10 września 2024

ZGODA NA PRZETWARZANIE DANYCH 
- PUŁAPKI I KONSEKWENCJE

Zdarza się, że placówki medyczne proszą pacjentów o podpisanie zgody na przetwarzanie danych osobowych w celu udzielania świadczeń zdrowotnych. Takie działanie jest błędem. Co więcej, pobieranie zgody może wprowadzać pacjentów w błąd i rodzić niepotrzebne komplikacje, jak np. żądanie wycofania zgody, które nie będzie mogło zostać zrealizowane. Jak uniknąć tego błędu i kiedy zgoda pacjenta na przetwarzanie danych faktycznie jest wymagana?

 

NIEPOTRZEBNA ZGODA

 

Wiele placówek medycznych przy każdej wizycie pacjenta, obok standardowych formularzy – karty pacjenta czy zgody na zabieg, prosi o podpisanie zgody na przetwarzanie danych osobowych w celu udzielania świadczeń opieki zdrowotnej. Działanie takie podyktowane jest zwykle obawą o zgodne z prawem przetwarzanie wrażliwych danych o zdrowiu pacjenta. Tymczasem, w przypadku danych przetwarzanych do celu leczenia, taka zgoda wcale nie jest potrzebna.

 

Dane osobowe pacjentów, w tym dane o zdrowiu, przetwarzane są na podstawie przepisów prawa, w szczególności art. 9 ust. 2 lit. h RODO (Ogólne Rozporządzenie o Ochronie Danych), umożliwiającego m. in. danych dotyczących zdrowia, jeżeli przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia. Co więcej, biorąc pod uwagę że placówki medyczne zobowiązane są do prowadzenia dokumentacji medycznej, przetwarzanie danych osobowych w tym celu znajduje oparcie w art. 6 ust. 1 lit. c RODO – jako przetwarzanie niezbędne do wypełnienia obowiązku prawnego.

 

KONSEKWENCJE BŁĘDNEGO POBIERANIA ZGODY

 

Nie jest tak, że pobranie zgody z ostrożności nikomu nie zaszkodzi. Wyobraźmy sobie taką sytuację: pacjent podpisuje zgodę na przetwarzanie danych osobowych w placówce medycznej. Po pewnym czasie, z różnych powodów, decyduje się wycofać swoją zgodę. Co wtedy? Zgodnie z RODO, każda zgoda powinna być dobrowolna, a pacjent ma prawo ją wycofać w każdej chwili. Problem polega na tym, że w przypadku danych przetwarzanych w celach leczenia, wycofanie zgody nie będzie miało praktycznego znaczenia. Dlaczego?

 

Placówki medyczne mają ustawowy obowiązek prowadzenia dokumentacji medycznej oraz przetwarzania danych pacjentów w związku z zapewnieniem opieki zdrowotnej. Nawet jeśli pacjent wycofa zgodę, dane te będą nadal przetwarzane (choćby poprzez ich przechowywanie). Taka sytuacja może doprowadzić do niepotrzebnych komplikacji i potencjalnych sporów. Pacjent może czuć się wprowadzony w błąd, a placówka medyczna może zostać postawiona w trudnej sytuacji, próbując wyjaśnić, dlaczego zgoda na przetwarzanie danych jest zbędna i nie ma możliwości jej wycofania w odniesieniu do danych o leczeniu. Taki konflikt zakończyć się może złożeniem przez pacjenta zawiadomienia do Urzędu Ochrony Danych Osobowych.

 

JAK NIE ZGODA, TO CO?

 

Skoro zgoda na przetwarzanie danych do celów leczenia nie jest potrzebna, co musi zrobić placówka medyczna, żeby wywiązać się w stosunku do pacjenta z obowiązków nałożonych przez RODO? Kluczowy w tym zakresie jest obowiązek informacyjny. Placówka zobowiązana jest do poinformowania pacjenta m. in. o tym przez kogo, w jakim celu i na jakiej podstawie przetwarzane będą jego dane osobowe oraz jakie prawa mu w związku z tym przysługują. Informacje te powinny być przekazane w jasny, zrozumiały sposób, zwykle przez udostępnienie w siedzibie placówki i na stronie internetowej klauzuli informacyjnej o przetwarzaniu danych dla pacjenta.

