Ochrona danych osobowych pacjentów – jak przetwarzać dane osobowe dotyczące zdrowia zgodnie z przepisami RODO?

Ochrona danych osobowych pacjentów to jeden z bardziej „wrażliwych” obszarów w funkcjonowaniu podmiotu medycznego. Dane dotyczące zdrowia są w świetle przepisów rozporządzenia RODO danymi, których co do zasady nie można przetwarzać, chyba, że wystąpią przesłanki wskazane wprost w RODO.

Problem w praktyce polega na tym, że przepisy rozróżniają tzw. dane medyczne i dane osobowe dotyczące zdrowia. O danych medycznych traktuje np. ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta czy też ustawa o działalności leczniczej, z kolei dane dotyczące zdrowia normowane są bezpośrednio w przepisach RODO.

Pisaliśmy m.in. Jak chronić swoje dane osobowe

A te akty prawne są ze sobą powiązane o tyle, że przepisy branżowe dotyczące pacjentów i ochrony zdrowia zawierają jedynie odesłania do nakazów przetwarzania danych osobowych zgodnie z RODO i ustawą o ochronie danych osobowych.

Ochrona danych osobowych pacjentów w praktyce

Dane osobowe pacjentów nie tylko dane dotyczące zdrowia – jeśli pacjent przychodzi zarejestrować się na wizytę, podaje rejestratorce medycznej swoje dane identyfikacyjne, czasem również właśnie dane dotyczące zdrowia – wskazując chociażby, z jaką dolegliwością przyszedł.

Problem jest dalej idący – w podmiocie medycznym pracują różne osoby – personel medyczny i personel pomocniczy. Załóżmy, że rejestratorka medyczna idzie na zwolnienie lekarskie. No i wówczas informacja o przyczynie jej nieobecności jest daną osobową dotyczącą zdrowia, ale już nie daną pacjenta, a daną pracownika podmiotu medycznego.

A skoro tak, to w praktyce podmiot medyczny musi posiadać odpowiednie podstawy prawne do przetwarzania danych dotyczących zdrowia pacjentów, ale również swojego personelu medycznego. I takie podstawy posiada – powiemy o nich więcej za chwilę (o danych osobowych pracowników i ich ochronie mówimy szeroko w naszym kursie: Szkolenie online RODO w kadrach i rekrutacji), skupiając się na ochronie danych osobowych pacjentów.

Wspomnieliśmy wcześniej, że przepisy rozróżniają dane medyczne i dane dotyczące zdrowia. Definicja danych dotyczących zdrowia znajduje się w motywie 35 RODO i zgodnie z tym przepisem:

Dane osobowe dotyczące zdrowia dotyczą pojedynczej osoby fizycznej. Tymczasem dane medyczne mogą być danymi dotyczącymi osoby fizycznej, jak i pewnej zbiorowości osób. RODO chroni dane osobowe osób fizycznych. Aby móc te dane przetwarzać, konieczne jest posiadanie odpowiedniej podstawy prawnej.

Zwróćmy uwagę na przepis art. 9 ust 1 RODO. Stosownie do tego przepisu przetwarzanie danych osobowych dotyczących zdrowia jest co do zasady zakazane, chyba, że wystąpi któraś z przesłanek wskazanych w ust. 2 powołanego przepisu. Oczywiście w praktyce dane osobowe pacjentów, w tym dane dotyczące zdrowia można przetwarzać, ale podmiot medyczny jako administrator danych osobowych musi mieć do tego podstawę prawną.

Ochrona danych osobowych pacjentów – podstawy prawne przetwarzania danych dotyczących zdrowia

I taką podstawę ma – podstawą przetwarzania danych osobowych dotyczących zdrowia jest zgoda pacjenta oraz tzw. cele zdrowotne. W podmiotach medycznych ta przesłanka przetwarzania danych dotyczących zdrowia ze względu na tzw. cele zdrowotne jest stosowana powszechnie.

