Pozyskiwanie danych pacjenta przez szpital a obowiązki informacyjne

Często z wypowiedzi przedstawicieli służby zdrowia wynika, że odstawia się na boczny plan zagadnienia związane z ochroną danych osobowych argumentując, że ich realizacja jest niemożliwa z uwagi na trudności organizacyjno-techniczne oraz iż branża medyczna i tak jest związana licznymi, restrykcyjnymi reżimami związanymi z tajemnicą lekarska. Wydaje się, iż bagatelizowanie postanowień ustawy o ochronie danych nie jest dobrą wizytówką służby zdrowia. To ważna sprawa szczególnie w obszarze gdzie na każdym kroku przetwarzane są wyjątkowo wrażliwe dane dotyczące zarówno naszej kondycji fizycznej jak i psychicznej. Coraz większa świadomość społeczeństwa w temacie praw wynikających z ustawy o ochronie danych osobowych sprawa, że wzrasta lawinowo ilość skarg i wniosków dot. ochrony danych osobowych w służbie zdrowia. Nie jest tajemnicą, że realizacja obowiązków informacyjnych (nie tylko tych wynikających z ustawy o ochronie danych), a szerzej, prowadzenie skutecznej polityki informacyjnego, wpływa pozytywnie na odbiór oferowanych usług w branży służby zdrowia.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Art. 3 ust. 1 pkt 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta       ² podaje definicję legalną pojęcia „pacjent” wskazując, iż uważa się za niego „(…) osobę zwracającą się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny”.

Prawne podstawy obowiązku informacyjnego zawarte są w art. 24 ust. 1 uodo. Omawiany przepis wskazuje na pewien minimalny zakres informacji, jakie powinny być udzielone osobie, której dotyczą zbierane dane. Przekazywanie pacjentowi informacji powinno nastąpić w sposób przejrzysty, zrozumiały i przystępny. Zakres obowiązków informacyjnych ciążących na administratorze danych osobowych w związku ze zbieraniem danych ukształtowany został odmiennie w sytuacji zbierania danych od osób, których dane dotyczą oraz w sytuacji, w której zbieranie danych następuje nie bezpośrednio od tych osób (art. 25 uodo). Jakie funkcje spełnia obowiązek informacyjny? Chodzi tutaj przede wszystkim o funkcje gwarancyjną i stabilizacyjną. Dobrym przykładem będzie tu obowiązek informowania pacjenta o prawie dostępu do treści swych danych i prawie do ich poprawiania (oczywiście z uwzględnieniem regulacji dot. udostępniania dokumentacji medycznej), co ma w konsekwencji zagwarantować zainteresowanemu możliwość sprawdzenia, jakie dotyczące go dane znajdują się w posiadania administratora i czy są one prawdziwe.

Generalny Inspektor Ochrony Danych Osobowych wielokrotnie podkreślał, że informowanie osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych stanowi w istocie podstawowy instrument ochrony poprawnego i zgodnego z prawem przetwarzania danych osobowych       ³. Obowiązek informacyjny spełnia jakże ważną rolę kontrolną w procesie przetwarzania jej danych.

W chwili przyjęcia pacjenta do szpitala to na szpitalu, jako organizacji decydującej o celach i środkach przetwarzania danych osobowych, ciąży obowiązek udzielenia pacjentowi informacji o:

• adresie szpitala (powinien on być wskazany w sposób wyraźny by ułatwić kontakt z administratorem danych, nie ograniczając się do lakonicznego stwierdzenia, iż dane osobowe przetwarza Szpital X),

• celu zbierania danych, a więc wyczerpującego opisu pól eksploatacji danych osobowych,

• znanych szpitalowi w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

• prawie dostępu do treści swoich danych oraz ich poprawiania (realizację tych uprawnień gwarantuje art. 32 ust. 1 uodo), dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Informacja o przysługujących uprawnieniach powinna mieć indywidualny charakter⁴. Nie może być ona zastąpiona ogłoszeniem wywieszonym w miejscu powszechnie dostępnym (np. w gablocie czy tablicy ogłoszeń).

Ustawa nie zawiera żadnych wskazówek odnośnie formy realizacji obowiązku informacyjnego. Skoro ustawodawca nie narzuca żadnej formy, należy uznać, iż jest ona w zasadzie dowolna. Przy czym dla celów dowodowych preferowana jest oczywiście forma pisemna. To szpital w przypadku ewentualnego sporu będzie musiał wykazać, iż prawidłowo dopełnił obowiązek informacyjny względem pacjenta.

Zgodnie z art. 24 ust. 2 uodo przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, oraz osoba, której dane dotyczą, posiada już wyżej wymienione informacje. Z niektórymi informacjami pacjent może się zapewne zapoznać wchodząc np. do szpitala (nazwa i adres szpitala). Z drugiej zaś strony wybrana forma realizacji obowiązku informacyjnego powinna gwarantować, że osoba zainteresowana zapozna się z jego treścią, a wiec musi być skuteczna. W efekcie, tak jak napisałem wyżej, preferowanym sposobem realizacji obowiązku informacyjnego będzie umieszczenie odpowiedniej klauzuli na dokumencie podpisywanym przez pacjenta w momencie np. przyjęcia do szpitala. Co zrobić, jeśli pacjent trafia do szpitala w stanie, w którym nie ma z nim kontaktu? Obowiązek informacyjny powinien być w takiej sytuacji dopełniony w pierwszym dogodnym momencie, kiedy ze względu na stan zdrowia pacjenta będzie to możliwe. Obowiązek informacyjny wobec pacjenta można także zrealizować przekazując wymagane informacji na rzecz jego przedstawiciela ustawowego.

Konsekwencje w przypadku naruszenia obowiązku informacyjnego odnajdujemy m.in. w przepisach karnych ustawy o ochronie danych osobowych. Art. 54, który koreluje z przepisami art. 24, 25 i 32 uodo wskazuje, iż kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Co raz częściej niedopełnienie obowiązku informacyjnego powoduje konieczność zapłaty określonej sumy pieniężnej w ramach zawartej ugody lub zadośćuczynienia orzeczonego przez sąd cywilny na rzecz osoby, której prawo do informacji zostało naruszone. Warto także pamiętać, że kwestią prawidłowej realizacji obowiązków informacyjnych interesuje się Generalny Inspektor Ochrony Danych Osobowych, który oprócz podejmowania działań edukacyjnych, prowadzi także kontrole oraz wydaje decyzje administracyjne, które następnie mogą być poddawane egzekucji.