RODO w praktyce medycznej – wątpliwości ciąg dalszy
Dostosować procedury, odczekać kilka tygodni, sprawdzić, czy wszystko gra i zapomnieć – taki plan miała część osób odpowiedzialnych za wdrożenie obowiązków wynikających z wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO).
Foto: pixabay.com
Mylili się ci, którzy tak myśleli. RODO obowiązuje w całej Unii Europejskiej od 25 maja, ale wciąż pojawiają się pytania, na które nie ma odpowiedzi, a interpretacja stanowi czasami twardy orzech do zgryzienia. – Przepisy związane z RODO są mało konkretne, dlatego ciągle rodzą się wątpliwości – przyznaje Andrzej Cisło, wiceprezes Naczelnej Rady Lekarskiej.
Sytuacja jest na tyle poważna, że przy Ministerstwie Cyfryzacji powołano grupę roboczą ds. ochrony danych osobowych, mającą przygotować wytyczne dotyczące najważniejszych zagadnień, m.in. w ochronie zdrowia. Nie powinno dziwić i to, że samorząd lekarski uczestniczy w pracach nad tworzeniem Kodeksu branżowego RODO w ochronie zdrowia. Jego opracowanie reguluje art. 40 RODO. Dokument będzie mógł być stosowany przez wszystkie podmioty wykonujące działalność leczniczą niezależnie od formy prawnej, struktury właścicielskiej i podmiotu tworzącego.
Przepisy nie zwalniają od myślenia
Tuż po wejściu w życie unijnego rozporządzenia na „zakopiance” zderzył się autobus pełen młodzieży szkolnej z tirem. Pojazdy spadły ze skarpy. Do szpitali trafiło kilkudziesięciu nastolatków. Personel nie chciał informować rodziców, czy w placówce znajduje się akurat ich dziecko. – Nie możemy udzielać takich informacji przez RODO – słyszeli zrozpaczeni rodzice. Przez kilka godzin wykonywali dziesiątki telefonów, nie wiedząc, w jakim stanie są ich pociechy. Kto byłby spokojny o swoich bliskich, wiedząc z mediów, że do wypadku z ich udziałem przyleciało kilka śmigłowców Lotniczego Pogotowia Ratunkowego, a nawet helikopter wojskowy?
Tak było właśnie w tym przypadku. Ta sytuacja doskonale potwierdza nie tak odosobnioną opinię, że u niektórych osób odpowiedzialnych za wdrażanie i stosowanie unijnego rozporządzenia nowe przepisy wywołały panikę. Chcieliby wszystkiego zabronić i zakazać, zapominając, że kiedy oni lub ktoś z ich najbliższych trafi np. do szpitala, to mogą natrafić na ten sam mur obojętności, który sami próbują postawić przed innymi. Żadne przepisy nie mogą zwalniać od myślenia, a RODO wcale nie jest tak straszne, jak niektórzy je malują.
Gdy rodzic dzwoni do szpitala
Nie jest prawdą, że po wejściu w życie unijnego rozporządzenia osobie podającej się za rodzica przez telefon nie wolno udzielać informacji o stanie zdrowia i o pobycie jego dziecka w szpitalu. Konieczne jest jednak uprawdopodobnienie tożsamości osoby dzwoniącej. – Niedopuszczalne jest postępowanie zakładające z góry odmowę udzielenia informacji o stanie zdrowia pacjenta, w tym o jego pobycie w podmiocie leczniczym, bez jakiejkolwiek próby indywidualnego rozpatrzenia sygnału i weryfikacji osoby dzwoniącej – podkreśla Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta. Dodaje, że nie ma określonych sposobów weryfikacji statusu osoby kontaktującej się ze szpitalem telefonicznie.
Karty gorączkowe
Jak mówi Joanna Noga-Bogomilska, radca prawny w Departamencie Zarządzania Danymi w Ministerstwie Cyfryzacji, RODO nie zabrania wywieszania kart gorączkowych przy łóżku pacjenta. W jej ocenie należy przyjąć, że są one niezbędne dla postawienia diagnozy i zapewnienia właściwego leczenia, ale należy zabezpieczyć znajdujące się na niej informacje (np. zasłonić, odwrócić), tak aby nie zostały ujawnione osobom trzecim. – Ochrona danych nie może przeszkadzać w leczeniu pacjenta – dodaje.
Opaski dla noworodków i dorosłych
Zdaniem Joanny Noga-Bogomilskiej rezygnacja ze stosowania opasek z imieniem i nazwiskiem pacjenta, z czym mamy do czynienia w niektórych szpitalach po wejściu w życie RODO, jest działaniem na wyrost. – Identyfikacja pacjenta może być kluczowa dla jego bezpieczeństwa. Może się zdarzyć sytuacja, że hospitalizowany pacjent opuści swoją salę i zasłabnie, bez opaski będzie trudno określić jego personalia – mówi ekspertka z Ministerstwa Cyfryzacji. Podobnie sytuacja wygląda z opaskami z nazwiskiem matki zakładanymi u noworodków. – W tym przypadku przetwarzanie danych jest niezbędne ze względu na ochronę żywotnych interesów – wskazuje.