Pacjent nie zawsze jest w stanie wyrazić zgodę na przetwarzanie jego danych osobowych. Wyobraź sobie np. nieprzytomną ofiarę wypadku drogowego – siłą rzeczy nie wyrazi on zgody na przetwarzanie jego danych osobowych dotyczących zdrowia, ale lekarz udzielający pomocy może oczywiście te dane przetwarzać na podstawie art. 9 ust. 2 lit. c RODO

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody

W praktyce zgoda pacjenta nie jest nawet najważniejszą przesłanką przetwarzania danych osobowych – jest nią żywotny interes osoby, której dane dotyczą oraz te szeroko pojmowane cele zdrowotne. I to właśnie na nich przetwarzanie danych osobowych pacjentów opiera podmiot medyczny – nieważne, czy to szpital, czy prywatny gabinet lekarski czy przychodnia.

Ochrona danych osobowych pacjentów obejmuje dane zwykłe i dane dotyczące zdrowia. Dane zwykłe są przetwarzane np. przy rejestracji pacjenta na wizytę, z kolei dane dotyczące zdrowia gromadzi już np. bezpośrednio lekarz w trakcie badania pacjenta czy wywiadu z nim.

Ważną podstawą do przetwarzania danych osobowych pacjentów jest art. 9 ust. 2 lit. h RODO. Stosownie do tego przepisu przetwarzanie danych osobowych pacjentów, dotyczących zdrowia jest dopuszczalne, jeśli przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

Posiadanie odpowiedniej podstawy do przetwarzania danych osobowych pacjentów jest istotne, podobnie jak przestrzeganie zasad przetwarzania danych, w tym danych dotyczących zdrowia. Zasady przetwarzania danych osobowych wskazane zostały w art. 5 ust. 1 RODO i podmiot medyczny przetwarzając dane osobowe pacjentów (nie tylko te dotyczące zdrowia) musi tych zasad przestrzegać.

Co więcej, podmiot medyczny jako administrator danych osobowych pacjentów i swojego personelu musi na każdym etapie przetwarzania spełniać zasadę tzw. rozliczalności – musi po prostu umieć wykazać, że dane osobowe pacjentów i personelu przetwarza zgodnie z prawem.

Stąd ochrona danych osobowych pacjentów i odpowiednie ich przetwarzanie mają tak istotne znaczenie. Oczywiście w praktyce w podmiotach medycznych z reguły powołuje się Inspektora Ochrony Danych albo „wynajmuje” zewnętrzną firmę, która będzie pełnić rolę IOD (o obowiązkach Inspektora Ochrony Danych osobowych pisaliśmy szerzej tutaj: Obowiązki Inspektora Ochrony Danych oraz tutaj: Szkolenia online dla Inspektorów Ochrony Danych Osobowych).

Powołanie IOD nie zwalnia podmiotu medycznego z odpowiedzialności za prawidłowe i rzetelne przetwarzanie danych osobowych pacjentów. Za wszystkie aspekty przetwarzania danych osobowych odpowiada ostatecznie podmiot medyczny. Stąd tak ważne jest poznanie zasad przetwarzania danych osobowych pacjentów, obowiązków administratora danych wobec pacjentów, ale też ewentualnych konsekwencji nierzetelnego przetwarzania danych.

Aspekty przetwarzania danych osobowych pacjentów omawiamy szczegółowo w naszym kursie – Szkolenie online RODO w podmiotach medycznych. Jeśli interesuje Cię ta tematyka, masz na co dzień do czynienia z danymi medycznymi czy danymi osobowymi dotyczącymi zdrowia, zapraszamy do udziału.

Wśród zasad przetwarzania danych osobowych zawartych w RODO można wymienić:

• zasadę przejrzystości, rzetelności i legalności,
• zasadę celowości,
• zasadę minimalizacji danych,
• zasadę prawidłowości danych,
• zasadę ograniczenia przechowywania danych,
• zasadę integralności i poufności,
• zasadę rozliczalności.

