Dzwoniłam do prywatnej poradni medycznej z pytaniem o termin i cenę wizyty u lekarza specjalisty – pisze pan Piotr. – Recepcjonistka zażądała, bym podał swój PESEL. Powtórzyłem jej, że nie chcę się w tej chwili zapisywać, a jedynie zorientować się, kiedy możliwa jest wizyta i ile będzie kosztowała. Pani uparcie pytała mnie o PESEL, twierdząc, że bez niego nie poda żadnych informacji. Czy takie zachowanie pracownika placówki medycznej jest zgodne z ochroną danych osobowych – pyta zbulwersowany czytelnik
Wszystko wskazuje na to, że recepcjonistka nie powinna była domagać się podania numeru PESEL od pana Piotra. Przychodnia medyczna i lekarz prowadzący gabinet przetwarzają dane osobowe pacjentów, czyli wszelkie informacje dotyczące konkretnej osoby, które pozwalają na łatwe jej zidentyfikowanie. Do danych osobowych zalicza się przede wszystkim imię, nazwisko, adres, NIP, PESEL, a nawet IP komputera danej osoby, linie papilarne, DNA i wzór siatkówki lub adres e-mailowy zawierający imię i nazwisko. To także cechy umysłowe, ekonomiczne, kulturowe albo społeczne. Zwykle potrzebne jest zestawienie kilku cech o dużym stopniu ogólności, które dopiero połączone z innymi danymi pozwalają identyfikować konkretną osobę. Ale są takie dane, które już jako pojedyncza informacja służą do jednoznacznej identyfikacji. Należy do nich właśnie numer PESEL. Sześć pierwszych cyfr oznacza datę urodzenia, kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Przetwarzanie numeru PESEL podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. A przetwarzanie to m.in. zbieranie, przechowywanie, usuwanie, udostępnianie lub opracowywanie danych w bazach. Jest ono dopuszczalne jedynie wtedy, gdy jest niezbędne do zrealizowania usługi lub do podpisania umowy, a także wtedy, gdy osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie.
Swoje dane osobowe trzeba chronić i udostępniać je w sposób przemyślany i tylko te, które są niezbędne w określonej sytuacji. Powinno też nas zainteresować, czy nie będą one przekazywane podmiotom współpracującym z firmą, której dane podajemy, ponieważ to również wykracza poza zakres umowy i wymaga naszej zgody. Jeśli ją wyrazimy, musimy liczyć się z tym, iż w ten sposób utracimy kontrolę nad naszymi danymi. A nieopatrzne dzielenie się numerem PESEL może być wykorzystane przeciwko nam, np. do zaciągnięcia na nasze nazwisko kredytu bankowego.
Firma zbierająca dane osobowe – w tym przypadku prywatna przychodnia – staje się ich administratorem. Z racji tego, że przetwarza ona nie tylko zwykłe, lecz także dane wrażliwe, takie jak opis stanu zdrowia pacjenta i udzielone mu świadczenia medyczne, ciążą na niej bardziej rygorystyczne obowiązki niż na administratorach danych zwykłych.
Podstawa prawna
Art. 6, art. 23, art. 27 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182).
PORADA EKSPERTA
Małgorzata Kałużyńska-Jasak rzecznik prasowy generalnego inspektora ochrony danych osobowych
W przedstawionej przez czytelnika sytuacji najważniejsze jest to, w jakim celu żądano od niego danych osobowych w postaci numeru PESEL. Podania danych osobowych można żądać wyłącznie wtedy, gdy jest to niezbędne i adekwatne do celu, któremu ma służyć. Zatem placówka medyczna ma prawo żądać podania numeru PESEL tylko wtedy, gdy jest to konieczne do zrealizowania świadczenia albo usługi. Jeśli czytelnik chciał jedynie dowiedzieć się, jaka jest cena wizyty u prywatnego lekarza i w jakim terminie mogłaby się odbyć, to żądanie na te potrzeby podania numeru PESEL jest nadmierne. W takim przypadku pracownik placówki medycznej nie ma prawa takich pytań zadawać.
Co innego, gdyby prywatna placówka medyczna miała podpisaną z Narodowym Funduszem Zdrowia umowę o świadczenie usług medycznych. Wtedy te pytania mogłyby być uzasadnione np. potrzebą sprawdzenia, czy osoba zainteresowana wizytą jest ubezpieczona i ma prawo do bezpłatnej opieki zdrowotnej, która jest finansowana ze środków publicznych.
W każdym przypadku, gdy mamy wątpliwości, czy w konkretnej sytuacji podawać nasze dane osobowe, powinniśmy osobę, która ich od nas żąda, zapytać o podstawę prawną, która do tego uprawnia. Jeśli jej brak, nie musimy podawać danych, chyba że wyrazimy na to zgodę, przy czym nie powinno się od niej uzależniać pozyskania żądanych przez tę osobę informacji.
Placówka, która przetwarza dane osobowe pacjentów w sposób niezgodny z obowiązującym prawem, powinna liczyć się z możliwością nałożenia sankcji karnych przez sąd lub sankcji o charakterze administracyjnym przez generalnego inspektora ochrony danych osobowych, który może wydać decyzję nakazującą zaprzestania takich praktyk. Przykładowo podmiotowi, który przetwarza dane osobowe, choć nie jest do tego uprawniony, GIODO może nakazać usunięcie pozyskanych bezprawnie danych. Sąd zaś może skorzystać z możliwości ukarania karą grzywny, karą ograniczenia lub pozbawienia wolności do lat dwóch.