Piotr Grzelczak,
radca prawny, specjalista z zakresu ochrony danych osobowych i wdrożeń RODO
partner w Kancelarii GFP Legal (www.gfplegal.pl)
wywiad z radcą prawnym Piotrem Grzelczakiem z Kancelarii Prawnej GFP Legal
W ostatnim czasie sporo mówi się o problemach w służbie zdrowia związanych z wprowadzeniem przepisów RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Wątpliwości związane ze stosowaniem przepisów rozporządzenia postaram się wyjaśnić w rozmowie z radcą prawnym Piotrem Grzelczakiem z Kancelarii Prawnej GFP Legal z Wrocławia.
Przegląd Okulistyczny: Panie Mecenasie, czy w związku z wprowadzeniem RODO czeka nas rewolucja w codziennym funkcjonowaniu personelu medycznego?
Nie nazwałbym tego rewolucją. Przepisy o ochronie danych osobowych obowiązują od ponad 20 lat. Wprowadzenie RODO i obawa przed przewidzianymi tam karami finansowymi sprawiły, że zaczęto zwracać baczniejszą uwagę na prawo do prywatności przysługujące pacjentom.
Czy w związku z wprowadzeniem RODO lekarz nie może już wywoływać pacjentów do gabinetu po nazwisku?
Rzeczywiście, wywoływanie pacjentów czekających na wizytę po nazwisku może doprowadzić do naruszenia ich prawa do prywatności. Dlatego można zastosować inne sposoby – przykładowo wywoływać po numerze nadanym pacjentowi podczas rejestracji czy też po godzinie wizyty. Ci z lekarzy, którzy preferują bardziej osobisty kontakt z pacjentem, mogą wywoływać ich po imieniu. Może się jednak zdarzyć, że w kolejce czeka kilka osób o tym samym imieniu. W takim przypadku po imieniu pacjenta można dodać godzinę wizyty, np. pan Marcin umówiony na godzinę 11.00. Można też dodać numer gabinetu, w którym odbędzie się wizyta, np. pan Marcin umówiony na godzinę 11.00 w gabinecie nr 101. Oczywiście jeśli dana placówka ma środki na wprowadzenie elektronicznego systemu identyfikacji pacjentów poprzez wyświetlanie nad gabinetami numerków, jest to najprostsze rozwiązanie.
Czy obostrzenia te obowiązują również w przypadku szpitalnych oddziałów ratunkowych?
Nie zawsze. W sytuacjach, w których istnieje zagrożenie zdrowia bądź życia ludzi, a więc przykładowo na oddziałach SOR czy w izbach przyjęć pełniących funkcję SOR, a nie da się zastosować wskazanych uprzednio metod, można identyfikować tożsamość pacjenta z wykorzystaniem nazwiska bądź imienia i nazwiska i innych danych osobowych. Priorytetem jest bowiem ratowanie życia i zdrowia. W każdym przypadku, w którym pojawia się konflikt między prawem do prywatności a obowiązkiem ratowania życia i zdrowia człowieka, prawo do prywatności musi ustąpić.
Czy lekarz może się zwracać do pacjentów po imieniu i nazwisku na sali chorych?
Nie powinien. Wystarczające będzie zwracanie się po imieniu z dodaniem słowa Pani/Pan. Jeśli jednak nie można zidentyfikować pacjenta w inny sposób, użycie imienia i nazwiska będzie dopuszczalne.
Czy na drzwiach gabinetu lekarza mogą się znajdować informacje zawierające imię, nazwisko i specjalizację lekarza? W końcu to również są dane osobowe.
Tak, takie informacje mogą, a nawet muszą się znaleźć na drzwiach gabinetu. Zgodnie z RODO przetwarzanie danych osobowych takich jak imię czy nazwisko jest dozwolone, jeśli obowiązek taki wynika z przepisów prawa. Informacje, które muszą się znaleźć na drzwiach gabinetu lekarskiego, określa Rozporządzenie Ministra Zdrowia z dnia 26 czerwca 2012 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Przepisy nakładają obowiązek umieszczenia danych lekarza nie tylko na drzwiach gabinetu, lecz również na identyfikatorze, który lekarz musi nosić w widocznym miejscu. Dane lekarzy obejmujące imię, nazwisko, rodzaj i stopień specjalizacji, a także umiejętności z zakresu węższych dziedzin medycyny są ponadto zawarte w rejestrze lekarzy prowadzonym przez właściwą okręgową radę lekarską.
