Niebezpieczne udostępnianie danych o stanie zdrowia

Każda czynność przetwarzania wymaga podstawy prawnej. Pozyskiwanie danych o stanie zdrowia, zapisywanie ich w systemach informatycznych, archiwizowanie czy usuwanie – podejmowanie tych działań znajduje uzasadnienie w RODO oraz przepisach polskiego prawa, w szczególności ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta.

Te same przepisy mają też zastosowanie do udostępniania danych wrażliwych, określając sytuacje udostępniania informacji o stanie zdrowia pacjenta czy też udostępniania dokumentacji medycznej.

Dane o stanie zdrowia pacjenta zasługują na szczególną ochronę. Są to dane wprost przypisane do konkretnych osób i niezmienne. Konsekwencje dostania się takich informacji w niepowołane ręce mogą być bardzo niekorzystne. Ważne jest, by wszystkie placówki medyczne miały świadomość potencjalnego ryzyka, jakie wiąże się z niewłaściwym wykorzystaniem takich danych. W tym także udostępnieniem.

Bezpłatny sprzęt diagnostyczny a dane osobowe

Cukrzyca – przewlekła choroba metaboliczna wynikająca z zaburzonego wydzielania lub działania insuliny. Podstawowym urządzeniem dla diabetyków, służącym do pomiaru i kontroli poziomu glukozy we krwi, jest glukometr. Urządzenie wręcz niezbędne w codziennym życiu dla osób dotkniętych tą chorobą. Urządzenie, które może być bezpłatne, dzięki firmom wypożyczającym je pacjentom. Jak pokazuje praktyka funkcjonująca w wielu przychodniach, wystarczy wypełnić formularz na karcie gwarancyjnej, podając podstawowe dane identyfikujące pacjenta, by pacjent otrzymał glukometr do swojego wyłącznego użytku. Działalność dostawcy glukometrów sama w sobie nie budzi żadnych wątpliwości, jest wręcz przez pacjentów oceniana jako bardzo przydatna.

Co ma więc z tym wspólnego RODO?

Bardzo często lekarze placówek medycznych uczestniczą w zbieraniu danych pacjentów na potrzeby dostawców glukometrów. Zbierają dane o stanie zdrowia na potrzeby odrębnego od placówki medycznej administratora danych. Czy więc placówka medyczna udostępnia te dane poprzez działanie lekarza upoważnionego do przetwarzania danych osobowych pacjentów tej placówki? A może placówka medyczna zbiera te informacje w imieniu i na rzecz dostawcy urządzenia i staje się podmiotem przetwarzającym w rozumieniu RODO? Obu sytuacji należy unikać. Trudno bowiem znaleźć podstawę prawną do udostępniania danych osobowych prywatnym firmom przez placówkę medyczną – nawet jeśli odbywa się to w interesie klienta. Z kolei przyjmowanie na siebie obowiązków podmiotu przetwarzającego może być dla placówki medycznej dodatkowym obciążeniem.

Jak więc pomóc pacjentom?

Oczywiście jest sposób, by zapewnić pacjentom dostęp do darmowego sprzętu bez brania na siebie odpowiedzialności i ryzyka związanego z udostępnianiem danych osobowych. Jeśli placówka medyczna zamierza współpracować z dostawcami darmowego sprzętu diagnostycznego dla pacjentów, zasady takiej współpracy powinny polegać na całkowitym oddzieleniu procesu pozyskiwania przez dostawcę danych osobowych pacjentów na potrzeby dystrybucji tych urządzeń. Najlepszym sposobem będzie umieszczenie w przychodni zamykanej skrzynki (urny), do której klucz będzie miał wyłącznie przedstawiciel takiego dostawcy. Pacjent, po wypełnieniu karty gwarancyjnej takiego urządzenia, wrzucałby ją do urny, skąd byłaby zabrana przez przedstawiciela dostawcy przy okazji jego kolejnej wizyty w przychodni. Placówka medyczna nie powinna prowadzić żadnego rejestru pacjentów otrzymujących takie urządzenia, ani wysyłać go do dostawcy. Drugi sposób – także gwarantujący przychodni bezpieczeństwo – polega na przerzuceniu na pacjentów obowiązku przekazania swoich danych osobowych do dostawców sprzętu, np. poprzez wysyłkę karty gwarancyjnej pocztą.

Oba rozwiązania zmniejszają ryzyko naruszenia ochrony danych osobowych pacjentów placówki, jakie wiąże się z udostępnianiem danych o stanie zdrowia pacjentów firmie trzeciej lub uczestniczeniem w jakiejkolwiek formie w zbieraniu tych danych na jej rzecz.