Tag: RODO

Ujawnienie danych pacjenta nieupoważnionej osobie

Prowadząc podmiot leczniczy czy też własną praktykę lekarską pamiętajcie, aby w sytuacji popełnienia błędu poprzez ujawnienie danych identyfikujących pacjenta nieupoważnionej do tego osobie:
  • poinformować o tym osobę, której dane ujawniliście,
  • zgłosić tę sytuację do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
 
Przekładając ten obowiązek na stan faktyczny wyobraźmy sobie sytuację, gdy wydajecie skierowanie pacjentowi Janowi Kowalskiemu podczas gdy w skierowaniu posługujecie się omyłkowo danymi pacjenta Jana Nowaka.
W takiej sytuacji wymaga się, aby przede wszystkim powiadomić o pomyłce Jana Nowaka – gdyż jego dane w sposób omyłkowy znalazły się na skierowaniu oraz zgłosić tę sytuację do prezesa UODO. Na temat danych osobowych pisałyśmy też [TUTAJ].
 
Podobna okoliczność miała miejsce w jednej z placówek medycznych, na którą nałożono karę w wysokości 10.000 zł za naruszenie przepisów o ochronie danych osobowych.
Z pełną treścią decyzji nakładającej karę możecie zapoznać się pod [TUTAJ].UODO otrzymało informację o możliwości zaistnienia naruszenia ochrony danych osobowych w podmiocie leczniczym.

Stan faktyczny.

Jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).
 
W trakcie prowadzonego przez UODO postępowania podmiot leczniczy wyjaśnił, że omyłkowo wpisał na skierowaniu dane osobowe innego pacjenta, niemniej okazało się, iż faktycznie pacjent ten nie istniej bowiem i tak wpisał nieprawidłowe imię.
 
Z tego względu podmiot leczniczy uznał, iż nie ma potrzeby zawiadamiać o powyższym pacjenta (który w ocenie podmiotu leczniczego nie istnieje), jak i UODO.
Stanowisko UODO.
UODO stwierdził jednak, że doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych osobie nieuprawnionej (innemu pacjentowi podmiotu leczniczego). Co więcej wydany przez lekarza dokument zawierał jedynie omyłkę w imieniu pacjenta, natomiast pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły już tego konkretnego pacjenta. Stąd też nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby. Pomimo błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować.
 
UODO wskazuje jak się zachować w razie ujawnienia danych pacjenta nieupoważnionej osobie:
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie do UODO, administratorzy informują Urząd, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Z kolei UODO dokonuje weryfikacji oceny dokonanej przez administratora.
W przedmiotowej sprawie niezaprzeczalnym jest, że dane osobowe udostępnione osobie nieuprawnionej, oprócz tzw. danych zwykłych, obejmują także dane należące do szczególnych kategorii danych osobowych, tj. dane o stanie zdrowia na temat rozpoznania i celu porady lekarskiej. Ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo wskazać należy, że ujawnienie nieuprawnionemu odbiorcy danych osobowych innej osoby, z uwagi na przekazanie mu przez lekarza administratora skierowania do poradni specjalistycznej z niewłaściwymi danymi, stanowi jednocześnie naruszenie tajemnicy lekarskiej.”
FacebookLinkedInEmailPrint

bezpłatne udostępnianie dokumentacji medycznej?

Od 4 maja 2019 r. udostępnienie dokumentacji medycznej pacjentowi lub jego przedstawicielowi ustawowemu będzie bezpłatne.

Powyższe dotyczy jednak tylko dokumentów udostępnianych pacjentowi po raz pierwszy.

Nowe zasady to efekt zmian zawartych w ustawie wprowadzającej unijne rozporządzenie o ochronie danych osobowych RODO.

Jak podkreśla Rzecznik Praw Pacjenta, wniosek o udostępnienie dokumentacji medycznej może dotyczyć całej dokumentacji medycznej pacjenta lub tylko wybranej jej części. Taki wniosek zostanie zrealizowany przez placówkę medyczną bezpłatnie. Przy następnym udostępnieniu tych samych dokumentów placówka medyczna będzie mogła pobrać stosowną opłatę.

Wskazuje się, że placówka medyczna jest zobowiązana do bezpłatnego udostępnienia dokumentacji medycznej za każdym razem, kiedy wniosek dotyczy dokumentów, których pacjent wcześniej nie otrzymał.

Interpretacja przepisów RODO w tej kwestii nie była jasna. Rzecznik Praw Pacjenta uważał, że – zgodnie z RODO – pacjenci mają prawo do otrzymania pierwszej kopii dokumentacji medycznej za darmo. Innego zdania był Urząd Ochrony Danych Osobowych. UODO wskazywał bowiem, że prawa pacjenta dotyczącego dostępu do dokumentacji medycznej nie należy utożsamiać z przysługującym na mocy RODO prawem bezpłatnego otrzymania pierwszej kopii danych osobowych. Jeśli więcej pacjent nie wskaże, że wnioskuje o realizację prawa na gruncie RODO, to udostępnienie dokumentacji medycznej powinno się odbyć na zasadach określonych w ustawy o prawach pacjenta, czyli za odpłatnością.

