Dane osobowe przetwarzane podczas udzielania świadczeń zdrowotnych są określane mianem danych szczególnej kategorii. Poniżej kluczowe informacje istotne z punktu widzenia pacjentów oraz podmiotów udzielających tych świadczeń.
Podsumowanie
- Jeżeli podstawą przetwarzania danych osobowych dotyczących zdrowia jest zgoda, powinna być wyraźna, tj. wyrażona w formie oświadczenia woli.
- Jeżeli przetwarzanie dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika, nie zachodzi konieczność powoływania inspektora ochrony danych (IOD).
- Dane osobowe dotyczące zdrowia pacjenta powinny być zachowane w tajemnicy także po jego śmierci.
- Opłaty za udostępnienie dokumentacji medycznej nie pobiera się od pacjenta (lub jego przedstawiciela) przy pierwszym żądaniu udostępnienia takich danych.
Zgodnie z definicją zawartą w motywie 35 RODO, „do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej (…); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro”.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Podstawy przetwarzania
Podstawami upoważniającymi administratorów danych do przetwarzania danych osobowych dotyczących stanu zdrowia, zgodnie z art. 9 RODO, są m.in. (wytłuszczone, to podstawy najistotniejsze i najpopularniejsze):
- wyraźna zgoda osoby, której dane dotyczą;
- konieczność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora np. w dziedzinie prawa pracy, zabezpieczenia społecznego czy ochrony socjalnej;
- konieczność przetwarzania dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie dokonywane w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń, np. przez fundację, stowarzyszenie lub inny niezarobkowy podmiot, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń, bądź w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie niezbędne ze względów związanych z ważnym interesem publicznym;
- przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
- przetwarzanie niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, bądź do celów statystycznych.
W przypadku zgody powinna być ona wyraźna. Choć unijny ustawodawca nie dookreślił tego wyrażenia, można przypuszczać, że powinna być wyrażona w formie oświadczenia woli.
Kiedy IOD w służbie zdrowia?
Ważnym aspektem dotyczącym danych o stanie zdrowia, o którym mowa w RODO, jest także konieczność powołania inspektora ochrony danych przez podmioty udzielające świadczeń zdrowotnych. Powołanie inspektora jest obligatoryjne w przypadku, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a zatem także w przypadku przetwarzania danych dotyczących stanu zdrowia. Przy czym, zgodnie z motywem 91 RODO, przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
Ustawa o prawach pacjenta a RODO
Jak powszechnie wiadomo, pacjent ma prawo do dokumentacji medycznej. Dlatego też podmioty udzielające świadczeń medycznych zawierając umowy powierzenia danych osobowych są zobligowane do tego, by realizacja takiej umowy nie zakłóciła udzielania świadczeń zdrowotnych, a w szczególności by nie utrudniała niezwłocznego dostępu do danych zawartych w dokumentacji medycznej. Ponadto, po zakończeniu przetwarzania powierzonych danych osobowych zawartych w dokumentacji medycznej, podmiot przetwarzający (na przykład podczas likwidacji placówki) jest zobowiązany do zwrotu/przekazania takich danych do podmiotu, który te dane powierzył (tj. do administratora udzielającego świadczeń medycznych).
Podobnie jak w przypadku standardowego powierzenia danych, także powierzenie danych szczególnych kategorii wiąże się ze zobowiązaniem do zachowania w tajemnicy informacji związanych z pacjentem – z tym jednak obostrzeniem, że utrzymanie tych danych w tajemnicy dotyczy także okresu po ewentualnej śmierci pacjenta.
Wielu administratorów danych ma często problem z ustaleniem okresu przechowania dokumentacji medycznej. Jest to istotne na przykład przy realizowaniu obowiązku informacyjnego, jak i podczas tworzenia rejestru czynności przetwarzania. Ustawa o prawach pacjenta zawiera pewne ułatwienia, ponieważ wskazuje wprost okresy przechowania dokumentacji medycznej, a co za tym idzie także okresy przechowania danych osobowych. Jako przykład warto wymienić podstawowy okres, o którym mówi się w art. 29 ustawy o prawach pacjenta, tj. obowiązek przechowania dokumentacji medycznej przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
Istotny wpływ RODO na kształt praw pacjenta przejawia się także w tym, że opłaty za udostępnienie dokumentacji medycznej nie pobiera się od pacjenta lub jego przedstawiciela gdy takie żądanie wpływa do administratora pierwszy raz (ma to związek z rozbudowanym katalogiem praw podmiotów danych).
Należy jednak pamiętać, że realizacja praw podmiotów danych, o której mowa w RODO, nie w każdym aspekcie będzie tożsama z prawami pacjenta. Często o tych różnicach będzie decydowała treść żądania, tj. jasne wskazanie przez pacjenta, czy realizuje uprawnienia wynikające z ustawy o prawach pacjenta, czy też rozszerzony katalog praw podmiotów danych, o którym mowa w RODO.
