Możemy przetwarzać dane pacjenta bez jego zgody, kiedy jest to uzasadnione ochroną innych praw podstawowych pacjenta.
Placówka medyczna nie będzie więc musiała pozyskiwać takiej zgody, kiedy przetwarzanie danych będzie dotyczyło:
1) profilaktyki zdrowotnej – wg zapisów kodeksu cel ten obejmuje m.in. przetwarzanie związane z procesem informowania pacjenta o możliwości udzielenia świadczenia, w tym przesyłanie zaproszeń na badania przesiewowe, zaproszeń na wykonanie szczepień, przekazywanie materiałów edukacyjnych, przekazywanie informacji o wydarzeniach prozdrowotnych. Dano tu jednak zastrzeżenie, że przetwarzanie danych osobowych pacjenta do celów profilaktyki zdrowotnej jest niezbędne tylko wtedy, jeżeli jest uzasadnione stanem zdrowia pacjenta lub czynnikami ryzyka lub rokowaniami co do niego zawartymi w dokumentacji medycznej, którą dysponuje placówka medyczna;
2) medycyny pracy, w tym oceny zdolności pracownika do pracy - cel ten obejmuje w szczególności przetwarzanie związane z procesem realizacji zadań służby medycyny pracy, w tym badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne, które są wykonywane na podstawie pisemnej umowy zawartej przez pracodawcę z podstawową jednostką służby medycyny pracy;
3) diagnozy medycznej i leczenia - cel ten obejmuje w szczególności przetwarzanie związane procesem udzielania świadczeń zdrowotnych (diagnostycznych i leczniczych), w tym prowadzenie dokumentacji medycznej;
4) zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej - cel ten obejmuje m.in. w szczególności przetwarzanie związane z:
a) rejestracją pacjenta w placówce medycznej,
b) zapewnieniem jakości udzielania świadczeń, m.in. poprzez badanie satysfakcji pacjentów,
c) zapewnieniem ciągłości opieki zdrowotnej, w tym w procesie koordynacji udzielania świadczeń, co może obejmować m.in. przypomnienie o terminie realizacji świadczenia zdrowotnego, potwierdzenie wizyty, odwołanie wizyty, poinformowanie o zmianach organizacyjnych w placówce medycznej, które mają wpływ na udzielenie oczekiwanego świadczenia,
d) komunikacją po udzieleniu świadczenia w celu oceny samopoczucia/stanu zdrowia pacjenta itp.,
e) odbieraniem i archiwizacją oświadczeń woli pacjentów,
f) pozyskiwaniem informacji zarządczych/ zarządzaniem podmiotem wykonującym działalnością leczniczą,
g) weryfikacją uprawnień do uzyskania świadczeń opieki zdrowotnej i rozliczaniem zrealizowanych świadczeń opieki zdrowotnej,
h) wykonywaniem innych czynności pomocniczych przy udzielaniu świadczeń zdrowotnych, a także czynności związanych z utrzymaniem systemu teleinformatycznego,
i) wymianą informacji o stanie zdrowia pacjenta pomiędzy różnymi placówkami medycznymi w celu zapewnia ciągłości opieki zdrowotnej;
5) zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego – wg zapisów Kodeksu cel ten obejmuje w szczególności przetwarzanie związane procesem wystawiania zaświadczeń lekarskich oraz wykonywania zadań przez lekarzy orzeczników określonych w innych ustawach.
Dane adekwatne do przetwarzania
W Kodeksie jasno podkreślono, że przetwarzanie danych osobowych pacjentów jest możliwe tylko przez osoby do tego upoważnione i jednocześnie zobowiązane do zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
Kodeks wskazuje, że dane przetwarzane bez zgody pacjenta muszą być adekwatne do celu przetwarzania i ograniczone do tego, co niezbędny dla realizacji celu zdrowotnego . Kodeks przewiduje jednak możliwość pozyskania dodatkowych (nieuzasadnionych celem) danych – np. adres email, nr telefonu, gdyż zazwyczaj takie dane są adekwatne do realizacji celów zdrowotnych (przyspieszają kontakt z pacjentem, co może mieć znaczenie dla jego zdrowia).
Cele niezwiązane ze zdrowiem pacjenta
Możliwe jest także przetwarzanie bez zgody pacjenta danych w celach innych niż zdrowotne – wynikające m.in. z art. 6 ust. 1 lit. b) – f) lub art. 9 ust. 2 lit. c), f), g), i), j) RODO.
