25 maja br. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Przepisy RODO będzie musiał wypełniać każdy podmiot przetwarzający dane osobowe, czyli w zasadzie wszyscy, zarówno duże szpitale, jaki i jednoosobowe praktyki lekarskie (niezależnie od formy prawnej prowadzonej działalności, struktury właścicielskiej czy uczestnictwa w systemie opieki zdrowotnej finansowanym ze środków publicznych).
RODO wprowadza wiele nowych praw dla pacjentów:
Obowiązek informacyjny względem pacjentów (art. 13 i 14 RODO)
Administrator podczas pozyskiwania od pacjenta danych musi:
- posługiwać się jasnym i przejrzystym językiem, może także korzystać z czytelnych grafik,
- realizować obowiązek informacyjny przez co najmniej 2 z poniższych form:
• umieszczenie klauzul informacyjnych w dokumentach przekazywanych pacjentowi (np. umowa o świadczenie usług medycznych); lub
• umieszczenie klauzul informacyjnych na stronie internetowej podmiotu wykonującego działalności leczniczą lub w jego systemie informatycznym dostępnym dla pacjenta (tzw. Portal Pacjenta); lub
• umieszczenie informacji na tablicach informacyjnych w przestrzeniach ogólnodostępnych, najczęściej wykorzystywanych przez pacjentów (w szczególności ciągi komunikacyjne lub izba przyjęć lub rejestracja lub poczekalnia); lub
• umieszczenie klauzul informacyjnych w regulaminie organizacyjnym podmiotu wykonującego działalność leczniczą.
Zgodnie z zasadą rozliczalności, podmiot wykonujący działalność leczniczą musi archiwizować pliki udowadniające zrealizowanie obowiązku informacyjnego. Co istotne, obowiązek taki nie istnieje wobec pacjenta, który posiada już takie informacje.
Placówka medyczna nie musi realizować obowiązku informacyjnego, gdy uzyskuje dane osobowe w związku z udostępnieniem mu dokumentacji medycznej ze względu na konieczność ciągłości udzielania świadczeń zdrowotnych.
Prawo pacjenta do dostępu do danych (art. 15 RODO)
Prawo pacjenta do dostępu do danych jest prawem odrębnym od prawa do informacji o swoim stanie zdrowia wynikającym z art. 9 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz odrębnym od prawa do dostępu do dokumentacji medycznej z art. 23 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Ma to swoje określone skutki prawne. Pacjent może dobrowolnie wybrać z jakiej podstawy prawnej wnioskuje o dostęp do informacji na jego temat przetwarzanych przez placówkę medyczną. Jeśli pacjent nie wskaże, że jego żądanie wynika z art. 15 RODO, oznacza to, że udzielenie informacji lub udostępnienie dokumentacji medycznej odbywa się na podstawie odpowiednio art. 9 lub 23 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
Jeśli jednak pacjent powoła się na art. 15 RODO, to w zależności od wskazanego żądania, pacjent ma prawo do uzyskania od placówki medycznej potwierdzenia czy placówka ta przetwarza jego dane osobowe, a jeśli tak, to pacjent ma prawo do dostępu do tych danych a także do uzyskania od placówki medycznej nieodpłatnie kopii danych osobowych podlegających przetwarzaniu, w tym kopii dokumentacji medycznej i innych danych osobowych pacjenta (ale nie wyciągu lub odpisu). Placówka medyczna przed udostępnieniem danych musi zweryfikować tożsamość pacjenta. Jeśli udostępniana będzie kopia dokumentacji medycznej na podstawie art. 15 RODO, należy odnotować ten fakt ze wskazaniem powołanej przez pacjenta podstawy prawnej w wykazie udostępnień dokumentacji medycznej. Co istotne, nieodpłatne udostępnienie kopii dokumentacji medycznej z powołaniem się na art. 15 RODO może mieć miejsce tylko raz. Za kolejne kopie placówka medyczna może już pobierać opłaty wskazane w art. 28 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta – kodeks przewiduje możliwość pobrania wyższej opłaty niż przewiduje ustawa, jeśli uzasadniają to faktyczne, udokumentowane koszty administracyjne. Kolejne kopie, to w szczególności dokumentacja medyczna w zakresie, w jakim była uprzednio udostępniona.
Prawo pacjenta do sprostowania i uzupełnienia danych osobowych (art. 16 RODO)
Pacjent ma prawo żądać niezwłocznego sprostowania danych osobowych go dotyczących przetwarzanych przez placówkę medyczną, a także do ich uzupełnienia. Prawo to nie może jednak prowadzić do naruszenia autonomii zawodowej osób wykonujących zawód medyczny, które dokonywały wpisu w dokumentacji medycznej. Placówka medyczna musi także ocenić istotność i charakter wprowadzonych sprostowań i uzupełnień oraz podjąć określone w kodeksie kroki względem innych osób, jeśli takie zmiany i uzupełniania mogłyby nieść ze sobą zagrożenie dla życia lub zdrowia pacjenta.
