Prawa pacjentów w RODO – jak przygotować się do ich zagwarantowania?
Z początkiem obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO"), pacjenci zostali wyposażeni w nowe uprawnienia w zakresie ochrony ich danych osobowych. Zobowiązani do ich zagwarantowania są administratorzy. Administratorami są osoby lub podmioty, którzy ustalają cele i sposoby przetwarzania danych. Względem pacjentów, co do zasady będą to podmioty lecznicze (np. SPZOZ) lub indywidualne czy też grupowe praktyki lekarskie (prowadzone np. w formie prywatnych gabinetów lekarskich, spółek). I tak, w przypadku grupowej praktyki lekarskiej prowadzonej w formie spółki (m.in. jawnej, partnerskiej) administratorem będzie spółka, a nie lekarz.
Podczas pozyskiwania danych osobowych od pacjenta należy przekazać mu szereg informacji tj. kto jest administratorem jego danych, czy administrator powołał inspektora ochrony danych (oraz jego dane kontaktowe), jakie są cel i podstawy prawne przetwarzania, kto jest odbiorcą danych osobowych, czy dane przekazywane są do państw trzecich, jaki jest okres przechowywania danych, oraz poinformować o przysługujących prawach (np. żądania dostępu do danych osobowych, sprostowania i uzupełnienia danych osobowych, bycia zapomnianym, żądania ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania). Powyższe informacje powinny zostać przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Obowiązek informacyjny może zostać spełniony poprzez indywidualne udostępnienie każdemu pacjentowi stosownego oświadczenia (w formie papierowej bądź elektronicznej) lub zamieszczenie go w ogólnodostępnym miejscu jak np. w rejestracji, poczekalni, na izbie przyjęć, na stronie internetowej.
Co do zasady, inne podmioty mają również obowiązek przekazania niektórych informacji osobom w przypadku zbierania danych osobowych niebezpośrednio od nich. Taka sytuacja zachodzi m.in. w związku z udostępnieniem dokumentacji medycznej zawierającej dane np. osób najbliższych, przedstawicieli ustawowych czy osób upoważnionych do wglądu w dokumentację pacjenta. Powyższy przypadek nie dotyczy jednak podmiotów wykonujących działalność leczniczą, które nie są zobligowane do udostępniania takich informacji ze względu choćby na tajemnicę lekarską, co znalazło wyraz w art. 14 ust. 5. lit. c) i d) RODO.
Prawa dostępu do danych nie należy mylić z prawem do informacji o stanie zdrowia i prawem dostępu do dokumentacji medycznej, określonych odpowiednio w art. 9 i 23 ust. 1. ustawy z dn. 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. O odmienności tych uprawnień świadczą regulacje art. 12 RODO jak np. maksymalny termin na reakcję administratora (miesiąc, możliwe przedłużenie o kolejne 2 miesiące) oraz możliwość odmowy podjęcia jakichkolwiek działań ze względu na ewidentnie nieuzasadnione lub nadmierne żądanie osoby. Pacjenta należy również poinformować o możliwości uzyskania pierwszej bezpłatnej kopii przetwarzanych danych osobowych. Przyjmuje się, że opłata za każdą kolejną kopię nie powinna być wyższa niż opłaty określone w art. 28 ust. 5 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Prawo dostępu do danych może zostać zrealizowane poprzez drogę tradycyjną „papierową” bądź elektroniczną.
Ponadto, każdy pacjent ma uprawnienie do niezwłocznego sprostowania lub uzupełnienia przekazanych danych osobowych. Żądanie, aby mogło zostać spełnione, nie może dotyczyć wpisów, których zmiana naruszyłaby autonomiczność zawodową osoby wykonującej zawód medyczny.
Prawem najczęściej wymienianym jako najbardziej znamiennym jest prawo do bycia zapomnianym. W przypadku danych osobowych pacjentów przetwarzanych na podstawie art. 9 ust. 2. lit. h) (niezbędne do celów m.in. profilaktyki zdrowotnej lub medycyny pracy, zapewnienia opieki zdrowotnej, leczenia) powyższe uprawnienie (jak także prawo do żądania ograniczenia przetwarzania i do przenoszenia danych) nie znajdzie zastosowania. Administrator, a więc podmiot wykonujący działalność leczniczą, ma obowiązek przechowywania danych w ramach dokumentacji medycznej przez 20 lat z pewnymi wyjątkami. Obowiązek taki wynika z przepisów ustawy regulującej działalność takich podmiotów. Jeżeli pacjent żąda usunięcia danych, na których przetwarzanie wyraził zgodę, prawo to powinno zostać zrealizowane, ale wyłącznie w zakresie danych podanych fakultatywnie.
Pomimo braku obowiązku administratora zrealizowania prawa do przenoszenia danych w ramach przetwarzania określonego w art. 9 ust. 2. lit. h), tj. niezbędnego do m.in. zapewnienia opieki zdrowotnej, leczenia lub zarządzania systemami i usługami opieki zdrowotnej, powinien on poinformować pacjenta o zasadności i podstawie prawnej odmowy oraz o możliwości uzyskania dostępu do dokumentacji. Należy pamiętać, że żądanie przenoszenia danych jest zasadne tylko pod pewnymi warunkami - gdy przetwarzanie nie obejmuje działalności opisanej w art. 9 ust. 2. lit. h), odbywa się w sposób zautomatyzowany (wyłącznie w systemach informatycznych, a nie w formie papierowej) i na podstawie zgody pacjenta lub umowy zawartej z podmiotem wykonującym działalność leczniczą. Podmiot ma wtedy obowiązek przesłania swoistego pakietu danych innemu administratorowi oraz przekazania pacjentowi dostarczonych przez niego danych osobowych.
Pacjent może zgłosić się także ze sprzeciwem do administratora wobec przetwarzania danych osobowych. Żądanie będzie trafne, jeśli pacjent zastosuje je wobec danych przetwarzanych w celu wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej bądź w celu wynikającym z prawnie uzasadnionych interesów administratora.
Przedstawione obowiązki administratora skorelowane z uprawnieniami pacjentów powinny znaleźć swoje odzwierciedlenie w dokumentach opisujących ochronę danych osobowych w danym podmiocie. W ich treści należy również zawrzeć charakterystykę wewnętrznych procedur wprowadzonych w celu zrealizowania i zagwarantowania podstawowych praw wynikających z unijnego rozporządzenia.
Magdalena Socha-Łatwińska adwokat / partner
Dagmara Jabłońska apl. adwokacka / junior associate