Sytuacja z przychodni w Wohyniu na Lubelszczyźnie, gdzie oczekującym na przyjęcie do lekarza nadawano filmowe czy baśniowe imiona, pokazała, że po czterech miesiącach od wprowadzenia dyrektywy placówki medyczne nadal mają z nią kłopoty.
RODO, czyli unijne rozporządzenie o ochronie danych osobowych (nr 2016/679 z 27 kwietnia 2016 r.; Dz.Urz. UE z 2016 r. L 119, s. 1), zaczęło być stosowane od 25 maja i od razu wywołało zamieszanie w placówkach medycznych. Na jego zapisy powoływali się pracownicy szpitali, odmawiając telefonicznej informacji rodzicom po wypadku komunikacyjnym ich dzieci, a recepcjonistki nie wiedziały, jak wywoływać pacjentów – bo skoro nie po nazwisku, to jak inaczej – numerami, pseudonimami? Wszystko to pokazało, że stosowanie RODO wymaga zachowania zdrowego rozsądku. Kierownicy placówek medycznych odpowiedzialni za zapewnienie przestrzegania przepisów muszą pamiętać, że unijne regulacje o ochronie danych osobowych uchwalono po to, by chronić interesy osób fizycznych, a nie administratorów danych. Przychodnie czy szpitale powinny wdrażać dyrektywę w sposób, który nie doprowadzi do dezorganizacji pracy oraz nie utrudni pacjentom skorzystania z pomocy medycznej. Pomocny może być poradnik przygotowany pospołu przez przedstawicieli resortów cyfryzacji i zdrowia.
Poniżej, bazując na treściach z tego poradnika, przedstawiamy odpowiedzi na niektóre pytania związane ze stosowaniem rozporządzenia RODO.
PYTANIA I ODPOWIEDZI
Czy w krytycznych sytuacjach możliwe jest zignorowanie RODO?
TAK Przy praktycznym stosowaniu przepisów dochodzi niekiedy do kolizji różnych praw i wartości. Podobnie może być w służbie zdrowia. Z jednej strony jest to sektor zobowiązany do przestrzegania przepisów RODO, z drugiej w codziennej pracy lekarzy czy ratowników często zdarzają się sytuacje, gdy nie ma czasu na dopełnianie formalności wynikających z rozporządzenia. Przykładowo – jeśli przy nieprzytomnym pacjencie, któremu udzielana jest pomoc na szpitalnym oddziale ratunkowym, znaleziono dowód osobisty, to personel medyczny może bez jego zgody przetwarzać dane osobowe, np. po to, by wpisać go do szpitalnej kartoteki. Stosowanie przepisów o ochronie danych osobowych nie może mieć bowiem pierwszeństwa przed głównym zadaniem służby medycznej, a więc ratowaniem zdrowia i życia pacjentów. Ponadto RODO nie może dezorganizować pracy placówek udzielających pomocy zdrowotnej. Samo rozporządzenie zawiera w tym zakresie pewną furtkę w postaci art. 9 ust. 2 lit. c. Przepis ten pozwala na przetwarzanie danych osobowych dotyczących zdrowia w sytuacjach, gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, a ona sama jest fizycznie lub prawnie niezdolna do wyrażenia na to zgody.
Czy można odstąpić od weryfikacji tożsamości pacjenta, jeśli nie uda się spełnić wymogów organizacyjnych związanych z ochroną danych osobowych?
NIE RODO zalicza informacje dotyczące zdrowia do szczególnych kategorii danych osobowych. W efekcie należy zachować szczególną dbałość w postępowaniu z takimi informacjami. Przy wykonywaniu czynności z pacjentem należy więc zawsze potwierdzić jego tożsamość. Oczywiście mowa o zwykłych wizytach, zaplanowanych badaniach czy też zabiegach. W sytuacjach kryzysowych priorytetem jest udzielenie pomocy. Weryfikacja tożsamości może odbywać się np. przez okazanie dokumentu tożsamości lub podanie przez pacjenta danych identyfikacyjnych: oprócz imienia i nazwiska może to być numer PESEL. Obowiązkiem placówki medycznej jest zapewnienie pacjentowi prywatności w momencie, gdy musi potwierdzić tożsamość. Najprostszym rozwiązaniem jest naklejenie na podłodze przy stanowisku rejestracji taśmy wyznaczającej obszar, w którym powinna przebywać jedynie osoba aktualnie obsługiwana przez pracowników placówki. W publicznych przychodniach dopuszczalne jest również zastosowanie rozwiązań znanych z prywatnej służby zdrowia, a więc rejestracji elektronicznej. Oczywiście jest to możliwe przy zachowaniu odpowiednich standardów bezpieczeństwa.
