Przejdź do artykułu: Mity w RODO, czyli kiedy utajnianie danych może doprowadzić do zgonu
Część szpitali zrezygnowała z opasek u pacjentów bojąc się, że złamią przepisy RODO. Jednak nadmierne utajnienie danych może doprowadzić do pomyłki.
Czy szpital lub przychodnia może kserować dowód lub paszport pacjenta?
Czy istnieje przepis prawny, który upoważnia placówkę medyczną realizującą umowę z NFZ, do kserowania dowodu osobistego pacjenta lub paszportu, w sytuacji gdy chorym jest np.: obywatel Ukrainy? - wyjaśnia Iwona Kaczorowska-Kossowska.
Artykuł pochodzi z LEX Ochrona Zdrowia
Z uwagi na to, że zarówno dowód osobisty jak i paszport zawierają dane szersze niż te, które potrzebne są do udzielania i rozliczania świadczeń zdrowotnych, wykonanie i zachowanie ich kopii byłoby dopuszczalne tylko w przypadku wyrażenia na to zgody przez pacjenta, zgodnie z ogólnymi zasadami przyzwolenia na przetwarzanie danych za zgodą - art. 9 ust. 1 pkt a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO – ze wskazaniem m.in. celu przetwarzania).
Jednak musiałaby być to zgoda wyrażona swobodnie i całkowicie dobrowolnie, co oznacza, iż od jej wyrażenia nie można uzależnić udzielenia świadczeń zdrowotnych. W konsekwencji kopiowanie omawianych dokumentów nie mogłoby być standardową procedurą stosowaną w każdym przypadku i należałoby również liczyć się z tym, iż pacjent zgody na takie kopiowanie nie wyrazi.
RODO i zakres danych
RODO – nie zawiera zapisów przewidujących generalny zakaz sporządzania i przechowywania kopii dokumentów zawierających dane osobowe. Kopiowanie i przechowywanie wykonanej kopii jest jednak niczym innym jak przetwarzaniem danych zawartych w tym dokumencie (czy też tej jego części która została skopiowana). Przetwarzanie takie, jak każda inna jego forma, musi więc spełniać przesłanki z art. 6 RODO, który stanowi, że przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W dowodzie za dużo danych
Jeśli chodzi o wymienione w pytaniu dokumenty, dowód osobisty zawiera m.in. nazwisko rodowe, imiona rodziców, wizerunek twarzy (art. 12 ustawy z 6.08.2010 r. o dowodach osobistych; Dz.U. z 2017 r. poz. 1464). Paszport zaś zawiera m.in. wizerunek twarzy i podpis posiadacza i dane biometryczne (art. 18 ustawy z 13.07.2006 r. o dokumentach paszportowych; Dz.U. z 2016 r. poz. 758)
Jak wynika z w/w przepisów zakres danych zawartych w tych dokumentach jest znacznie szerszy niż dane wymagane do prowadzenia dokumentacji medycznej, wymienione w rozporządzeniu Ministra Zdrowia z 9.11.2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania - dalej r.d.m. oraz do sprawozdawczości dla NFZ, wynikającej z rozporządzenia Ministra Zdrowia z 20.06.2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych.
Zatem w przypadku wykonania i pozostawienia sobie kopii jednego z w/w dokumentów, świadczeniodawca przetwarzałby nie tylko dane pacjenta, których jest uprawniony z uwag na cel ich pozyskania (udzielenie świadczenia zdrowotnego) ale i inne (wizerunek twarzy, dane biometryczne). Tego rodzaju przetwarzanie uznane zostało zaś w orzecznictwie za nieusprawiedliwione (vide: wyrok Naczelnego Sądu Administracyjnego, I OSK 1354/16).
Jeśli jest zgoda pacjenta, to co innego
Wykonanie i zachowanie kopii jednego z w/w dokumentów byłoby natomiast oczywiście dopuszczalne w przypadku wyrażenia na to zgody przez pacjenta, zgodnie z ogólnymi zasadami przyzwolenia na przetwarzanie danych za zgodą (art. 9 ust. 1 pkt a RODO – ze wskazaniem m.in. celu przetwarzania). Jednak musiałaby być to zgoda wyrażona swobodnie i całkowicie dobrowolnie, co oznacza, iż od jej wyrażenia nie można uzależnić udzielenia świadczeń zdrowotnych. W konsekwencji kopiowanie omawianych dokumentów nie mogłoby być standardową procedurą stosowaną w każdym przypadku i należałoby również liczyć się z tym iż pacjent zgody na takie kopiowanie nie wyrazi.
