Od 25 maja 2018 r. obowiązuje rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, czyli tzw. RODO. Wprowadza ono nowe zasady ochrony danych osobowych, w tym wrażliwych, czyli danych o stanie zdrowia. To oznacza, że szpitale, przychodnie, ale także prywatne gabinety lekarskie będą musiały wprowadzić wiele zmian.
Więcej praw mają pacjenci
Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji podkreśla, że dzięki RODO dane dotyczące zdrowia mają być lepiej chronione.
- Jeżeli pacjent rejestruje się w recepcji szpitala czy przychodni, ma prawo być anonimowy. Ma prawo, żeby wszyscy, którzy są dookoła nie wiedzieli jak ma na imię i na nazwisko – dodaje Kawecki.
To dlatego, po 25 maja lekarz nie powinien wywołać pacjenta do gabinetu po nazwisku. Będzie mógł użyć np. samego imienia, godziny, na którą pacjent był zapisany lub numerka.
RODO nakłada na lecznice obowiązek pozyskiwania i przechowywania danych chorych, ale muszą do tego wykorzystywać odpowiednie narzędzia tak, by wszystkie dane były bezpieczne i wpadły w niepowołane ręce. RODO nakłada obowiązek należytego ich przechowywania. Co w praktyce oznacza, że np.: lekarz, który nas leczy nie powinien rozkładać na stole kart pacjenta. Chodzi o to, byśmy nie wiedzieli kto miał wizytę przed nami i kto wejdzie po nas. Warte rozważenia jest zrezygnowanie z oznaczania gabinetów medycznych specjalnością lekarza.
- Jeżeli pacjent czeka w kolejce do lekarza ma prawo, aby ci, którzy czekają razem z nim nie wiedzieli do jakiego specjalisty czeka, żeby cała miejscowość, w której się leczy, nie wiedziała o tym, że danego dnia był się u psychiatry, wenerologa, czy seksuologa - tłumaczy Maciej Kawecki.
Obchód lekarski – jakie informacje można podać na forum?
RODO wymusza także zmiany w obchodzie lekarskim. Nie będzie mogła mieć miejsca sytuacja, gdy lekarze, pielęgniarka i studenci wchodzą do wieloosobowej sali i w obecności innych chorych wypytują o intymne sprawy pacjenta tak, że wszyscy słyszą o czym rozmawiają.
- Personel musi być przeszkolony i świadomy tego, że wszędzie musi chronić dane osobowe pacjentów, począwszy od rejestracji, na oddziałach skończywszy – mówi Krzysztof Jastrzębski, inspektor danych osobowych z Warszawy. – Nie ma problemu z tym, by lekarz wchodząc na salę powiedział głośno imię i nazwisko pacjenta, gdy szuka chorego, ale jeśli chce z nim porozmawiać o jego stanie zdrowia, opowiedzieć mu na czym polega badanie, wtedy lepiej, by zrobił to na osobności.
Lekarz powinien działać w sposób zapewniający pełną poufność komunikacji z pacjentem, dlatego powinien stworzyć odpowiednie warunki: zachować odpowiedni odstęp pomiędzy pacjentami przy unikaniu zbyt głośnego mówienia, postawić parawan przesłaniający podejmowane czynności albo zaprosić pacjenta do osobnego pomieszczenia, a gdy nie można tego zapewni albo poprosić inne osoby o opuszczenie sali na czas udzielania świadczenia.
Nowe prawa dla pacjenta
RODO oznacza dodatkowe obowiązki dla placówek medycznych, bo pacjentom daje nowe prawa. Najwięcej problemów może przynieść tzw. obowiązek informacyjny względem pacjentów (art. 13 i 14 RODO). To oznacza, że administrator danych, czyli szpital czy przychodnia podczas pozyskiwania od pacjenta danych musi posługiwać się jasnym i przejrzystym językiem, musi korzystać z czytelnych grafik, ale także nowe klauzule informacyjne musi zamieścić w dokumentach przekazywanych pacjentowi np. umowie o świadczenie usług medycznych.
- Najprostszym rozwiązaniem będzie tutaj dołączenie tychże praw do listy praw pacjenta i udostępnienie ich tymi samymi kanałami, a zatem np. strona internetowa, ogólnodostępna gablota w placówce, czy w uzasadnionych przypadkach, również, dodatkowa informacja do podpisu przez pacjenta przychodzącego po raz pierwszy do danej jednostki ochrony zdrowia – mówi radca prawny Maciej Łokaj. - Warto zauważyć, że takie formy informowania o prawach dotyczących ochrony danych osobowych winny już być wdrożone w placówkach medycznych, bazując na obecnie obowiązującej ustawie o ochronie danych osobowych, niezależnie od RODO.
Kłopotliwe pytania od pacjentów
Szczególnie kłopotliwy dla szpitali może być sytuacja, jeśli pacjent powoła się na art. 15 RODO, dający mu prawo do uzyskania od placówki medycznej potwierdzenia czy placówka ta przetwarza jego dane osobowe, a jeśli tak, to pacjent ma prawo do dostępu do tych danych, a także do uzyskania od placówki medycznej nieodpłatnie kopii danych osobowych podlegających przetwarzaniu, w tym kopii dokumentacji medycznej i innych danych osobowych pacjenta (ale nie wyciągu lub odpisu).
- Zwłaszcza na początku ludzie mogą się zgłaszać i pytać o to, czy dana placówka przetwarza ich dane osobowe – mówi Jastrzębski. – Placówka musi na te wszystkie pytania odpowiedzieć.
Zdaniem radcy prawnego Macieja Łokaja, w przypadku złożenia przez pacjenta żądania dostarczenia kopii danych osobowych, a zatem również danych zawartych w dokumentacji medycznej, jednostka ochrony zdrowia będzie zmuszona przesłać do pacjenta kopię dokumentacji, co do zasady, nieodpłatnie. Pacjent będzie musiał jedynie spełnić jeden warunek, tzn. w sposób wyraźny powołać się na art. 15 RODO.
- Niezwykle ważne jest, że przysługujące osobom fizycznym prawo dostępu ma charakter bezwarunkowy – podkreśla Łokaj. - Tym samym pacjent nie będzie musiał spełniać żadnych dodatkowych wymogów, a w szczególności nie będzie miał obowiązku uzasadniać swojego wniosku o kopię danych.
Nieodpłatne udostępnienie kopii dokumentacji medycznej z powołaniem się na art. 15 RODO może mieć miejsce tylko raz. Za kolejne kopie placówka medyczna może już pobierać opłaty.