25 maja br. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Żeby ułatwić podmiotom medycznym przygotowanie się do nowych obowiązków, powstał kodeks dla ochrony zdrowia. Doprecyzowuje on regulacje zawarte w unijnym rozporządzeniu o ochronie danych osobowych, czyli tzw. RODO. Przepisy RODO będzie musiał wypełniać każdy podmiot przetwarzający dane osobowe, czyli w zasadzie wszyscy, zarówno duże szpitale, jaki i jednoosobowe praktyki lekarskie.

Tylko za zgodą pacjenta

Jedną z ważnych kwestii jaką porusza kodeks jest konieczność uzyskania zgody na przetwarzanie danych pacjenta. Gdy brakuje bezpośrednich podstaw prawnych do przetwarzania danych osobowych pacjenta bez jego zgody, konieczne jest jej uzyskanie. 

Kodeks przewiduje konieczność uzyskania zgody na przetwarzanie danych pacjenta w takich przypadkach jak m.in.:
- realizacja celów marketingowych – kodeks wskazuje, że wyjątkiem od konieczności uzyskania zgody będzie art. 9 ust. 2 lit h RODO, zgodnie z którym nie trzeba pozyskiwać zgody pacjenta, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem wskazanych w RODO warunków i zabezpieczeń – nawet jeżeli skutkiem tego przetwarzania jest zwiększenie popytu na usługi świadczone przez placówkę medyczną;
- prowadzenie badań klinicznych – kodeks wskazuje jednak, że zgody nie będzie wymagało przetwarzanie przez podmiot wykonujący działalność leczniczą danych na potrzeby samego udzielania świadczeń opieki zdrowotnej na rzecz pacjenta będącego uczestnikiem badania klinicznego;
- realizacja innych celów naukowych;
- zautomatyzowane podejmowanie decyzji w indywidualnych sprawach, przekazywanie danych osobowych do państwa trzeciego, o ile administrator danych nie posiada innej podstawy prawnej przetwarzania danych osobowych pacjentów zgodnie z RODO.

Forma wyrażonej zgody

Kodeks nie zastrzega wyłącznie formy pisemnej dla zgody.

Może zostać ona udzielona także w formie ustnej lub poprzez wyraźne działanie pacjenta (np. zaznaczenie odpowiedniego okienka w systemie informatycznym). 

Zapytanie o zgodę musi być  jasne, przejrzyste i sformułowane odrębnie w odniesieniu do poszczególnych celów przetwarzania danych. Wyrażona zgoda nie może być udzielona w wyniku wprowadzenia pacjenta w błąd, przymusu czy groźby. Nie można nadużywać niewiedzy i nieświadomości pacjenta, powinien on zostać poinformowany o konsekwencjach niewyrażenia zgody na przetwarzanie danych na wskazane cele dodatkowe (np. że nie będzie to skutkowało odebraniem mu prawa do świadczeń opieki zdrowotnej).

Wycofanie zgody może nastąpić w każdym momencie i powinno być proste w realizacji – możliwa jest forma ustna, pisemna, wyraźne działanie.
Placówka medyczna powinna gromadzić i archiwizować pisemne oświadczenia woli pacjentów (w tym także powinna rejestrować rozmowy telefoniczne, rejestrować skrypty rozmów telefonicznych, dokonywać kopii zapasowych), a także, co ważne powinna posiadać odpowiednie polityki i procedury bezpieczeństwa w tym zakresie. 
Klauzula zgody musi posiadać co najmniej nazwę i adres administratora danych oraz cele przetwarzania. 

Kiedy zgoda jest wymagana?

Zdaniem rady prawnego Macieja Łokaja unijny prawodawca zdecydowanie lepiej zdefiniował w treści RODO przypadki, w których możliwe jest przetwarzanie danych osobowy osób fizycznych/pacjentów bez ich zgody. "Regulacja zawarta w art. 9 RODO jest dużo bardziej precyzyjna niż art. 27 polskiej ustawy. Nie mniej dość częstym błędem placówek medycznych jest automatyczne „podłączanie” pod ten przepis wszystkich przypadków przetwarzania danych osobowych pacjentów. To powoduje, że w niektórych jednostkach ochrony zdrowia panuje przekonanie, że zgoda pacjentów w ogóle nie jest wymagana. Takie podejście oczywiście nie jest prawidłowe" - pisze ekspert.

Jak zauważa ekspert, twórcy kodeksu w sposób wyraźny, wymieniają obszary, w których zgoda pacjenta na przetwarzanie danych osobowych będzie wymagana. „Moje wątpliwości jednak wywołuje regulacja dotycząca zgody na realizację celów marketingowych, a co najważniejsze określony w kodeksie przypadek kiedy taka zgoda wymagana nie będzie. Zapis kodeksowy wskazuje, że brak obowiązku uzyskania zgody od pacjenta będzie występował w przypadku spełnienia przesłanek z art. 9 ust. 2 lit. h RODO" – podkreśla ekspert. „Wg mnie takie rozwiązanie jest za daleko idące. Powstaje, bowiem, pytanie co jest w takim wypadku rzeczywistym celem przetwarzania danych osobowych pacjenta? W mojej ocenie celem są tutaj działania marketingowe lub promocyjne, nie zaś czynności związane z ochroną zdrowia, o których mowa w art. 9 ust. 2 lit. h RODO. Te, dla celu marketingowego, są tylko narzędziem. Rozumiejąc intencje autora zapisu, sądzę, że lepszym sformułowaniem byłoby zwolnienie z obowiązku uzyskania zgody przypadków realizacji celu informacyjnego związanego z celami określonymi w art. 9 ust. 2 lit. h RODO, dla przykładu mailowa informacja o rozpoczętym programie badań profilaktycznych (niekoniecznie realizowanym ze środków publicznych). Wydaje się, że takie określenie celu nie naruszałoby, również, generalnego zakazu reklamy placówek medycznych” – twierdzi ekspert.

Czy oświadczenie może być złożone w ramach witryny internetowej?

Inne ważne pytanie dotyczy formy wyrażenia przez pacjenta zgody na przetwarzanie jego danych osobowych. „Zarówno obecnie obowiązująca polska ustawa jak i RODO nie zawierają regulacji w tym zakresie – podkreśla Maciej Łokaj. „Oznacza to zatem, że co do zasady, możliwe jest wyrażenie przez pacjenta zgody w każdej formie, tak ustnej jak i pisemnej. W praktyce, jednak, zgoda najczęściej jest wyrażana pisemnie, czy to w sposób wyraźny poprzez złożenie podpisu na odpowiednim oświadczeniu, czy też w formie mailowej. 

Ekspert podkreśla, że nie należy pomijać również zyskujących w branży medycznej coraz większe znaczenie oświadczeń, które są składane poprzez zaznaczenie odpowiedniego pola (checkbox) w ramach witryny internetowej. Niezwykle ważna jest tutaj bowiem możliwość wykazania przez administratora spełnienia obowiązku uzyskania zgody pacjenta, wyrażona w zasadzie rozliczalności (art. 5 RODO). „W mojej opinii – dodaje radca prawny - również cofnięcie zgody winno następować co najmniej w formie w jakiej zgoda została wyrażona, o której to możliwości pacjent musi zostać za każdym razem poinformowany”.