Jedyną skuteczną metodą potwierdzenia tożsamości osoby, której są udzielane informacje o stanie zdrowia pacjenta, jest sprawdzenie jej numeru PESEL – przekonują prawnicy.
Do DGP zgłosiła się czytelniczka mająca wątpliwości dotyczące informacji udzielonych przy pobieraniu jej danych w szpitalu. Niepokój wzbudził następujący fragment: „Pana/Pani dane osobowe nie będą przekazywane do państw znajdujących się poza Europejskim Obszarem Gospodarczym (EOG), z wyjątkiem sytuacji, w których przekazanie danych będzie następstwem zgody osoby, której dane dotyczą, oraz wyraźnego polecenia wysyłki tych danych do konkretnego administratora poza siedzibą EOG”.
Eksperci mówią „nie”
Czy oznacza to, że dane mogą być swobodnie przekazywane do innych krajów na terenie EOG? – Nie mogą, chyba że ta pani wyraźnie się na to zgodzi – uspokaja dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. Potwierdzają to inni eksperci od ochrony danych.
– Szpital informuje o przetwarzaniu danych poza EOG tylko dlatego, że obowiązek podania tej informacji wprost przewiduje RODO – tłumaczy Karolina Iwańska z Fundacji Panoptykon. Dodaje, że czasami przekazywanie danych nie wymaga zgody ich właściciela (np. gdy system informatyczny szpitala obsługuje firma z innego kraju niż Polska), ale zdecydowanie nie wolno ich udostępniać bez żadnych ograniczeń.
Doktor Arwid Mednis z Uniwersytetu Warszawskiego podkreśla, że dane o zdrowiu są co do zasady objęte zakazem przetwarzania – w tym przekazywania komukolwiek (a dodatkowo są objęte tajemnicą lekarską). W przypadku zamiaru ich przekazania przez szpital osobie trzeciej musi być spełniony jeden z wyjątków, o których mowa w art. 9 ust. 2 RODO. Mogą być one udostępniane np. w związku z koniecznością konsultacji z zagranicznym ośrodkiem itp. Ekspert zauważa, że zgoda na przekazanie danych poza EOG to zabezpieczenie dla sytuacji, gdy nie będzie do tego innych podstaw prawnych, a z jakiegoś powodu taki transfer będzie potrzebny.
PESEL jest konieczny
Czytelniczka miała także wątpliwości, czy szpital musi pobierać PESEL od osoby, która została upoważniona do otrzymania informacji o stanie zdrowia pacjentki.
– Chodzi o wykluczenie sytuacji, w której do wglądu w naszą dokumentację medyczną upoważnimy Jana Kowalskiego, a Jan Kowalski, który się zgłosi, będzie inną osobą. Pewność identyfikacji daje wyłącznie PESEL – tłumaczy dr Paweł Litwiński.
Podobnego zdania jest Karolina Iwańska, która wyjaśnia, że szpital ma obowiązek zweryfikować tożsamość osoby upoważnionej do odbioru dokumentacji medycznej. – Gdy mamy do czynienia z tak wrażliwymi danymi jak o zdrowiu, pobranie PESEL nie wydaje się nadmierne – dodaje.
Na co ta zgoda?
Czytelniczka została również poproszona o wyrażenie trzech kolejnych zgód: na telefoniczne informowanie o badaniu, posługiwanie się danymi osobowymi w obecności innych pacjentów i wykorzystywanie danych do badań naukowych.
Zdania ekspertów są tu podzielone. Arwid Mednis zauważa, że te trzy zgody obejmują sytuacje nieprzewidziane w art. 9 RODO, dlatego szpital słusznie o nie prosi. Ekspert podkreśla, że pacjent zawsze może odmówić ich udzielenia.
Paweł Litwiński jest bardziej sceptyczny. Wskazuje, że zgoda dotycząca informowania przez telefon zainteresowanych o badaniu przez swoje niejasne sformułowanie narusza art. 12 ust. 1 RODO (wymóg przejrzystego informowania).
– Nie rozumiem, czego ta zgoda miałaby dotyczyć – podania wyników badania, poinformowania, że zostało ono wykonanie. I kim jest „zainteresowany”? – pyta retorycznie ekspert. Podobnie krytycznie ocenia zgodę dotyczącą przetwarzania danych w celu naukowym po anonimizacji danych. Zwraca uwagę, że skoro dotyczy danych anonimowych, nie jest konieczna.
Sprzeciw Pawła Litwińskiego budzi zgoda dotycząca posługiwania się danymi osobowymi w obecności innych pacjentów. – Jej treścią jest przyzwolenie, aby lekarze w obecności innych osób, np. w czasie obchodu, głośno rozmawiali o stanie zdrowia konkretnego pacjenta. Tymczasem art. 20 ust. 1 ustawy o prawach pacjenta mówi wprost, że ma on prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych. Czy zgoda oznacza, że pacjent miałby się godzić na naruszenie tego prawa? W mojej ocenie to ogromne nadużycie – tłumaczy prawnik.