– W przypadku opasek dla noworodków dopuszczone do przetwarzania danych są tylko określone osoby z personelu – podkreśla Tomasz Soczyński, dyrektor Zespołu Informatyki Urzędu Ochrony Danych Osobowych. Ze stosowania opasek nie zrezygnowało m.in. Centrum Onkologii – Instytut w Warszawie. – W szaleństwie utajniania danych nie możemy doprowadzić do katastrofy – mówi bez ogródek Beata Jagielska, zastępca dyrektora COI, dodając, że nie wolno doprowadzić do tego, by z powodu braku danych osobowych doszło do pomyłki i pacjentowi podano np. niewłaściwą chemioterapię.
W COI w Warszawie dba się o czytelność danych na opaskach, a personel obowiązuje specjalna procedura, co zrobić w sytuacji, gdy pacjent zgubi swoją opaskę. – Mamy pacjentów wiekowych, z upośledzoną świadomością, z którymi kontakt jest utrudniony. Nie zawsze są w stanie podać swoje imię i nazwisko, a lekarz musi mieć pewność, że ma do czynienia z konkretnym chorym – podkreśla Beata Jagielska. Znane są przypadki odmów wykonania przeszczepienia przez lekarzy, kiedy przeszczep – w obawie przed RODO – niejako został zanonimizowany.
Obchody lekarskie
W ostatnim czasie pojawiły się głosy, że należałoby zrezygnować z obchodów lekarskich, bo mogą zagrażać prawu pacjentów do prywatności. – Obchody lekarskie służą wymianie informacji na temat bieżącego stanu zdrowia pacjenta i są niezbędne do diagnozy. Jest podstawa w RODO, by uznać, że jest to dozwolone. Ważne jest odpowiednie zabezpieczenie organizacyjne, tak by informacje o stanie zdrowia nie były udostępniane wszystkim obecnym na sali – podkreśla Joanna Noga-Bogomilska.
Warunki sprzyjające poszanowaniu prawa pacjenta do intymności można stworzyć, unikając zbyt głośnego mówienia, zachowując odpowiedni odstęp między pacjentami czy ustawiając parawan. Można również porozmawiać z pacjentem w innym pomieszczeniu albo – o ile to możliwe – poprosić inne osoby o opuszczenie sali.
Gdy pacjent żąda usunięcia danych
A co zrobić, gdy do placówki medycznej zgłasza się pacjent z żądaniem usunięcia jego danych? Eksperci są zgodni – nie panikować i nie spieszyć się z taką decyzją. – Jeżeli nie znajdziemy żadnej podstawy prawnej, by takie dane dalej przetwarzać, mamy 30 dni na rozważnie wniosku o ich usunięcie – wyjaśnia Tomasz Soczyński. Jak mówi Zuzanna Kosakowska, administrator bezpieczeństwa informacji w Centrum Systemów Informacyjnych Ochrony Zdrowia, prawo do usunięcia danych z dokumentacji medycznej właściwie nie funkcjonuje.
Wynika to z obowiązywania m.in. ustawy o prawach pacjenta i Rzeczniku Prawy Pacjenta, na mocy której placówka musi prowadzić dokumentację medyczną i przechowywać ją przez 20 lat od ostatniego wpisu. – W świetle RODO każdy pacjent może złożyć wniosek o modyfikację danych, ale w zakresie dokumentacji medycznej ta poprawa może dotyczyć tylko i wyłącznie tej części danych osobowych, które nie wpływają na niezależną opinię lekarza i jego wiedzę – dodaje Zuzanna Kossakowska. Oznacza to, że pacjent może m.in. żądać zmiany swojego adresu, ale nie poprawienia dokumentacji medycznej dotyczącej postawionej diagnozy.
Tabliczki na gabinetach lekarskich
Część prawników upiera się, by z tabliczek z nazwiskami lekarzy usunąć ich specjalizacje, bo mogą informować albo przynajmniej sugerować o czyimś stanie zdrowia. – To, że pacjent czeka pod drzwiami określonego specjalisty, jest informacją wrażliwą. Trzeba wyważenia interesów i dóbr prawnych. Rozwiązanie powinno być zależne od stanu zdrowia pacjenta i łatwości potencjalnego dostępu do lekarza – mówi Joanna Noga-Bogomilska.
Ekspertka uważa, że w szpitalach informacje mogłyby pozostać, aby hospitalizowanym pacjentom ułatwić trafienie do odpowiedniego gabinetu, ale w przychodniach można by z nich zrezygnować. Być może na pytanie, czy na gabinetach lekarskich powinny być podane informacje, że przyjmuje w nich ginekolog, proktolog czy onkolog, odpowiedzą wytyczne, które opracuje wspominana wcześniej grupa robocza. Pierwsze spotkania już się odbyły. Zespół pracuje nad stworzeniem czegoś w rodzaju wademecum, które pomoże w interpretacji przepisów.
Jak dowiedziałem się w resorcie cyfryzacji, opracowany materiał trafi do konsultacji do Urzędu Ochrony Danych Osobowych, a po akceptacji zostanie niezwłocznie opublikowany. Będzie stanowiskiem Ministerstwa Cyfryzacji i organów współtworzących dokument, jak chociażby ministra zdrowia czy Rzecznika Praw Pacjenta w zakresie poruszonej w nim problematyki.
Mariusz Tomczak
Do pobrania: