ŚWIĄTECZNA DARMOWA DOSTAWA od 20 grudnia do 8 stycznia! Zamówienia złożone w tym okresie wyślemy od 2 stycznia 2025. Sprawdź >
Interpretacja
Kiedy monitoring jest potrzebny
O prywatności pacjenta w placówkach ochrony zdrowia z mec. Mariolą Malicką, radcą prawnym, specjalistką w zakresie ochrony danych osobowych, rozmawia Monika Stelmach
MT: Jak wywołać pacjenta z kolejki w przychodni, nie naruszając jego prywatności?
Mariola Malicka: Już na etapie rejestracji należy się zastanowić, jak zorganizować pracę placówki, żeby spełnić obowiązki związane z tajemnicą lekarską i ochroną danych osobowych pacjenta. Czasami wystarczą proste rozwiązania, niezwiększające kosztów funkcjonowania, zależne tylko od dobrej woli i świadomości prawnej personelu, np. zamiast pytać o nazwisko i PESEL, poprosić o dokument i dane spisać; zamiast wywoływać po nazwisku, można posłużyć się systemem numerków.
MT: W wielu szpitalach pacjenci nadal mają karty przy łóżku, z imieniem, nazwiskiem i przebiegiem choroby.
M.M.: W tej sprawie wypowiedział się Generalny Inspektor Ochrony Danych Osobowych. Wystosował do ministra zdrowia sygnalizację, w której zaznaczył, że takie postępowanie jest niezgodne z ustawą o ochronie danych osobowych oraz prawem pacjentów do prywatności. Karta gorączkowa jest częścią dokumentacji medycznej, tak powinna być traktowana i odpowiednio zabezpieczona. Minimum zachowania prywatności dają karty dwustronne, które należy odwrócić, żeby mieć wgląd w dane, ale GIODO rekomenduje szukanie rozwiązań zapewniających prywatność na wyższym poziomie.
MT: A obecność studentów podczas badań?
M.M.: W art. 13 i 14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta ustawodawca potraktował zachowanie tajemnicy lekarskiej jako podstawowe prawo pacjenta. Jednocześnie uchylono przepisy, które umożliwiały przekazywanie informacji o pacjencie w celach badawczych i niezbędnych do praktycznej nauki zawodu. Oczywiście można omawiać przypadki chorób oraz sposoby leczenia na konkretnych przypadkach, ale należy zachować anonimowość pacjenta, co nie zawsze jest możliwe. Natomiast jeśli chcemy ujawnić personalia pacjenta, za każdym razem musimy dysponować jego zgodą.
MT: Czy korzystanie z systemu eWUŚ stwarza niebezpieczeństwo dla prywatności pacjenta?
M.M.: Sytuacja, kiedy dane wrażliwe wymykają się spod kontroli, może wyrządzić dużo szkód, których skutki są nieprzewidywalne. Często ani prawo, ani świadomość użytkowników nie nadążają za postępem technologicznym. Dziś podmiot medyczny występujący o dostęp do systemu eWUŚ musi pisemnie zobowiązać się do stosowania ustawy o ochronie danych osobowych oraz zaakceptować regulamin korzystania z systemu eWUŚ, który dokładnie określa zasady jego użytkowania.
MT: W Polsce nie ma ogólnych przepisów prowadzenia monitoringu wizyjnego – każdy filmuje każdego, nawet podczas badań i zabiegów medycznych. W ocenie Rzecznika Praw Obywatelskich regulacja jest niezbędna ze względu na ingerencję w sferę prywatności pacjenta.
M.M.: Projekt ustawy dotyczącej monitoringu jest w zaawansowanej fazie prac, niemniej jednak wciąż nie ma przepisów regulujących te kwestie. Wszędzie obserwujemy ekspansję zdalnego monitoringu z coraz lepszym obrazem, coraz dalszym zasięgiem obserwacji oraz możliwością szybkiego przesyłania danych. Brak ustawy o stosowaniu monitoringu nie oznacza, że nie można dokonywać kwalifikacji prawnych w oparciu o istniejące przepisy. Dziś należy posiłkować się głównie ustawą o ochronie danych osobowych. Uznaje się, że dane wizualne i dźwiękowe są danymi osobowymi, jeśli pozwalają na identyfikację konkretnej osoby.
Obowiązujące zasady
1. Generalny Inspektor Ochrony Danych Osobowych uważa, że informacje o pacjencie, np. wywoływanie po nazwisku z kolejki, mogą chociażby pośrednio świadczyć o stanie jego zdrowia. Radzi, żeby przychodnie unikały takich praktyk. Pamiętajmy, że informacje dotyczące zdrowia należą do danych szczególnie chronionych.
