Jak chronić dane osobowe pacjenta w placówce medycznej

Każdy z nas ma prawo do ochrony dotyczących go danych osobowych. Ta fundamentalna zasada wyrażona w art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. 2016, poz. 922) ma swoje źródło o charakterze normatywnym w art. 51 Konstytucji Rzeczypospolitej Polskiej.

Uchwalenie w roku 1997 ustawy o ochronie danych osobowych było przejawem postępującego procesu demokratyzacji życia publicznego i troski o ochronę prywatności każdego obywatela. Jak można zatem zdefiniować pojęcie „danych osobowych”? Zgodnie z definicją ustawową, zawartą w art. 6 ust. 1 omawianej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobę możliwą do zidentyfikowania uważa się natomiast osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2 art. 6 w.w. ustawy).

Prawo medyczne zezwala na przetwarzanie danych osobowych ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie ustalonym w ustawie o ochronie danych osobowych. Co należy więc rozumieć pod pojęciem „przetwarzania danych osobowych”? Zgodnie z ustawową definicją są to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.  

Przesłanki dopuszczalności przetwarzania danych osobowych zostały enumeratywnie wymienione w ustawie o ochronie danych osobowych; trzeba jednak wyraźnie podkreślić, że ustawa zawiera zakaz przetwarzania określonej kategorii danych osobowych, którymi są tzw. dane wrażliwe. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.  

Ustawodawca dopuścił możliwość przetwarzania danych wrażliwych jedynie w przypadkach wskazanych w ustawie o ochronie danych osobowych (art. 27 ust. 2 ustawy). Przetwarzanie danych osobowych wrażliwych jest dozwolone m.in. wtedy, gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Mamy już zatem pewność, że w placówkach medycznych przetwarzane są przede wszystkim tzw. dane osobowe wrażliwe, często nazywane również danymi sensytywnymi, co wymaga stworzenia specjalnego systemu zabezpieczeń, zapobiegających ich przetwarzaniu niezgodnie z prawem. Na co więc podmiot leczniczy powinien szczególnie zwrócić uwagę, by dane osobowe pacjentów nie zostały udostępnione osobom nieupoważnionym, czy też nie zostały  w jakikolwiek sposób zawłaszczone, lub też nie uległy zniszczeniu, utracie czy też nieuprawnionej zmianie?

Podstawowym wymogiem jest należyte zabezpieczenie pomieszczeń, w których dane są przetwarzane bądź to w formie papierowej, bądź też elektronicznej. Pomieszczenia te powinny być zamykane i dostępne tylko dla osób, które są upoważnione do przetwarzania danych wrażliwych. Każda osoba, która przetwarza dane osobowe w placówce medycznej powinna być do tego imiennie upoważniona; zakres takiego upoważnienia będzie różnił się w zależności od zajmowanego stanowiska i dostępu danej osoby do określonej kategorii zbiorów danych osobowych wrażliwych. Wymogu tego nie wolno lekceważyć i należy mieć na uwadze, że tylko jego spełnienie może stanowić podstawę do zezwolenia komukolwiek na przetwarzanie danych, którym z punktu widzenia obowiązujących uregulowań prawnych jest chociażby przeglądanie kart pacjentów, czy też dostęp do wyników badań. Wszystkie osoby przetwarzające dane osobowe powinny być także odpowiednio przeszkolone w zakresie obowiązków związanych z ochroną danych osobowych.

Jeśli dane dot. pacjentów są przetwarzane elektronicznie bardzo istotne jest również właściwe zabezpieczenie dostępu do hasła (ujawnianie go tylko osobom upoważnionym), czy też jego systematyczna zmiana. Niedopuszczalne jest zapisywanie haseł dostępu i pozostawianie ich w miejscu niezabezpieczonym. Ekrany komputerowe powinny być umieszczone w taki sposób, by nikt nieupoważniony nie mógł przeczytać wyświetlanej na nich treści, a odchodząc od komputera choćby na przysłowiową chwilę obowiązkowo należy go zablokować, choćby za pomocą wygaszacza ekranu, zabezpieczonego hasłem dostępu.

Kontrowersje budzi także umieszczanie przed gabinetami list pacjentów, czy też wywoływanie pacjentów po nazwisku. Wydaje się że zarówno w pierwszym, jak i drugim przypadku są to praktyki naganne. Nie ma bowiem uzasadnienia prawnego i faktycznego dla publicznego ujawniania nazwisk pacjentów – praktyka taka jest także naruszeniem prawa pacjenta do poszanowania intymności i godności, zagwarantowanego w ustawie z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. 2016, poz. 186 z późn. zm.). Można wywoływać pacjentów do gabinetu po imieniu i taka praktyka jest coraz częściej stosowana.

Nie zawsze pacjent, który znajduje się w placówce medycznej zwraca uwagę na to, czy jego dane osobowe są przetwarzane w sposób właściwy, często nie ma świadomości, że dane dotyczące jego stanu zdrowia są tą kategorią danych osobowych, której przetwarzanie wymaga szczególnej staranności. Zachęcam, by przy dokonywaniu jakichkolwiek operacji na danych osobowych podmiot udzielający świadczeń zdrowotnych zwracał uwagę na najdrobniejsze szczegóły, które mogą wzbudzić niepokój pacjentów. W sytuacji powzięcia przez pacjentów uzasadnionych wątpliwości warto zgłosić swoje zastrzeżenia bezpośrednio do zarządzającego placówką medyczną, albo bezpośrednio do Generalnego Inspektora Ochrony Danych Osobowych, który sprawuje kontrolę zgodności przetwarzania danych z przepisami o ochronie danych osobowych i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych.

         Za niedopuszczalne przetwarzanie danych osobowych, udostępnianie ich osobom nieupoważnionym czy też naruszenie obowiązku zabezpieczenia danych osobowych przewidziane są w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. 2016, poz. 922) sankcje karne w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności.

         Nie ulega wątpliwości, że obowiązujące uregulowania prawne dotyczące ochrony danych osobowych nie zawsze stanowią gwarancję prawidłowego ich przetwarzania. Jak zwykle w takich sytuacjach będzie to zależało przede wszystkim od stworzenia odpowiednich procedur i nadzoru nad ich przestrzeganiem, a także od odpowiedniego przeszkolenia personelu medycznego. Codzienność udowadnia, że w placówkach medycznych w tym zakresie pozostaje jeszcze wiele do nadrobienia…

Sprawdź także: Kancelaria prawo pracy Poznań | Prawo medyczne Poznań | Prawo nieruchomości Poznań