 

Aby spełnić obowiązek informacyjny wobec pacjentów, placówki medyczne muszą w szczególności:

  1. poinformować pacjentów o tym, kto jest administratorem ich danych,

  2. przekazać pacjentowi w jakim celu przetwarzane są jego dane osobowe i na jakiej podstawie prawnej, a jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią – wskazać te interesy,

  3. poinformować pacjenta o odbiorcach danych osobowych lub o kategoriach odbiorców,

  4. gdy ma to zastosowanie – poinformować pacjenta o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

  5. wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

  6. przekazać pacjentowi informacje o przysługujących mu prawach,

  7. poinformować, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,

  8. przekazać pacjentowi informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

Ważne jest również, aby informacje te były dostępne nie tylko w formie pisemnej, ale także wyjaśniane ustnie, jeśli pacjent o to poprosi. Prawidłowa interpretacja zasad przetwarzania danych i przekazywania tych informacji pacjentom, przekazywana jest personelowi placówki (w zczególności – obsłudze recepcyjnej) podczas okresowych szkoleń. Dzięki temu unika się nieporozumień, a pacjent ma pełną świadomość tego, jak przetwarzane są jego dane.

 

KIEDY ZGODA JEST FAKTYCZNIE POTRZEBNA?

 

Choć zgoda na przetwarzanie danych w celach leczenia nie jest wymagana, istnieją sytuacje, w których placówki medyczne mogą (i powinny) uzyskać zgodę pacjenta na przetwarzanie jego danych osobowych. Dotyczy to przede wszystkim sytuacji, w których dane są przetwarzane w celach innych niż leczenie.

 

Przykłady takich sytuacji obejmują:

  • Marketing – jeśli placówka chciałaby przesyłać pacjentom informacje o nowych usługach czy promocjach, musi uzyskać na to zgodę pacjenta. W przeciwnym razie takie działania mogłyby naruszać jego prywatność.
  • Badania naukowe – jeśli dane pacjenta miałyby być wykorzystane do celów naukowych, zgoda jest również wymagana, chyba że wykorzystane dane są zanonimizowane i pacjent nie może być zidentyfikowany.
  • Udostępnienie danych osobom trzecim – jeśli placówka medyczna zamierza udostępnić dane pacjenta podmiotom zewnętrznym, np. w celach ubezpieczeniowych, również konieczna jest zgoda pacjenta, chyba że istnieje inna podstawa prawna dal takiego przetwarzania.

 

Zgoda musi być zawsze dobrowolna, świadoma i konkretna. Pacjent powinien mieć pełną wiedzę na temat tego, na co wyraża zgodę, i możliwość jej wycofania w każdej chwili.

 

PODSUMOWANIE

 

Placówki medyczne, przetwarzając dane osobowe pacjentów do celów leczenia, nie muszą pobierać zgody na przetwarzanie tych danych, ponieważ obowiązek ten wynika z przepisów prawa. Pobieranie zgody może wprowadzać pacjentów w błąd i rodzić problemy w przyszłości. Zamiast tego, kluczowe jest spełnienie obowiązku informacyjnego, aby pacjenci byli świadomi, jak i dlaczego ich dane są przetwarzane. Warto jednak pamiętać, że są sytuacje, w których zgoda na przetwarzanie danych osobowych jest niezbędna – i wtedy powinna być uzyskana w sposób prawidłowy.

 

 NEWSLETTER

Imię i nazwkisko:
Twój e-mail:
Zgody

Zapoznałem się z polityką prywatności i akceptuję zasady przetwarzania moich danych osobowych.

 

 

ZAPISZ MNIE
ZAPISZ MNIE
Formularz został wysłany — dziękujemy.
Proszę wypełnić wszystkie wymagane pola!

SKONTAKTUJ SIĘ ZE MNĄ

www.linkedin.com/in/rozewicz/

kancelaria@adwokatrozewicz.pl

+48 501 533 123

ul. Śląska 31/9, 70-434 Szczecin

 

NIP 5992938780 REGON 362332285

Nr rachunku: 13 2490 0005 0000 4500 8303 1756 Alior Bank