Unijne rozporządzenie dotyczące przetwarzania danych osobowych obowiązuje już ponad miesiąc. Choć na przygotowanie się do nowych przepisów były dwa lata, już widać, że edukacji zabrakło. Zdarzają się nadinterpretacje, brak zrozumienia, ale także wątpliwości, których nawet eksperci nie potrafią jednoznacznie rozstrzygnąć. Pomóc ma grupa robocza ds. ochrony danych, która powstała przy Ministerstwie Cyfryzacji. Dziś ma się odbyć jej pierwsze spotkanie. Jeden z jej podzespołów ma zająć się problemami w sektorze medycznym. Będą w nim obecni m.in. przedstawiciele podmiotów pracujących nad kodeksem branżowym w zakresie RODO dla ochrony zdrowia.
Adam z września albo numer 125
Chyba największa zmiana w związku z RODO, którą na co dzień odczuwają pacjenci, to proszenie ich do gabinetu czy wywoływanie w rejestracji bez wyczytywania nazwisk. Zastępuje się je numerami albo samymi imionami. Żeby uniknąć pomyłek, jedna z krakowskich placówek dodaje do imion miesiąc urodzenia. Wielu pacjentów nie rozumie, skąd ta praktyka. – Często są tym zdziwieni. Widać, że muszą się przyzwyczaić do nowych zasad – przyznaje Jarosław Fedorowski, prezes Polskiej Federacji Szpitali.
Bardzo zadowolona jest z tego natomiast Ewa Borek, prezes Fundacji My Pacjenci. – To ma głęboki sens, ważne jest dla ochrony prywatności pacjentów, szczególnie tam, gdzie ujawnienie danych może się wiązać z pewną stygmatyzacją – mówi.
Czy rzeczywiście jest taka konieczność? Eksperci nie są przekonani. – Zamiana imienia i nazwiska na numer jest ciekawym rozwiązaniem, które może zapobiec ujawnieniu tożsamości pacjenta. Nie uważam, że jest to konieczność, ale też nie jest to dehumanizujące i zakazane – ocenia Piotr Najbuk z kancelarii Domański Zakrzewski Palinka, jeden z twórców kodeksu.
Zastępowanie nazwiska numerem ma jednak zastosowanie nie tylko w rejestracji i może mieć dla pacjenta dalej idące konsekwencje niż ochrona prywatności. – Należałoby rozważyć, czy w ten sposób można identyfikować chorego i np. podpisywać numerem kroplówkę. To kwestia do rozstrzygnięcia. Przy każdej wątpliwości trzeba pamiętać, że najważniejsze jest zdrowie i życie. To element, o którym się czasem zapomina. Bo jeżeli np. z analizy wynika, że nieoznaczenie nazwiskiem zwiększa ryzyko pomyłki i może spowodować uszczerbek na zdrowiu, to trzeba podpisywać. To powinno wynikać z wewnętrznych procedur. Nie jest to jednoznaczne, bo i RODO nie rozstrzyga jednoznacznie, co jest dopuszczalne, a co nie – podkreśla prawnik.
– Pamiętajmy, że w przypadku błędu medycznego będącego skutkiem wprowadzenia nieżyciowych procedur ochrony danych osobowych prokuratora nie będzie interesować temat RODO – dodaje.
Prawo do sprostowania a dokumentacja medyczna
Można zaobserwować, że część pacjentów o RODO wie niewiele, ale są i tacy, którzy wiedzą, do czego uprawniają ich nowe przepisy, ale błędnie je interpretują. Zdarza się np., że nie chcą okazać dowodu osobistego w rejestracji. – Nie ma to uzasadnienia. Nie trzeba go nikomu dawać do ręki, ale jakiś dokument tożsamości należy okazać – przypomina Piotr Najbuk.
Pacjenci żądają też np. od podmiotów medycznych usunięcia danych. Jednak, jak podkreśla prawnik, w myśl wcześniej obowiązujących przepisów ustawy o prawach pacjenta placówka ma obowiązek przechowywania dokumentacji medycznej (okres zależy od jej rodzaju) i RODO tego nie zmienia, nie mają tu w większości sytuacji zastosowania przepisy o prawie do bycia zapomnianym. – Zdarzają się też osoby domagające się prawa do sprostowania, ale nie błędu, tylko informacji w ramach postawionej diagnozy czy obserwacji lekarskiej. Na przykład wykreślenia informacji, że pacjent był przy przyjęciu nadpobudliwy. Tymczasem element diagnozy nie podlega prawu do sprostowania – wskazuje Piotr Najbuk.
