Odpowiedź:
Identyfikacja pacjentów za pomocą linii papilarnych jest dopuszczalna, jednak wyłącznie za ich zgodą. Nie zastępuje ona obowiązkowej identyfikacji pacjentów przyjmowanych do szpitali określonej przepisami rozporządzenia Ministra Zdrowia z dnia 20 września 2012 r. w sprawie warunków, sposobu i trybu zaopatrywania pacjentów szpitala w znaki identyfikacyjne oraz sposobu postępowania w razie stwierdzenia ich braku (Dz. U. poz. 1098) - dalej r.z.i.
Uzasadnienie:
Zgodnie z art. 36 ust. 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz. U. z 2013 r. poz. 217 z późn. zm.) pacjentów szpitala zaopatruje się w znaki identyfikacyjne. Zgodnie zaś z rozporządzeniem w sprawie warunków, sposobu i trybu zaopatrywania pacjentów szpitala w znaki identyfikacyjne oraz sposobu postępowania w razie stwierdzenia ich braku, znak identyfikacyjny pacjenta umieszcza się na opasce (§ 3 pkt 1 r.z.i.) bądź na zdjęciu (w przypadku niemowląt, którym założenie opaski nie jest możliwe). Powstaje pytanie, czy uzyskanie danych, których umieszczenie na opasce jest wymagane, lub też identyfikacja pacjentów niezależna od realizacji obowiązku płynącego z § 3 r.z.i., może nastąpić poprzez pobranie od pacjenta odczytu linii papilarnych. Należy zwrócić uwagę, że zakres danych, jakich pobranie jest dopuszczalne w przypadku osoby przyjmowanej do szpitala determinują zarówno wyżej wymienione przepisy jak i przepisy art. 23 i nast. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.), określające zakres danych jakich przetwarzanie dopuszczalne jest w ramach dokumentacji medycznej. Nie znajdujemy wśród nich przyzwolenia na pobieranie i przetwarzanie danych takich jak linie papilarne, należy zaś wziąć pod uwagę treść art. 6 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182) - u.o.d.o., zgodnie z którym w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Nie ulega więc wątpliwości, że pobieranie danych biometrycznych od pacjentów bez ich zgody naruszałoby powyższe przepisy. Można jednak rozważać, dopuszczalność pobierania takich danych za zgodą pacjenta. W opinii Generalnego Inspektora Danych Osobowych przedstawionej w odpowiedzi na zagadnienia dopuszczalności pobierania odcisków linii papilarnych pracowników znajdujemy pogląd, iż jest to niedopuszczalne, nawet za zgodą pracownika. U podstaw takiego poglądu, jak można przekonać się na podstawie analizy wspomnianej opinii, leży jednak słuszne założenie, iż zgoda uzyskana przez pracodawcę od pracownika w tej sprawie zawsze budzić będzie wątpliwości co do tego czy została wyrażona w sposób swobodny, podnoszony jest nadto argument, iż rejestracja czasu pracy może odbywać się w inny sposób. Inaczej należy ocenić relację podmiot leczniczy - pacjent. O ile bowiem ustawodawca nie kwestionuje możliwości swobodnego wyrażenia przez pacjenta zgody na daleko bardziej posuniętą ingerencję w dobra osobiste pacjenta, jaką jest udzielenie świadczenia zdrowotnego, należy przypuszczać, iż w tym samym duchu należy rozważać możliwość wyrażenia przez pacjenta zgody na pobranie danych biometrycznych. Wobec tego pobieranie i przetwarzanie tych danych następować może na podstawie art. 23 ust. 1 pkt 1 u.o.d.o. Należy podkreślić, iż w obecnym stanie prawnym nie zastępuje ono jednak identyfikacji pacjentów na zasadach określonych w § 3 r.z.i.
Iwona Kaczorowska-Kossowska, autorka współpracuje z Serwisem Prawo i Zdrowie
Odpowiedzi udzielono 16 grudnia 2014 r.