Jak uniknąć niezgodnego z prawem przetwarzania danych wrażliwych pacjentów

Podmioty lecznicze przetwarzają dane wrażliwe i są wyłączone z obowiązku uzyskiwania zgody pacjenta, gdyż gromadzą dane w celu ochrony jego zdrowia. Zwolnienie to obejmuje wszystkie podmioty, niezależnie od formy własności i od tego, czy zawarły kontrakt z NFZ (art. 29 ustawy o ochronie danych osobowych). Dane te mają zamknięty katalog, który jest określony w rozporządzeniu ministra zdrowia z 9 listopada 2015 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Mogą się znaleźć m.in. w historii choroby, karcie indywidualnej opieki pielęgniarskiej, zaświadczeniu, orzeczeniu czy opinii lekarskiej.

Żeby uniknąć niedopuszczalnego prawem przetwarzania danych, należy się zastanowić, w jakich obszarach placówka gromadzi i przetwarza dane osobowe pacjentów. Jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i placówka stworzyła pełne gwarancje ochrony danych osobowych, nie trzeba uzyskiwać zgody od pacjentów. Jeśli cele przetwarzania danych są inne, niż wymienione, należałoby taką zgodę uzyskać.

Większość podmiotów leczniczych zamieszcza klauzule o zgodzie na przetwarzanie danych osobowych w historii chorób czy kartotekach. Nie jest to dobra praktyka, gdyż może się okazać, że mimo to dane są gromadzone w innym celu, niż ten, na który pacjent wyraził zgodę. Takie postępowanie najczęściej wynika z braku czasu lub środków na przeprowadzenie audytu, który rozpozna dane gromadzone niezgodnie z przepisami.

Warto więc zlecić audyt administratorowi bezpieczeństwa, zmienić politykę bezpieczeństwa, przeszkolić personel w zakresie tego, kiedy, jakie dokumenty mają być gromadzone i jak mają być przechowywane.