Czy właściwe jest wywoływanie pacjenta po nazwisku?
NIE Pacjent ma prawo do poszanowania swojej intymności i godności. Pozostali oczekujący nie muszą wiedzieć, jak nazywa się osoba, która przyszła do lekarza określonej specjalizacji. Dlatego popularne do tej pory wywoływanie pacjentów po nazwiskach jest niedopuszczalne. Wbrew pozorom alternatywą nie muszą być wcale systemy numerkowe, których instalacja kosztuje i wiele placówek po prostu nie jest w stanie wygospodarować środków na wdrożenie takiego rozwiązania. Niepotrzebne jest też tworzenie niezrozumiałego dla pacjentów systemu pseudonimów. Lepsze będzie zastosowanie środków najprostszych, ale zgodnych z RODO. Pacjentów można chociażby wywoływać po imieniu, a gdy nie jest to wystarczające, bo np. w poczekalni przebywa kilka osób o takim samym imieniu, można dodać godzinę zaplanowanej wizyty.
Czy na drzwiach gabinetów można umieszczać tabliczki z nazwiskami i specjalizacjami lekarzy?
TAK W ostatnich miesiącach mamy do czynienia z kolejnymi grupami zawodowymi, które powołując się na nowe przepisy, chcą utajnienia swych danych w miejscach pracy. Niedawno w DGP pisaliśmy o urzędnikach, którzy wystąpili z takim postulatem do zakładowego inspektora ochrony danych. Wniosek był niezasadny ze względu na to, że nazwiska urzędników stanowią informację publiczną. W przypadku lekarzy również nie ma przeciwwskazań do umieszczania ich nazwisk na drzwiach gabinetów czy tablicach informacyjnych przychodni. Jest to wręcz wskazane. Przepisy sektorowe wskazują bowiem, że nazwisko lekarza ma charakter jawny i tylko na zasadzie wyjątku powinno być utajniane (np. w punktach medycznych w więzieniach). Zgodnie z art. 36 ust. 1 ustawy z 15 kwietnia 2011 r. o działalności leczniczej (t.j. Dz.U. z 2018 r. poz. 160 ze zm.) osoby zatrudnione w szpitalu lub wykonujące tam pracę na podstawie umowy cywilno prawnej są np. zobowiązane do noszenia w widocznym miejscu identyfikatora zawierającego imię i nazwisko oraz funkcję. Należy również pamiętać, że w Polsce lekarze są ewidencjonowani w rejestrze prowadzonym przez okręgowe rady lekarskie, o czym stanowi art. 8 ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz.U. z 2018 r. poz. 617). Rejestr jest ogólnodostępny, oprócz nazwisk obejmuje również datę uzyskania uprawnień do leczenia i określenie specjalizacji.
Czy placówka medyczna może wymagać specjalnych form, np. notarialnych albo upoważnienia, w przypadku wglądu osoby trzeciej w dokumentację medyczną?
NIE Dostęp do dokumentacji medycznej jest jednym z podstawowych praw każdego pacjenta. Może z niego korzystać osobiście lub przez osobę przez siebie upoważnioną. W przypadku gdy pacjent upoważnia kogoś do wglądu w dokumentację bezpośrednio w placówce medycznej, dopuszczalna powinna być każda forma takiego oświadczenia. Nawet jeśli upoważnienie jest składane na odległość, to placówka nie może narzucać skomplikowanych form, gdyż przepisy nie wymagają notarialnego poświadczenia. Przychodnia czy szpital muszą mieć jednak pewność co do tożsamości pacjenta udzielającego upoważnienia. Godząc obie te rzeczy, placówka ochrony zdrowia może np. tworzyć internetowe portale pacjenta, za pośrednictwem których będzie można złożyć stosowne upoważnienie.
Czy można oznaczać produkty lecznicze nazwiskami pacjentów?
