Placówki medyczne zgłaszają do Urzędu Ochrony Danych Osobowych pytania, związane z sytuacjami, w których pacjenci proszą telefonicznie o podanie kodu dostępu niezbędnego dla realizacji e-recepty. Zgłaszają się po kody tłumacząc, że zgubili cyfry, które otrzymali od lekarza w formie wydruku. Zaś pracownicy szpitali i przychodni nabrali wątpliwości czy mogą zdalnie podawać takie informacje zainteresowanym. UODO odpowiedział placówkom medycznym, że jest to dopuszczalne, ale tylko w wyjątkowych przypadkach.
UODO powołał się na art. 96b prawa farmaceutycznego, zgodnie z którym osoba wystawiająca receptę udziela pacjentowi informacji o wystawionej e-recepcie zawierającą min. 4-cyfrowy kod dostępu. Taka informacja może być wysyłana na wskazany przez pacjenta w systemie informacji o ochronie zdrowia adres e-mail lub wiadomość SMS na numer telefonu.
Pacjent ma prawo otrzymać receptę również w postaci wydruku w 3 przypadkach: braku wskazania adresu e-mail, numeru telefonu, a także na żądanie pacjenta albo w innej uzgodnionej postaci zawierającej co najmniej klucz dostępu do recepty lub pakietu recept lub kod dostępu oraz nazwę produktu leczniczego – w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania lub badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku (ust. 2 pkt 3).
Zobacz procedurę w LEX: Wystawienie recepty elektronicznej >
Pacjent może dostać mail lub sms
Zatem na podstawie obowiązujących przepisów tę informację pacjent otrzymuje – poza wydrukiem, również na jego żądanie albo w innej uzgodnionej postaci w określonych sytuacjach, tj. kiedy świadczenie zdrowotne jest udzielane w miejscu wezwania lub badania za pośrednictwem systemów teleinformatycznych lub środków łączności (telemedycyna).W każdym innym przypadku pacjent może zgłosić się do miejsca, w którym była wystawiana recepta z prośbą o ponowny wydruk.
Informację tę – niezależnie od sposobu jej przekazania, zgodnie z art. 96b ust. 3 - wydaje tylko osoba, która wystawiała receptę. Zatem, jeżeli receptę dla konkretnego pacjenta wystawił lekarz, to tylko ten lekarz jest osobą uprawnioną do przekazywania pacjentowi informacji zawierającej m.in. 4-cyfrowy kod dostępu zawarty na e-recepcie.
Sprawdź w LEX: Kiedy przy wystawianiu pacjentowi e-recepty należy wydać wydruk informacyjny o niej? >
W przypadku udzielania świadczeń zdrowotnych w ramach telemedycyny – z punktu widzenia ochrony danych osobowych, istotne jest właściwe zidentyfikowanie pacjenta. W przeciwnym wypadku może prowadzić do udostępnienia informacji osobie nieuprawnionej, która – jeśli dodatkowo dysponowałaby numerem PESEL pacjenta – mogłaby zrealizować receptę, podszywając się pod pacjenta. Pracownicy medyczni powinni zatem potwierdzić tożsamość rozmówcy przy zastosowaniu wdrożonych zasad zapewniających maksymalny poziom ochrony danych osobowych tak, aby udzielone informacje zostały przekazane wyłącznie osobie uprawnionej do uzyskania takich informacji.
Czytaj w LEX: Recepty pro auctore i pro familiae >
Weryfikacja po numerze PESEL
Choć obowiązujące przepisy nie wskazują, aby placówka medyczna dysponowała prawem do ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej, to w wyjątkowych sytuacjach, po zweryfikowaniu tożsamości osoby dzwoniącej, osoba wystawiająca receptę mogłaby przekazać pacjentowi 4-cyfrowy kod dostępu. Istotne w takich przypadkach jest prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna (np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd.).
Czytaj w LEX: Weryfikacja tożsamości pacjenta i jego uprawnień do pobierania świadczeń >
Nie oznacza to jednak, że udostępnianie tych informacji w takiej formie powinno stać się powszechną praktyką, pozwalającą na każdorazowe udostępnianie danych osobowych pacjentów przez podmioty udzielające świadczeń zdrowotnych. W przypadku wątpliwości odnośnie do tożsamości osoby dzwoniącej w celu uzyskania informacji dotyczących pacjenta – w sytuacjach zwyczajnych personel szpitala czy przychodni powinien udzielenia informacji.
Czytaj w LEX: RODO w ochronie zdrowia - przewodnik po zmianach w zakresie ochrony danych osobowych w placówkach medycznych >
Farmaceuta nie może nadużywać prawa
Jednocześnie -jak tłumaczy UODO -farmaceuci podczas realizacji e-recepty powinni mieć również na względzie zasady przetwarzania danych osobowych i pamiętać, że do tego celu nie jest potrzebne okazanie, a tym bardziej kopiowanie dowodu osobistego pacjenta. Zgodnie bowiem z przepisami Prawa farmaceutycznego w tym celu wystarczy gdy pacjent okaże wydruk informacyjny lub przestawi określone dane zawarte w recepcje np. 4-cyfrowego kodu dostępu (znajdującego się na wydruku informacyjnym albo w otrzymanym przez pacjenta SMS) oraz numeru PESEL. Ewentualnie skopiowanie dowodu osobistego prowadziłoby do pozyskiwania przez aptekę danych wykraczających poza, przewidziany przedmiotowymi przepisami, zakres niezbędny do realizacji recepty np. wizerunku pacjenta z naruszeniem zasad celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO.
Sprawdź w LEX: Czy lekarz specjalista w POZ może wystawiać recepty z kodem "S"? >
UODO podkreśla też, że apteki nie mogą przechowywać udostępnionych przez pacjentów wydruków informacyjnych. Dlatego po odczytaniu z takiego wydruku danych, wymaganych do realizacji recepty, farmaceuta powinien zwrócić go pacjentowi.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.