W związku z rozpoczęciem stosowania od dnia 25 maja br. przepisów ogólnego rozporządzenia o ochronie danych (RODO), placówki medyczne wprowadziły u siebie szereg zmian. Głównym ich zadaniem było zabezpieczenie danych osobowych pacjentów, pracowników i kontrahentów – w tym zapewnienie, że wykorzystanie tych danych odbywa się zgodnie z prawem.
Wiele przychodni i ośrodków zdrowia zdecydowało się przy tej okazji na odbieranie od swoich pacjentów zgód na przetwarzanie danych osobowych w związku z ich leczeniem i prowadzeniem dokumentacji medycznej. Czy rzeczywiście takie zgody muszą być odbierane?
Aby zapewnić zgodność przetwarzania danych osobowych z prawem, RODO wymaga od placówek medycznych (które są administratorami danych osobowych), aby dane osobowe pracowników czy pacjentów były zbierane na jednej z kilku podstaw. Takimi podstawami, zgodnie z RODO, są m.in.:
- zgoda osoby, której dane dotyczą, na wykorzystanie jej danych osobowych,
- konieczność użycia danych osobowych dla wykonania umowy,
- obowiązki prawne, ciążące na administratorze danych,
- prawnie uzasadniony interes, realizowany przez administratora danych.
Najlepiej kojarzoną podstawą dla wykorzystania danych osobowych jest zgoda osoby zainteresowanej. Jako osoby fizyczne wyrażamy zgodę na użycie danych osobowych np. w procesie rekrutacji czy przy zapisywaniu się na internetowy newsletter. Inaczej jednak wygląda sprawa na gruncie przepisów prawa medycznego.
Leczenie pacjentów i prowadzenie dokumentacji medycznej to obowiązki placówki medycznej, wynikające z szeregu przepisów prawa, przede wszystkim z:
- ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta,
- ustawy o działalności leczniczej,
- ustawy o zawodach lekarza i lekarza dentysty,
- ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
We wskazanych przepisach uregulowano sposób realizacji obowiązków placówki medycznej, w tym zakres danych osobowych, jakie mogą być gromadzone o pacjentach (imiona, nazwiska, adresy, informacje o stanie zdrowia). Tym samym placówki medyczne – w zakresie danych osobowych niezbędnych w procesie leczenia i prowadzenia dokumentacji medycznej – mają już przesłankę, jaką jest realizacja obowiązku prawnego, i nie potrzebują dodatkowej w postaci zgody pacjentów.
Placówka medyczna, która zbierałaby dane osobowe od pacjentów na podstawie ich zgód, narażałaby się na innego rodzaju ryzyko. Zgoda ze swojej natury powinna być dobrowolna i możliwa do wycofania w każdym czasie. Jeżeli pacjent wycofałby udzieloną placówce medycznej zgodę, ta musiałaby usunąć pacjenta z prowadzonej przez siebie dokumentacji, co spotkałoby się z brakiem akceptacji ze strony organów kontrolnych i nieuchronnymi karami.