W jaki sposób zapewnić prywatność pacjentowi, który leży na sali chorych, a jego stan zdrowia nie pozwala na przeprowadzenie rozmowy poza salą?
Przede wszystkim na sali wieloosobowej lekarz powinien przekazywać pacjentowi tylko informacje niezbędne. Na sali chorych powinny być udzielane jedynie informacje związane z codziennym leczeniem pacjenta, można zapytać pacjenta o jego samopoczucie. Przed udzieleniem jakichkolwiek informacji lekarz powinien wyprosić z sali wszystkie osoby nieuprawnione, np. osoby odwiedzające chorych. Jeśli pacjent sobie tego życzy, na sali może pozostać osoba mu bliska. W przypadku dzieci czy osób ubezwłasnowolnionych, a także niezdolnych do świadomego wyrażenia zgody na sali mogą się znajdować, oprócz personelu medycznego, również opiekunowie tych osób. Trzeba też pamiętać, że w przypadku pacjentów, których stan zdrowia pozwala na poruszanie się, zaleca się omawianie szczegółów dotyczących stanu zdrowia i leczenia w osobnym gabinecie. W sytuacjach nagłych, gdy konieczne jest natychmiastowe przeprowadzenie rozmowy i podjęcie działań związanych z ratowaniem życia bądź zdrowia, a nieprzeprowadzenie rozmowy mogłoby narazić pacjenta na uszczerbek – możliwa jest rozmowa z pacjentem w każdym miejscu.
Czy szpital może umieszczać imię i nazwisko pacjenta na kroplówce czy opakowaniach z krwią do transfuzji?
Tak. Ryzyko podania pacjentowi niewłaściwego produktu medycznego w sytuacji nieumieszczenia na nim danych pacjenta jest bardzo wysokie, zaś konsekwencją omyłki w skrajnych przypadkach może być nawet śmierć pacjenta. Należy pamiętać, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym. Niekiedy więc przepisy dotyczące ochrony danych nie znajdą zastosowania ze względu na konieczność poszanowania i ochrony ważniejszego dobra, jakim jest życie i zdrowie pacjenta.
Czy w związku z wejściem w życie RODO lekarz musi prowadzić jakąś dodatkową dokumentację?
To zależy od formy wykonywania zawodu przez lekarza. Jeśli lekarz jest zatrudniony w placówce medycznej, to za administratora danych zostanie uznany jego pracodawca. Lekarz będzie zobowiązany jedynie do stosowania się do obowiązujących w danej jednostce regulaminów i procedur wewnętrznych. Jeśli jednak lekarz ma pełną niezależność w zakresie decydowania o celach i sposobach przetwarzania danych (np. w ramach indywidualnej praktyki lekarskiej), zostanie uznany za administratora danych. W takim przypadku RODO nakłada na niego szereg obowiązków związanych nie tylko z odpowiednim zabezpieczeniem danych, lecz również z prowadzeniem dokumentacji wewnętrznej, w której najważniejszymi dokumentami będą rejestr czynności przetwarzania i polityka bezpieczeństwa. Należy pamiętać, że zgodnie z RODO dokumentacja musi odzwierciedlać rzeczywiście prowadzoną działalność, uwzględniając oprócz przetwarzania danych pacjentów zgromadzonych w dokumentacji medycznej również inne formy przetwarzania danych, np. związane z prowadzeniem strony internetowej czy też korzystaniem z monitoringu. Dlatego też dokumentacja przygotowana dla dwóch lekarzy prowadzących indywidualną praktykę lekarską może się od siebie znacznie różnić. Wdrażając przepisy RODO, warto więc zapewnić sobie pomoc ze strony specjalistów, którzy podpowiedzą, w jaki sposób dostosować prowadzoną działalność do wymogów nowych przepisów o ochronie danych osobowych.
Dziękuję za rozmowę.
Piotr Grzelczak,
radca prawny, specjalista z zakresu ochrony danych osobowych i wdrożeń RODO
partner w Kancelarii GFP Legal (www.gfplegal.pl)