Błędów nie brakuje i po stronie placówek. – Niektóre podmioty wymuszają na pacjentach podpisanie oświadczenia, że zapoznali się z obowiązkiem informacyjnym i rozumieją, w jaki sposób będą przetwarzane ich dane albo zgody na przetwarzanie danych – to jest niezgodne z prawem. Zwłaszcza jeśli uzależniają od tego udzielenie świadczenia. Pacjent może podpisać oświadczenie, ale nie musi tego robić. Nie ma w ogóle wymogu podpisywania zgody na przetwarzanie danych osobowych w celu udzielania świadczeń zdrowotnych – mówi Piotr Najbuk.
Przez telefon – informować czy nie
Najgłośniejszym dotychczas przypadkiem nadinterpretacji RODO była sytuacja po majowym wypadku na zakopiance. Rodzice rannych dzieci nie byli w stanie przez telefon ustalić, w jakim szpitalu znajdują się ich dzieci. Odmawiano im informacji, powołując się właśnie na RODO. Głos w tej sprawie zabrał rzecznik praw pacjenta, podkreślając, że są sposoby, by zweryfikować, czy osoba dzwoniąca jest uprawniona, by udzielić jej takich informacji. A na pewno należy podjąć taką próbę.
Jarosław Fedorowski przyznaje, że to jeden z poważniejszych problemów, jakie mają placówki medyczne. – Na pewno łatwiej by było, gdyby byli pracownicy dedykowani do takiej weryfikacji, ale to się najczęściej odbywa przez lekarzy i pielęgniarki. Musiałyby być zmienione systemy komunikacji szpitalnej – mówi. Na razie potrzebna jest edukacja.
– W przestrzeni publicznej pojawiały się dość często informacje podkreślające ogromne różnice pomiędzy stanem prawnym przed 25 maja i obowiązywaniem RODO, podczas gdy z punktu widzenia placówek medycznych, zobowiązanych do ochrony danych swoich pacjentów i dotychczas należycie realizujących ten obowiązek, RODO nie oznacza rewolucji. Takie pompowanie balonika i niekiedy straszenie, doprowadziło do kuriozalnych, a niekiedy wręcz groźnych dla bezpieczeństwa pacjentów sytuacji lub co najmniej naruszających ich prawa. Przykładem może być ta wypadku na zakopiance – ocenia Piotr Najbuk.
Dlatego wątpliwości będą wyjaśniane – i w ramach kodeksu branżowego, i w zespołu przy MC.
Nie powinniśmy narażać RODO na śmieszność
Dr Maciej Kawecki koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji
Problem polega na tym, że za dużo mówimy o absurdach, a za mało na nie odpowiadamy, za mało tłumaczymy. A potrzebna jest edukacja – od podstaw. Myślę, że zajmie bardzo dużo czasu, zanim się wyjaśni wszystkie wątpliwości i przeinaczenia. Bo o ile o sensacjach chce się pisać i chce się czytać, o tyle z uspokajającymi komunikatami dużo trudniej trafić do odbiorcy.
Pokazywanie błędów też jest elementem edukacji, ale powinniśmy położyć większy nacisk na rozbijanie mitów niż na opowiadanie o nich. Należy tłumaczyć, jak rozumieć określone rozwiązania, i szukać odpowiedzi w przepisach prawnych. Licytowanie się na absurdy naraża tę reformę na śmieszność. A do prawa trzeba podchodzić poważnie. Śmieszne prawo jest trudniej egzekwować. A to jest prawo podstawowe, bardzo ważne w XXI wieku – o tym musimy pamiętać.
Wątpliwości mają przedstawiciele różnych branż i oczekują odpowiedzi na pytania – potwierdzenia ze strony administracji publicznej. O ile to możliwe, trzeba taki dokument wypracować. Dlatego celem Grupy Roboczej ds. Ochrony Danych Osobowych jest stworzenie przewodnika. Będzie on pewnie podzielony na części – tak jak podzespoły, czyli np. dotyczące edukacji czy zdrowia.
Gdy już wypracujemy ten materiał, który będzie dotyczył wszystkich obszarów, będzie on dystrybuowany przez właściwe resorty. Dlatego grupa jest zespołem międzyresortowym, w jej skład będą wchodzili przedstawiciele wszystkich ministerstw.