22 listopada 2024

Trzy miesiące w RODO (GDPR). Koniec świata nie nastąpił

25 maja 2018 r. jawił się jako kolejny dzień, w którym nastąpi koniec świata. Od tego dnia stosuje się przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – ang. General Data Protection Regulation).

Foto: pixabay.com

Koniec świata jednak znowu nie nastąpił. Jakie praktyczne wnioski mamy po trzech miesiącach z RODO?

Od strony technicznej nowe przepisy nie wprowadzają właściwie nic nowego, bo nie taka jest ich istota. Nie dają one gotowych rozwiązań w zakresie realizowania obowiązku ochrony danych osobowych. Tak jak pod rządami przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie powinno się wywieszać na drzwiach gabinetów imiennych list pacjentów czy wywoływać ich na wizytę imieniem i nazwiskiem. Można to robić przez wskazanie numerka przydzielonego przy rejestracji czy godziny, na którą pacjent został umówiony.

Powinno się też zapewnić pacjentom anonimowość przy rejestrowaniu do lekarza, choćby przez dbanie, by pacjentowi obsługiwanemu przez rejestratorkę nie stała nad głową zniecierpliwiona kolejka innych pacjentów. Ministerstwo Cyfryzacji w opublikowanych w internecie poradnikach sugeruje również, żeby nie wykładać na biurko w gabinetach wszystkich kart pacjentów umówionych tego dnia na wizytę. Równie dobrze kartę badanego pacjenta można wyciągnąć z szafki czy szuflady w momencie, gdy jest on zapraszany do gabinetu. Ministerstwo proponuje również zrezygnowanie z oznaczania gabinetów nazwami specjalizacji lekarskich, tak żeby nie można się po tym zorientować, do jakiego specjalisty ktoś czeka.

Niektóre poradnie, powołując się na RODO, zabraniają lekarzom zabierania na wizyty domowe dokumentacji medycznej pacjenta. Jest to z pewnością bardzo skuteczny sposób zabezpieczenia danych zawartych w tej dokumentacji, ale może on poważnie utrudnić leczenie, a nawet doprowadzić do poważnych kłopotów, jeśli dane już umieszczone w dokumentacji pacjenta mają znaczenie dla jego aktualnego diagnozowania i leczenia. RODO nie zakazuje w żadnym ze swoich przepisów zabierania dokumentacji pacjenta na wizytę domową. Ryzyko jej zagubienia, zniszczenia czy dostępu do niej przez osoby nieuprawnione oczywiście rośnie, ale wydaje się, że można znaleźć sposoby na rozwiązanie takich problemów.

Czytaj więcej: Nowe zasady ochrony danych pacjenta (m.in. w placówkach medycznych) w świetle RODO.

Choćby poprzez zrobienie zdjęć części dokumentacji aparatem, który jest teraz w każdym telefonie komórkowym i umieszczenie go w pamięci telefonu w katalogu, do którego dostęp zabezpieczony jest hasłem, a pliki w nim przechowywane są szyfrowane. Zwykle jest on oznaczany jako „sejf”. Po zakończeniu wizyty plik ze zdjęciami dokumentacji trzeba z telefonu usunąć. Jeśli dotychczasowa dokumentacja nie jest konieczna do leczenia pacjenta, to wpisów związanych z wizytą można dokonywać na nowych kartach i załączyć je do dokumentacji już istniejącej. Przepisy wymagają bowiem, żeby wpisów dokonywać niezwłocznie po udzieleniu świadczenia zdrowotnego, w sposób czytelny i w porządku chronologicznym.

RODO przyniosło kilka nowych uprawnień przysługujących osobom, których dane są przetwarzane. Wskazać tu można prawo do bycia zapomnianym (art. 17 RODO), do żądania ograniczenia przetwarzania danych (art. 18 RODO), do przenoszenia danych (art. 20 RODO). W przypadku danych zawartych w dokumentacji medycznej pacjenci nie mogą korzystać z takich praw. Przepisy RODO wyłączają je w sytuacjach, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia (art. 9 ust. 2h RODO).

Pojawiły się rozbieżne stanowiska co do uprawnień do żądania udostępnienia dokumentacji medycznej w oparciu o przepisy ustawy o prawach pacjenta i RODO. Zarówno Ministerstwo Cyfryzacji, jak i twórcy kodeksu branżowego postępowania w zakresie ochrony danych przez podmioty wykonujące działalność leczniczą stoją na stanowisku, że są to dwa różne uprawnienia, które się nie wyłączają. Jest to o tyle istotne, że RODO mówi o pierwszym udostępnieniu danych bezpłatnie. Nie gwarantuje jednak możliwości żądania udostępnienia wszystkich danych, a tylko danych osobowych i to w dowolnej strukturze, a nie takiej, która przewidziana jest dla danych medycznych. Udostępniający dane na podstawie RODO nie musi również zapewnić ich nośnika.

Jarosław Klimek
Radca prawny OIL w Łodzi

Do pobrania: