RODO: czy pacjent musi wypełniać formularze zgód?

W związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) trafiło do państwa mnóstwo dokumentów.

Foto: pixabay.com

Były to choćby formularze zgód na przetwarzanie danych, informacje o przetwarzaniu danych i prawach w związku z tym przysługujących, umowy o powierzenie przetwarzania danych.

Podmioty wykonujące działalność leczniczą mogą przetwarzać dane osobowe pacjentów bez ich zgody, jeśli jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (art. 9 ust. 2h) RODO).

Informowanie pacjentów o możliwości uzyskania świadczeń nie będzie wymagało ich zgody, nawet jeśli może doprowadzić do zwiększenia ilości udzielanych świadczeń, jeśli jest to uzasadnione zawartymi w dokumentacji medycznej danymi o stanie zdrowia pacjenta, rokowaniami co do tego stanu czy czynnikami ryzyka. Podobnie zgoda nie jest potrzebna, gdy informacje przekazywane są pacjentowi w wykonaniu obowiązku wynikającego z przepisów prawa (choćby w przypadku szczepień).

Zgoda nie jest potrzebna także w przypadkach „klasycznych”, jak w każdej działalności gospodarczej, np. przy ustalaniu, dochodzeniu, obronie roszczeń.

Zakres przetwarzanych danych regulują przepisy dotyczące dokumentacji medycznej, ale adekwatne do celów przetwarzania będzie również zbieranie szerszych danych kontaktowych (telefon, e-mail). Zgody pacjenta wymagało będzie przetwarzanie w celach marketingowych (ale niezwiązanych bezpośrednio ze zdrowiem pacjenta), w ramach badań klinicznych i naukowych. Obowiązek przekazywania pacjentom informacji wskazanych w art. 13 RODO musi być wykonywany w takiej formie i w taki sposób, żeby mogły one do nich dotrzeć i zostać zrozumiane, nawet jeśli będzie to komunikat obrazkowy.

Sugerowane sposoby to umieszczanie informacji w dokumentach, jakie pacjent otrzymuje przy udzielaniu świadczeń, na stronach internetowych czy portalu służącym do obsługi pacjenta, w ogólnodostępnych miejscach, z których pacjenci muszą skorzystać podczas wizyty (rejestracja, poczekalnia), w regulaminie organizacyjnym podmiotu. Dyskusyjne jest to, czy wystarczy zastosowanie jednej z takich form, czy większej ich liczby (co raczej nie będzie zbyt uciążliwe).

Omówienia wymaga też kwestia umów powierzenia przetwarzania danych. Problemy praktyczne pojawiają się tu w przypadku podmiotów współpracujących z pracodawcami np. w zakresie medycyny pracy czy przy współpracy z lekarzami prowadzącymi praktykę wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład. W pierwszym przypadku współpracują ze sobą dwaj niezależni administratorzy danych i do przetwarzania danych w celu udzielania świadczeń zdrowotnych osobom wskazanym przez pracodawcę nie jest konieczne zawieranie z nim umowy o powierzenie przetwarzania danych.

Podobnie będzie w przypadku współpracy z zakładem ubezpieczeń zlecającym badania, podmiotem świadczącym usługi w zakresie diagnostyki laboratoryjnej czy obrazowej.

W przypadku lekarza udzielającego świadczeń w zakładzie leczniczym w ramach własnej praktyki nie dochodzi do przekazania całości bądź części działań związanych z przetwarzaniem organizacji zewnętrznej (mimo odrębnej podmiotowości lekarza udzielającego świadczeń), a całe przetwarzanie odbywa się wewnątrz zakładu leczniczego i to na określonych przez ten zakład zasadach i przy wykorzystaniu jego środków. Lekarz wykonuje wobec tego swoje czynności na podstawie upoważnienia, a nie umowy o powierzenie przetwarzania danych. Ma w tym zakresie podobną pozycję do pracowników zatrudnionych na umowy o pracę. Analogicznie należy traktować stażystów czy lekarzy w trakcie specjalizacji.

Obecnie trwają prace nad kodeksem postępowania podmiotów wykonujących działalność leczniczą, który zgodnie z art. 40 RODO ma pomóc we właściwym stosowaniu jego przepisów. Stosowanie takiego kodeksu, po jego zatwierdzeniu przez Prezesa Urzędu Ochrony Danych Osobowych, jest jednym w elementów wskazujących na wywiązywanie się z obowiązków przewidzianych RODO, a także stanowić czynnik łagodzący przy karaniu za ewentualne naruszenia tych obowiązków.

Jarosław Klimek
Radca prawny OIL w Łodzi