Czy dozwolone jest wywoływanie pacjentów po nazwisku

Kategoria: Pacjent
Data: 08-11-2016 r.

Pacjenci, którzy czekają na wizytę, często są wywoływani przez lekarza do gabinetu po nazwisku. Mogą je usłyszeć wtedy wszyscy inni pacjenci i osoby towarzyszące obecne w poczekalni. Sprawdź, czy taka praktyka jest zgodna z zasadami dotyczącymi ochrony danych osobowych.

Za dane osobowe uważa się wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ochronie danych osobowych). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, zwłaszcza przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacje nie umożliwiają określenia tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Ogólne rozporządzenie unijne o ochronie danych osobowych (dalej RODO), które ma zacząć obowiązywać na 2 lata, definiuje dane osobowe jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, zwłaszcza na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Czy nazwisko to dane osobowe

Zwróćmy uwagę na sformułowania, które mówią o możliwości zidentyfikowania, ale bez nadmiernych kosztów, czasu lub działań. Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności. Czy więc samo imię i nazwisko to dane osobowe? Niestety nie ma na to jednoznacznej odpowiedzi. W niektórych warunkach, na przykład dużym mieście, popularne nazwisko nie będzie ujawniać tożsamości konkretnej osoby. Dopiero w połączeniu z innymi informacjami, jak na przykład numer telefonu, czy adres, może identyfikować osobę fizyczną.

Jednak w innych warunkach, na przykład w małej społeczności, już samo nazwisko, czy nawet przezwisko (pseudonim), może określać konkretną osobę. Zanim więc wywołamy pacjenta po nazwisku do gabinetu lekarskiego, zastanówmy się, czy nie ujawnimy jego tożsamości lub nie naruszamy jego prywatności. Inaczej bowiem będzie wyglądać, gdy wywołamy pacjenta po nazwisku w dużej przychodni, w dużym mieście. Osoby, które to słyszą, nie dowiedzą się, gdzie mieszka pacjent, co mu dolega. Jeszcze bardziej ogólną informacją będzie samo imię. Chyba, że w kolejce będzie czekało kilku Piotrów. Można wtedy np. dodać „Pan Piotr umówiony na godzinę 13.15”.

Dane osobowe – będzie szerszy katalog

Do danych wrażliwych zaliczamy między innymi informacje o stanie zdrowia, więc wszystko co zawiera dokumentacja medyczna pacjenta. W RODO katalog danych szczególnie chronionych jest nieco rozszerzony i doprecyzowany.

Do tej kategorii należą dane osobowe, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, które jednoznacznie identyfikują osobę fizyczną oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej. Natomiast do danych osobowych dotyczących zdrowia zaliczamy wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Do takich danych należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej.

Będą to więc:

  • numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych,
  • informacje z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych,
  • wszelkie informacje o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła (lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro).

Podmioty, które przetwarzają właśnie takie dane, będą - zgodnie z RODO - zobowiązane do wyznaczenia inspektora ochrony danych, czyli obecnego administratora bezpieczeństwa informacji. Obecnie powołanie ABI, czyli zgłoszenie do GIODO osoby, która nadzoruje przestrzeganie w jednostce zasad ochrony danych, jest opcjonalne, dobrowolne. Nadzór jednak musi być odpowiednio zorganizowany. Chociażby po to, aby przeszkolić personel placówki, by nawet niechcący i nieświadomie nie naruszał ochrony danych, zwłaszcza wrażliwych.

Respektujmy prawa osób, których dane dotyczą. Zgodnie z przepisami działania takie muszą odznaczać się szczególną starannością, a więc większą od zwykłej, przeciętnej, czy nawet należytej, o których mowa w Kodeksie cywilnym.

Piotr Glen, administrator bezpieczeństwa informacji, specjalista ds. ochrony danych osobowych, audytor bezpieczeństwa informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Ochrona danych osobowych w gabinecie lekarskim – przygotuj się do dużych zmian

pobierz

Elektroniczna dokumentacja medyczna

pobierz

Jak zarządzać ryzykiem w ujęciu ISO 9001:2015

pobierz

Jak przygotować raport o sytuacji ekonomiczno-finansowej SPZOZ Nowy obowiązek dla kierownika

pobierz

Polecane artykuły

Array ( [docId] => 39741 )
Array ( [docId] => 39741 )

Array ( [docId] => 39741 )