A przestrzeganie zasad przetwarzania danych osobowych pacjentów to nie jedyny obowiązek podmiotu medycznego wobec nich. Ważnym obowiązkiem jest również obowiązek informacyjny – podmiot medyczny informuje pacjenta jeszcze zanim rozpocznie przetwarzanie jego danych osobowych o swojej tożsamości, celach i zakresie przetwarzania, czy powołał IOD i kto nim jest, wskazuje prawa i obowiązki pacjenta w zakresie przetwarzania jego danych osobowych itd.

Niespełnienie obowiązku informacyjnego wobec pacjenta traktowane jest jako naruszenie danych osobowych. A za naruszenia danych osobowych mogą grozić określone sankcje – wszystko tu zależy od stopnia naruszenia, wagi naruszenia, winy podmiotu medycznego jako administratora itd.

Jeśli dochodzi do naruszenia danych osobowych pacjentów, a naruszenie to może zagrozić prawom i wolnościom pacjenta, należy o tym naruszeniu pacjenta poinformować. Takie naruszenie odnotowuje się również w rejestrze naruszeń danych osobowych.

Taki rejestr jest jednym z elementów dokumentacji RODO w podmiocie medycznym, a w zakres tej dokumentacji wchodzi również szereg innych dokumentów – upoważnienia do przetwarzania danych osobowych pacjentów i personelu, rejestry upoważnień, rejestr czynności przetwarzania, rejestr umów powierzenia przetwarzania danych osobowych, polityka czystego biurka w podmiocie medyczny itd.

RODO nie zawiera zamkniętego katalogu dokumentów, składających się na szeroko pojmowaną dokumentację RODO w podmiocie medycznym. Wskazuje oczywiście, jakie rejestry czy dokumenty muszą się pojawić, ale w praktyce, mając na względzie zasadę rozliczalności, podmioty medyczne wdrażają różnego rodzaju polityki danych osobowych, w tym danych dotyczących zdrowia oraz prowadzą dokumentację przetwarzania danych osobowych.

Co ważne – dokumentacja RODO nie jest tożsama z dokumentacją medyczną. Dokumentacja RODO określa zasady przetwarzania danych osobowych i odnosi się do samego przetwarzania, z kolei dokumentacja medyczna dotyczy już zdrowia pacjenta i – mówiąc oględnie – parametrów tego zdrowia. A podmiot medyczny ma obowiązek prowadzić zarówno dokumentację medyczną, jak i dokumentację RODO.

Ochrona danych osobowych pacjentów rozciąga się również na obowiązek odpowiedniego zabezpieczenia tych danych. RODO samo w sobie nie wskazuje, że np. dane dotyczące zdrowia muszą być przechowywane na odpowiednich nośnikach, zamykane w odpowiednich szafach spełniających odpowiednie normy itd. Po prostu RODO nakazuje daje osobowe odpowiednio zabezpieczać.

A skoro tak, to podmiot medyczny jako administrator danych osobowych sam decyduje, jakie środki techniczne wdroży, aby dane osobowe zabezpieczyć w możliwie największym stopniu. W tym celu m.in. dokonuje oceny, czy i na ile przetwarzanie danych osobowych pacjentów niesie za sobą ryzyko naruszenia tych danych.

Same naruszenia mogą wynikać z różnych okoliczności – jeśli przykładowo rejestratorka medyczna dość nieroztropnie podchodzi do swoich obowiązków, nie dba o realizację zasady czystego biurka i w zasadzie to każda osoba podchodząca do recepcji widzi ekran monitora z danymi osobowymi pacjentów, to jest to ewidentnie błąd ludzki.

Czasem naruszenia mogą być wynikiem działania siły wyższej, np. pożaru, powodzi – wówczas może dojść do naruszenia integralności danych, ujawnienia ich osobom nieupoważnionym itp.

A czasem dane osobowe pacjentów stają się po prostu przedmiotem kradzieży. Ochrona danych osobowych pacjentów nie jest sprawą prostą, ale posiadając odpowiednią wiedzę łatwiej do tego tematu podejść bez obaw o naruszenia i konsekwencje, jakie te naruszenia niosą. Warto poznać zasady przetwarzania danych pacjentów i personelu, aby nie narażać się na ryzyko – choćby odpowiedzialności pracowniczej, nie mówiąc już o odszkodowawczej.