Prawo pacjenta do bycia zapomnianym (art. 17 RODO)
Prawo do bycia zapomnianym nie ma zastosowania wobec danych osobowych pacjentów, których dane przetwarzane są do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń. W tym w szczególności w zakresie prowadzonej dokumentacji medycznej – w okresie, w którym placówka jest zobowiązana przechowywać dokumentację medyczną na podstawie przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
Pacjent może skorzystać z prawa do bycia zapomnianym w przypadku, gdy jego dane były przetwarzane na podstawie zgody w zakresie celu objętego zgodą, jednak musi zajść tutaj przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO (np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, dane osobowe były przetwarzane niezgodnie z prawem, itd.).
Prawo pacjenta do żądania ograniczenia przetwarzania danych (art. 18 RODO)
Żądanie pacjenta ograniczenia przetwarzania danych, których przetwarzanie jest niezbędne do realizacji celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń jest bezskuteczne, placówka medyczna nadal może przetwarzać te dane w dotychczasowym zakresie.
Prawo pacjenta do przenoszenia danych (art. 20 RODO)
Żądanie pacjenta do przenoszenia danych nie ma zastosowania wobec danych przetwarzanych przez placówkę medyczną do realizacji celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń. W przypadku takiego żądania, placówka odmawia realizacja żądania i informuje o podstawie prawnej odmowy oraz o trybie uzyskiwania dostępu do dokumentacji medycznej.
Prawo do przenoszenia danych pacjentów ma zastosowanie wobec danych przetwarzanych przez placówkę medyczną, które mają charakter zautomatyzowany i prowadzone są w oparciu o zgodę pacjenta.
Prawo pacjenta do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO)
Żądania pacjenta o zaprzestanie przetwarzania jego danych związanych z realizacja celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń są bezskuteczne.
Ekspert mówi, kiedy można pobierać opłaty
Maciej Łokaj, radca prawny podkreśla, że wśród praw osób fizycznych, których dane są przetwarzane, z punktu widzenia placówek medycznych najbardziej kłopotliwe może okazać się uregulowane w art. 15 RODO prawo do dostępu do danych.
- W mojej ocenie, w przypadku złożenia przez pacjenta żądania dostarczenia kopii danych osobowych, a zatem również danych zawartych w dokumentacji medycznej, jednostka ochrony zdrowia będzie zmuszona przesłać do pacjenta kopię dokumentacji, co do zasady, nieodpłatnie. Pacjent będzie musiał jedynie spełnić jeden warunek, tzn. w sposób wyraźny powołać się na art. 15 RODO. Niezwykle ważne jest, że przysługujące osobom fizycznym prawo dostępu ma charakter bezwarunkowy – podkreśla Łokaj. - Tym samym pacjent nie będzie musiał spełniać żadnych dodatkowych wymogów, a w szczególności nie będzie miał obowiązku uzasadniać swojego wniosku o kopię danych.
Czy może to spowodować utrudnienia dla placówek medycznych? Zdaniem eksperta niewątpliwie tak, ponieważ tak sformułowane wnioski pacjentów będą skutkowały koniecznością przygotowania kopii całej dokumentacji. Czy jednostki ochrony zdrowia będą miały szansę obronić się przed tą sytuacją? - Unijny ustawodawca przewidział w art. 12 RODO możliwość odmowy podjęcia działań w związku z żądaniem albo pobrania dodatkowej, rozsądnej opłaty z tytułu żądania, jeśli jest ono ewidentnie nieuzasadnione lub nadmierne – mówi Łokaj. - Nie mniej, w praktyce, bardzo trudno będzie ocenić, która sytuacja mieścić się będzie w dyspozycji art. 12 RODO. Bo czy żądanie kopii dokumentacji medycznej z pobytu na dwóch oddziałach jest bardziej uzasadnione niż dwóch oddziałach i poradni AOS? Wg mnie placówki medyczne dużo częściej będą korzystały z narzędzia w postaci dodatkowych opłat niż odmowy realizacji żądania.
Zdaniem radcy prawnego właśnie kluczowe jest zagadnienie opłat. Łokaj podkreśla, że co do zasady, pierwsze żądanie kopii danych (uzasadnione i nienadmierne) jest nieodpłatne. - Każde kolejne podlega już „rozsądnej” opłacie. Niewątpliwie wysokość opłat w przypadku placówek medycznych wyznaczać będą regulacje art. 28 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Nie widzę tutaj podstaw prawnych dla pobierania opłat wyższych – mówi Łokaj.
Generalnym obowiązkiem placówek medycznych jest informowanie osób fizycznych – pacjentów o ich prawach. Podobna zasada dotyczyć będzie praw w zakresie ochrony danych osobowych.
- Z mojego doświadczenia najprostszym rozwiązaniem będzie tutaj dołączenie tychże praw do listy praw pacjenta i udostępnienie ich tymi samymi kanałami, a zatem np. strona internetowa, ogólnodostępna gablota w placówce, czy w uzasadnionych przypadkach, również, dodatkowa informacja do podpisu przez pacjenta przychodzącego po raz pierwszy do danej jednostki ochrony zdrowia – mówi radca prawny. - Warto zauważyć, że takie formy informowania o prawach dotyczących ochrony danych osobowych winny już być wdrożone w placówkach medycznych, bazując na obecnie obowiązującej ustawie o ochronie danych osobowych, niezależnie od RODO.