Artykuł pochodzi z LEX Ochrona Zdrowia

Z uwagi na to, że zarówno dowód osobisty jak i paszport zawierają dane szersze niż te, które potrzebne są do udzielania i rozliczania świadczeń zdrowotnych, wykonanie i zachowanie ich kopii byłoby dopuszczalne tylko w przypadku wyrażenia na to zgody przez pacjenta, zgodnie z ogólnymi zasadami przyzwolenia na przetwarzanie danych za zgodą - art. 9 ust. 1 pkt a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO – ze wskazaniem m.in. celu przetwarzania).

Jednak musiałaby być to zgoda wyrażona swobodnie i całkowicie dobrowolnie, co oznacza, iż od jej wyrażenia nie można uzależnić udzielenia świadczeń zdrowotnych. W konsekwencji kopiowanie omawianych dokumentów nie mogłoby być standardową procedurą stosowaną w każdym przypadku i należałoby również liczyć się z tym, iż pacjent zgody na takie kopiowanie nie wyrazi.

 

RODO i zakres danych

RODO – nie zawiera zapisów przewidujących generalny zakaz sporządzania i przechowywania kopii dokumentów zawierających dane osobowe. Kopiowanie i przechowywanie wykonanej kopii jest jednak niczym innym jak przetwarzaniem danych zawartych w tym dokumencie (czy też tej jego części która została skopiowana). Przetwarzanie takie, jak każda inna jego forma, musi więc spełniać przesłanki z art. 6 RODO, który stanowi, że przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W dowodzie za dużo danych

Jeśli chodzi o wymienione w pytaniu dokumenty, dowód osobisty zawiera m.in. nazwisko rodowe, imiona rodziców, wizerunek twarzy (art. 12 ustawy z 6.08.2010 r. o dowodach osobistych; Dz.U. z 2017 r. poz. 1464). Paszport zaś zawiera m.in. wizerunek twarzy i podpis posiadacza i dane biometryczne (art. 18 ustawy z 13.07.2006 r. o dokumentach paszportowych; Dz.U. z 2016 r. poz. 758)

Jak wynika z w/w przepisów zakres danych zawartych w tych dokumentach jest znacznie szerszy niż dane wymagane do prowadzenia dokumentacji medycznej, wymienione w rozporządzeniu Ministra Zdrowia z 9.11.2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania - dalej r.d.m. oraz do sprawozdawczości dla NFZ, wynikającej z rozporządzenia Ministra Zdrowia z 20.06.2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych.

Zatem w przypadku wykonania i pozostawienia sobie kopii jednego z w/w dokumentów, świadczeniodawca przetwarzałby nie tylko dane pacjenta, których jest uprawniony z uwag na cel ich pozyskania (udzielenie świadczenia zdrowotnego) ale i inne (wizerunek twarzy, dane biometryczne). Tego rodzaju przetwarzanie uznane zostało zaś w orzecznictwie za nieusprawiedliwione (vide: wyrok Naczelnego Sądu Administracyjnego, I OSK 1354/16).

Jeśli jest zgoda pacjenta, to co innego

Wykonanie i zachowanie kopii jednego z w/w dokumentów byłoby natomiast oczywiście dopuszczalne w przypadku wyrażenia na to zgody przez pacjenta, zgodnie z ogólnymi zasadami przyzwolenia na przetwarzanie danych za zgodą (art. 9 ust. 1 pkt a RODO – ze wskazaniem m.in. celu przetwarzania). Jednak musiałaby być to zgoda wyrażona swobodnie i całkowicie dobrowolnie, co oznacza, iż od jej wyrażenia nie można uzależnić udzielenia świadczeń zdrowotnych. W konsekwencji kopiowanie omawianych dokumentów nie mogłoby być standardową procedurą stosowaną w każdym przypadku i należałoby również liczyć się z tym iż pacjent zgody na takie kopiowanie nie wyrazi.