Ustawa wdrażająca RODO rozstrzyga ostatecznie, że pierwsza kopia dokumentacji medycznej powinna być wydana pacjentowi za darmo.

FacebookLinkedInEmailPrint

Jak wzywać pacjenta do gabinetu zgodnie z RODO?

„Lekarz w drzwiach poczekalni:
– Proszę Państwa w związku z RODO nie mogę używać nazwisk, więc Pana z syfilisem zapraszam do gabinetu” 😊😊😊

Pod ostatnim wpisem dotyczącym RODO zastanawialiście się czy i jak po wejściu przepisów wywoływać pacjenta na wizytę. Czy możliwie jest używanie imienia, nazwiskaCzy może konieczne jest zastosowanie jakiś innych sposobów

Dziś wyjaśnimy, jak wzywać pacjenta czekającego w kolejce do gabinetu, żeby uniknąć zarzutów naruszenia przepisów RODO. Bo pewnym jest, że nie może się to odbywać jak w „sucharze” z początku tego wpisu. 😊

Na wstępie powinniście wiedzieć, że zgodnie RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej czyli osobie, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Według RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jeśli więc wywołalibyście pacjenta po imieniu i nazwisku, to łącznie z jego wizerunkiem osoba ta staje się identyfikowalna, a dostęp do tych danych uzyskują inne osoby przebywające w poczekalni.
Z tego wynika, że lekarz nie może wzywać pacjenta do gabinetu używając do tego danych osobowych.
Jak więc wzywać pacjenta, aby nie naruszyć przepisów
Jest na to kilka sposobów. Wyczerpująco zostały one opisane w przygotowanym przez Ministerstwo Zdrowia we współpracy z Ministerstwem Cyfryzacji Przewodniku po RODO dla służby zdrowia. Zespół ekspertów zaproponował m.in.
➡️ Wezwanie po numerze nadanym podczas rejestracji
➡️ Wezwanie po godzinie wizyty, jeśli te umawiane są na konkretną godzinę
➡️ Wezwanie po imieniu
➡️ Rozwiązania mieszane łączące wskazane wyżej informacje i/lub inne szczegóły:
➡️ wezwanie przy pomocy elektronicznego systemu identyfikacji pacjentów (numerki wyświetlane nad gabinetami).
Niezależnie od powyższego, możliwe jest zastosowanie metody identyfikacji tożsamości z wykorzystaniem nazwiska bądź imienia i nazwiska oraz innych niezbędnych danych osobowych pacjenta w przypadku Szpitalnych Oddziałów Ratunkowych, Izb Przyjęć pełniących funkcję SOR oraz jednostek ratownictwa medycznego oraz w każdej sytuacji, w której istnieje zagrożenie zdrowia bądź życia, a nie jest możliwe zastosowanie ww metod
Na koniec chciałybyśmy zwrócić Waszą uwagę na niezbyt przyjemne aspekty wywoływania pacjentów w inny sposób niż po nazwisku.
Słyszałyśmy historie o tym jak starsza pacjentka wywołana przy pomocy numerka, zdenerwowała się stwierdzając, że numerkiem to ona była w obozie koncentracyjnym a teraz chciałaby być traktowana jak człowiek.
Inny z lekarzy opisywał sytuację, w której pacjent wywołany po samym imieniu jako „Pan Zbigniew”, zwrócił lekarzowi uwagę, że nie przypomina sobie, aby przechodzili „na Ty”.
Kolejna sytuacja wywołała zniesmaczenie pacjenta, który wezwany do Gabinetu jako Ryszard R., stwierdził że nie jest „jakimś oskarżonym, żeby używać inicjału jego nazwiska”.
Jak widać nie da dogodzić się wszystkim, ale to nic nowego.
Jedni pacjenci będą niezadowoleni w związku z wzywaniem na wizytę wg. nowych sposobów, inni będą chcieli złożyć skargę, jeśli zostaną wywołani „z nazwiska”. Praktyka będzie z całą pewnością kształtować się jeszcze przez jakiś czas.
Niemniej pomimo „obruszeń” dbajcie o swoje bezpieczeństwo i wywołujcie pacjentów zgodnie z ww. wytycznymi.
Ważne jest żebyście znali przepisy, które pozwolą Wam na uniknięcie kar nakładanych za naruszenie danych osobowych.
 
 
 
 
FacebookLinkedInEmailPrint

KONTAKT

Kancelaria Adwokacko-Radcowska
"Podsiadły-Gęsikowska, Powierża" Sp. p.

ul. Filtrowa 61/3
02-056 Warszawa

+48 22 628 64 94
+48 600 322 901

kancelaria@prawniklekarza.pl

REGON: 369204260 NIP: 7010795766

AEKSANDRA POWIERŻA

+48 604 077 322
aleksandra.powierza@prawniklekarza.pl

KAROLINA PODSIADŁY-GĘSIKOWSKA

+48 735 922 156
karolina.podsiadly@prawniklekarza.pl