, podmiot udzielający świadczeń zdrowotnych jest również zobowiązany zapewnić ochronę danych zawartych w tej dokumentacji.

W tym miejscu zaznaczę, że kwestia tajemnicy lekarskiej oraz zasad udostępniania informacji o pacjencie została przeze mnie szczegółowo omówiona we wpisie o dostępie do dokumentacji medycznej.

Jakie dane osobowe przetwarzają lekarze?

Lekarze przetwarzając dane pacjentów mają do czynienia z danymi zwykłymi (np. imię i nazwisko, adres zamieszkania, nr PESEL, nr telefonu, adres e-mail) oraz danym szczególnych kategorii (dane o stanie zdrowia, seksualności, dane genetyczne). Ponadto, jeśli lekarz, w zakresie prowadzonej przez siebie działalności gospodarczej, zatrudnia personel medyczny lub nawiązuje współpracę z podmiotami świadczącymi na jego rzecz określone usługi, możemy mówić o przetwarzaniu danych z innego tytułu niż cele zdrowotne. Katalog danych przetwarzanych przez pomiot wykonujący działalność leczniczą zależy od indywidualnego charakteru działalności, zakresu i celu dokonywanych operacji.

W niniejszym wpisie skupię się wyłącznie na danych pobieranych od pacjentów. Kwestie przetwarzania danych osobowych pracowników i innych podmiotów omówię w kolejnych wpisach.

Przetwarzanie danych niewymagające zgody pacjenta

Na początku podkreślę, że nie można mylić zgody na przetwarzanie danych osobowych ze zgodą na udzielanie świadczeń zdrowotnych. Są to dwa odrębne oświadczenia woli!

Przepisy RODO wyłączają obowiązek pozyskiwania od pacjenta zgody na przetwarzanie danych osobowych dotyczących zdrowia w następujących sytuacjach:

  1. Przetwarzanie jest niezbędne dla celów profilaktyki zdrowotnej. Należy przez to rozumieć przetwarzanie związane z informowaniem pacjenta o możliwości udzielenia świadczenia, zaproszenie na badania przesiewowe lub wykonanie szczepień. Przy czym przetwarzanie w celu profilaktyki jest niezbędne tylko wtedy, jeżeli jest uzasadnione stanem zdrowia pacjenta, czynnikami ryzyka lub rokowaniami co do niego zawartymi w dokumentacji medycznej.
  2. Przetwarzanie jest niezbędne dla celów medycyny pracy, w tym oceny zdolności pracownika do pracy – takie przetwarzanie związane jest z procesem realizacji zadań służby medycyny pracy.  Bedą to: badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne wykonywane na podstawie pisemnej umowy zawartej przez pracodawcę z podstawową jednostką służby medycyny pracy.
  3. Przetwarzanie jest niezbędne w celu diagnozy medycznej i leczenia – czyli wiąże się z procesem udzielania świadczeń zdrowotnych (diagnostycznych i leczniczych). Obejmuje zatem prowadzenie dokumentacji medycznej.
  4. Przetwarzanie jest niezbędne dla zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej. Pod tym celem kryje się rejestracja pacjenta, przypomnienie o terminie realizacji świadczenia zdrowotnego czy odwołanie wizyty, które wiążą się z zapewnieniem ciągłości opieki zdrowotnej. Ponadto, będzie to również: zapewnienie jakości udzielania świadczeń i związane z nim badanie satysfakcji pacjentów, komunikacją po udzieleniu świadczenia w celu oceny samopoczucia pacjenta, jak również wykonywanie innych czynności pomocniczych przy udzielaniu świadczeń zdrowotnych.
  5. Przetwarzanie jest niezbędne dla zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego – czyli  wystawianie zaświadczeń lekarskich, wykonywanie zadań przez lekarzy orzeczników.

Przetwarzanie danych w celach inne niż zdrowotne

W niektórych sytuacjach mimo, że przetwarzanie nie wpisuje się ww. katalog zwolnień obowiązek pozyskania zgody również nie będzie miał zastosowania. Zgodnie z brzmieniem rozporządzenia nastąpi to w celach określonych w art. 6 ust. 1 lit. b) – f) lub art. 9 ust. 2 lit. c), f), g), i), j). Mianowicie, gdy przetwarzanie odbywa się na podstawie umowy lub w celu wypełnienia obowiązku prawnego. Jak również w celu wykonania zadania realizowanego w interesie publicznym, w związku ochroną żywotnych interesów lub gdy dotyczy danych w sposób oczywisty upublicznionych. Ponadto, pozyskanie zgody nie będzie miało zastosowania, jeśli przetwarzanie jest niezbędne dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych.

Przetwarzanie danych wymagające zgody pacjenta

Pozyskiwanie przez lekarzy zgody na przetwarzanie danych będzie miało miejsce w sytuacji, gdy nie istnieje inna podstawa prawna.

Przykładem może być przetwarzanie danych osobowych pacjentów w celach marketingowych lub w związku z realizacją badań klinicznych lub naukowych. Podobna sytuacja dotyczy przetwarzania danych w związku ze zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach. Jak również w sytuacji przekazywania danych osobowych do państwa trzeciego.

Za każdym razem przed pozyskaniem od pacjenta zgody, administrator danych powinien indywidualnie zbadać, czy zgodnie z  RODO nie posiada innej podstawy prawnej do przetwarzania danych.

Podsumowanie

Reasumując, w przypadku świadczenia usług medycznych zgoda nie stanowi podstawowego warunku legalności operacji na danych osobowych. Jest jedną z przesłanek legalności, ale nie jedyną. Przypominam, że katalog przesłanek legalności oraz wzór zgody opisałam tu. 

Lekarze i lekarze dentyści, którzy wykonując swój zawód przetwarzają dane osobowe jako podstawę prawną zazwyczaj wskażą przepis rozporządzenia w związku z właściwym przepisem krajowym. Dopiero, gdy zastosowania nie znajdzie żadna z przesłanek należy rozważyć zasadność pozyskania zgody pacjenta. Warto poczynić ustalenia w tym zakresie, co pozwoli również prawidłowo wypełnić obowiązek informacyjny wynikający z Rodo.

Źródła