2. Tylko pacjent jest uprawniony do podjęcia decyzji, w jakim zakresie i komu chce powiedzieć o swoim stanie zdrowia.
3. Przyjmuje się, że informacje dotyczące choroby stanowią jedno z dóbr osobistych. Na straży ochrony tych dóbr stoją przepisy konstytucji oraz Kodeksu cywilnego (art. 23, 24 k.c.). Co więcej, informacje na temat zdrowia zalicza się do tzw. danych wrażliwych, o których mowa jest w ustawie o ochronie danych osobowych. Ich rozpowszechnianie może wyrządzić szczególną krzywdę, dlatego w tym przypadku została wprowadzona silniejsza ochrona. Natomiast w Ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta uznano zachowanie tajemnicy lekarskiej za podstawowe prawo każdego pacjenta. Przepisy te mają zastosowanie nie tylko do lekarzy, ale też innych pracowników medycznych: pielęgniarek, położnych, farmaceutów.
4. Informacje na temat zdrowia powinny być przekazywane choremu i jego rodzinie bez udziału osób do tego niepowołanych. Podobnie szczegółowe omawianie choroby pacjenta przy innych chorych podczas obchodu nie jest właściwe.
5. Dokumentacja powinna być przechowywana tak, aby dostęp do niej miały wyłącznie osoby upoważnione, czyli bezpośrednio związane z leczeniem.
6. Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku, nakłada nowe obowiązki na administratorów danych osobowych w zakresie dokumentacji. Dotyczą m.in. wewnętrznych (co najmniej raz w roku) kontroli zgodności przetwarzania danych osobowych z prawem. Dlatego placówki ochrony zdrowia powinny za każdym razem, zanim podejmą decyzję o wideonadzorze, dokonać dokładnej analizy prawnej z uwzględnieniem przepisów o ochronie danych osobowych oraz wytycznych dotyczących stosowania monitoringu. Podmiot, który stosuje monitoring, ma obowiązek zapewnić nadzór nad instalacją, bezpieczeństwo fizyczne urządzeń oraz oprogramowania. Powinien przeszkolić personel obsługujący systemy monitorujące oraz zapewnić narzędzia i środki do bezpiecznego przechowywania nagrań.
MT: W jednym z poznańskich szpitali zainstalowano na bloku operacyjnym kamery, aby sprawdzać, o której lekarze zaczynają i kończą zabiegi. Przyczyną tej decyzji był sypiący się grafik. Czy to właściwe rozwiązanie?
M.M.: Ustawodawca jasno określa, że stosowanie kamer powinno być uzasadnione i zastosowane proporcjonalnie do celu. Co ważne, wprowadzenie monitoringu powinno się odbyć w sytuacji, kiedy nie jest możliwe osiągnięcie zamierzonego celu za pomocą środków, które w mniejszym stopniu ingerują w prywatność. Pacjenci powinni być świadomi, że są nagrywani, np. poprzez tablice informacyjne. Informacja jest konieczna, nawet jeśli zachowana jest anonimowość chorego. Obowiązuje także zasada adekwatności użytych środków. Zainstalowanie kamer na bloku operacyjnym w celu organizacji czasu pracy personelu moim zdaniem nie jest środkiem adekwatnym. Pracodawca ma szereg innych narzędzi kontroli grafiku swoich pracowników.
MT: Monitoring w pewnych przypadkach możne okazać się korzystny, bo zwiększa bezpieczeństwo i pozwala rozstrzygnąć sporne sytuacje.
M.M.: Nie ma jednoznacznej wskazówki, kiedy monitoring jest potrzebny, a kiedy narusza prywatność pacjenta. Każdy przypadek należy rozpatrywać indywidualnie. Kiedy jednak w grę wchodzą dane wrażliwe, decyzja o zastosowaniu kamer musi być poprzedzona wnikliwą analizą prawną z uwzględnieniem celu, jaki podmiot chce osiągnąć. Może oczywiście się okazać, że jest to uzasadnione dobrem pacjenta. W sytuacji sporu z pacjentem o naruszenie prawa do prywatności należycie udokumentowany proces decyzyjny wprowadzenia monitoringu i respektowanie wytycznych ustawy o ochronie danych osobowych zabezpieczają placówkę przed roszczeniami i dają szansę na obronę swoich racji w sądzie, np. kiedy pacjent domaga się odszkodowania za naruszenie jego prywatności w związku ze stosowaniem kamer.
MT: Jakie konsekwencje może ponieść placówka lub pracownik ochrony zdrowia w związku z niezachowaniem tajemnicy lekarskiej lub naruszeniem ustawy o ochronie danych osobowych?
M.M.: Wynikają one z odpowiedzialności cywilnej. Pacjent może ubiegać się o zadośćuczynienie za krzywdę spowodowaną naruszeniem jego dóbr osobistych. Prawo przewiduje też odpowiedzialność karną w postaci grzywny, kary ograniczenia wolności lub roku pozbawienia wolności dla osoby, która nie dopełniła obowiązków związanych z zabezpieczeniem danych przed zabraniem ich przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Standardy związane z prawem pacjenta do prywatności są dość wysokie, a będą jeszcze bardziej restrykcyjne. Nie pozostaje nic innego, jak dobrze się z nimi zapoznać i wprowadzić je do codziennej praktyki.