TAK Zgodnie z art. 9 ust. 2 lit. h RODO można przetwarzać dane dotyczące zdrowia, gdy jest to niezbędne do celów profilaktyki zdrowotnej. To jest właśnie taka sytuacja. Oznaczanie nazwiskami pacjentów produktów leczniczych, które personel rozprowadza po pokojach szpitalnych, jest uprawnione, ponieważ ogranicza ryzyko pomyłek. Jest to rozwiązanie skuteczniejsze, niż gdyby pojemniki z lekami były opatrywane numerami, które należałoby następnie powiązać z pozycjami na liście zawierającej nazwiska pacjentów. Zastosowanie tej ostatniej opcji wręcz podniosłoby poziom ryzyka. Tymczasem podanie pacjentowi niewłaściwego leku mogłoby wywołać poważne konsekwencje.
Czy można udzielać informacji o pacjentach przez telefon?
TAK To właśnie sytuacje, w których po rozpoczęciu stosowania RODO placówki medyczne nagle przestały udzielać jakichkolwiek informacji drogą telefoniczną i np. rodzice nie mogli dowiedzieć się, gdzie hospitalizowane są ich dzieci, pokazały, że niezrozumienie reformy ochrony danych osobowych prowadzi do absurdów. RODO nie wprowadziło bowiem generalnego zakazu takich praktyk. Placówka ochrony zdrowia może więc udzielać osobom uprawnionym informacji o pacjentach. Po pierwsze jednak, dotyczy to jedynie sytuacji nagłych, a nie planowych hospitalizacji. Po drugie, personel powinien ograniczyć się do podawania ogólnych danych. Wszystko dlatego, że rozmawiając przez telefon, nigdy nie ma się całkowitej pewności co do tożsamości rozmówcy. Dla ograniczenia ryzyka udostępnienia informacji osobom nieuprawnionym personel może chociażby zadać pytania kontrolne, np. o numer PESEL pacjenta.
Czy przy łóżkach szpitalnych mogą wisieć karty informacyjne?
TAK, ale najlepiej zamontować je tak, by uniemożliwić odczytanie danych osobowych pacjenta, takich jak imię, nazwisko czy data urodzenia. Szpitalne karty zawierają istotne informacje, m.in. o temperaturze hospitalizowanego czy też przyjmowanych przez niego lekach. Najlepiej byłoby zrezygnować z kart, ale nie zawsze jest to możliwe. Na przykład na szpitalnych oddziałach ratunkowych znacznie ułatwiają one pracę personelowi placówki medycznej. Ponadto jest to forma realizacji obowiązku wynikającego z art. 36 ust. 3 ustawy o działalności leczniczej, który mówi o tym, że pacjentów szpitala zaopatruje się w znaki identyfikacyjne. Powinny one być jednak zamontowane przy łóżkach tak, by dane miały charakter niejawny. Można zastosować ramki na karty albo po prostu wywiesić je odwrotną stroną.
Czy właściwe jest zwracanie się do pacjentów po imieniu czy nazwisku?
NIE Nie jest to właściwe zachowanie. Można natomiast zwracać się do chorego, używając zwrotu Pan/Pani i po nim imienia, co zagwarantuje poszanowanie godności. Wyjątkiem jest sytuacja, w której lekarz nie może zidentyfikować pacjenta w inny sposób, niż podając jego nazwisko, albo gdy jest to niezbędne do ratowania życia czy zdrowia. ©℗
OPINIA EKSPERTA
Praktyczne resortowe wskazówki
Ministerstwo Cyfryzacji oraz Ministerstwo Zdrowia przygotowały dla placówek medycznych materiał dotyczący RODO, który ma pomóc w stosowaniu RODO. Nad podręcznikiem pracowali przedstawiciele podzespołu zdrowotnego Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Zdrowia. Wielu z nich współtworzy też kodeks branżowy z art. 40 RODO dotyczący przetwarzania danych osobowych w sektorze medycznym. Dołożyli więc starań, by oba dokumenty były spójne. Projektowany kodeks branżowy będzie dokumentem szerszym, jeśli chodzi o zakres przedmiotowy i podmiotowy. Dodatkowo w przypadku jego akceptacji przez prezesa Urzędu Ochrony Danych Osobowych nie będzie tylko miękką wytyczną dotyczącą stosowania RODO. Dla podmiotów zobowiązanych do jego przestrzegania będzie quasi-prawem (jest to koregulacja). Aby zapewnić spójność prac nad interpretacją RODO oraz właściwie umocować rekomendacje zawarte w podręczniku, stanie się on jednym z załączników do kodeksu branżowego. Dokument ten będzie zawierał praktyczne wskazówki dotyczące stosowania RODO w wybranych kwestiach obejmujących codzienne funkcjonowanie placówek medycznych.