Będą to w szczególności przypadki, gdy:
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Wiele wątpliwości
Zdaniem eksperta radcy prawnego Macieja Łokaja obecnie obowiązująca ustawa o ochronie danych osobowych z 1997 roku, w zakresie wskazania przypadków prawa przetwarzania danych medycznych pacjentów bez ich zgody, jest bardzo nieprecyzyjna (art. 27 obecnej ustawy).
- Ten fakt skutkuje do tej pory występującymi licznymi wątpliwościami w tym zakresie po stronie placówek medycznych – podkreśla Łokaj. - Ustawodawca unijny podszedł do tego problemu wyraźnie inaczej i katalog przypadków, w których przetwarzanie danych medycznych bez zgody zainteresowanego jest dopuszczalne został znacząco poszerzony i doprecyzowany. Warto dodatkowo podkreślić, iż katalog wymieniony w art. 9 RODO ma charakter zamknięty.
Powstaje oczywiście pytanie czy tak ścisłe określenie wskazanego katalogu wyeliminuje wątpliwości interpretacyjne? Zdaniem eksperta nie jest to możliwe.
- Szczególnie dotyczy to sfery marketingu bezpośredniego. Należy pamiętać, że placówki medyczne mają, co do zasady, zakaz reklamy – mówi Łokaj. - Dozwolone są jedynie działania ściśle informacyjne. Do tej pory można się było spotkać z częstą praktyką, iż określone czynności uzasadnianie były zwłaszcza kwestią profilaktyki zdrowotnej, a skoro była to profilaktyka to z jednej strony działania te nie łamały zakazu reklamy, a z drugiej zaś nie wymagały zgody na przetwarzanie danych osobowych. Biorąc pod uwagę obecną definicję, która zacznie obowiązywać 25 maja, swoboda w powyższym zakresie może ulec pewnemu ograniczeniu, ale wątpliwości pozostaną. Wyznaczenie, bowiem, granicy pomiędzy informacją a promocją (dodatkowo wobec braku legalnej definicji reklamy) jest niezwykle trudne i winno być w każdym przypadku rozpatrywane indywidualnie.
Co z profilaktyką?
Pewne wątpliwości może budzić niezbędne przetwarzanie danych osobowych dla celów profilaktyki zdrowotnej, a konkretnie weryfikacji pacjentów na podstawie posiadanych danych medycznych.
- Choć rozumiem intencje autora takiego zapisu obejmujące, między innymi, właśnie ograniczenie ryzyka uznania określonych działań za reklamę, wydaje się, że tak precyzyjne a wręcz punktowe przekazywanie informacji może okazać się niezwykle trudne, a wręcz niemożliwe – podkreśla radca prawny. Wszystko zależeć będzie od jakości opisu stanu zdrowia pacjenta zawartego w dokumentacji i na przykład zakresu przekazywanych materiałów edukacyjnych. Przykładowo, czy materiały edukacyjne dotyczące stosowania prawidłowej diety z informacją o możliwości skorzystania z porady dietetyka, wysyłane do osoby której usunięto polipy jelita grubego będą już reklamą czy jeszcze informacją?
W ocenie eksperta taka sytuacja jest jak najbardziej informacją, albowiem profilaktyka chorób jelita grubego obejmuje także zagadnienia właściwego odżywiania się. Tymczasem, patrząc na proponowany zapis można mieć pewne wątpliwości biorąc pod uwagę możliwość skorzystania z pomocy dietetyka, którego pomoc nie ograniczy się tylko do schorzeń zawartych w dokumentacji pacjenta w danej placówce.
Kodeks odwołuje się również do kwestii adekwatności i niezbędności celów, co jest niezwykle słuszne i zasługuje na aprobatę. Nie mniej w przypadku placówek ochrony zdrowia i danych medycznych dochowanie tejże zasady może okazać się dużo trudniejsze niż w innych jednostkach, albowiem oceny będzie tutaj trzeba dokonywać ściśle przez pryzmat stanu zdrowia pacjenta. - Na przykład adekwatność zebrania określonych danych medycznych w toku wykonywanych badań w zestawieniu z zasadnością samego badania. Tutaj również każdy przypadek będzie trzeba oceniać indywidualnie – podkreśla Łokaj.
RODO
Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO? Sprawdź, co jeszcze na ten temat znajdziesz w LEX.
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji. Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?
Sprawdź, co zyskasz dzięki LEX Search >>