RODO a obowiązek informacyjny wobec osób upoważnionych do dokumentacji medycznej

upoważnienie do dokumentacji medycznej

Pacjent rejestrując się w placówce medycznej zazwyczaj proszony jest o wypełnienie formularza, w którym upoważnia wybrane przez siebie osoby do swojej dokumentacji medycznej. Zwykle może też osobno podać osoby, które upoważnia do dokumentacji medycznej po swojej śmierci. Obowiązek gromadzenia takich danych przez placówkę medyczną wynika z Art. 26 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

Art.26.
1. Podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta.
2. Po śmierci pacjenta dokumentacja medyczna jest udostępniana osobie upoważnionej przez pacjenta za życia lub osobie, która w chwili zgonu pacjenta była jego przedstawicielem ustawowym. […]
Tym samym w dokumentacji oraz systemach informatycznych placówki pojawiają się dane osobowe osób upoważnionych obejmujące najczęściej imię i nazwisko, numer pesel, numer dokumentu tożsamości czy dane kontaktowe. W takim przypadku często pojawia się myśl: „Zbieramy dane osobowe – musimy spełnić OBOWIĄZEK INFORMACYJNY!”.

Czy aby na pewno?

Pierwszy aspekt, który należy mieć na uwadze to dwa „tryby” spełniania obowiązku informacyjnego o których mowa w RODO. Pierwszy dotyczy zbierania danych wprost od osoby, której dane dotyczą (Art. 13) natomiast drugi dotyczy pozyskiwania danych w inny sposób (Art. 14). W omawianym przypadku pozyskujemy dane osoby upoważnionej nie bezpośrednio od niej lecz od pacjenta (np. pacjent upoważnia swoją żonę podając jej dane) – obowiązują nas zatem zapisy Art. 14 RODO.
 
Pomijając już fakt, że praktyczna realizacja spełnienia obowiązku informacyjnego mogłaby być w takim przypadku bardzo utrudniona (np. posiadamy jedynie imię, nazwisko i numer PESEL) należy zwrócić uwagę na inną istotną kwestię. W art. 14 ust. 5 znajdziemy szereg przypadków, dla których obowiązku informacyjnego się nie spełnia:
 

c)      pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub

d)      dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Jak już wspomnieliśmy na początku – zbieranie danych dotyczących osób upoważnionych jest obowiązkiem ustawowym i wynika wprost z Art. 26 Ustawy o prawach pacjenta i Rzeczniku praw pacjenta. Mało tego – ta sama ustawa w Art. 13 mówi o prawie pacjenta do tajemnicy informacji z nim związanych:


Art.13.

Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

Nietrudno wyobrazić sobie sytuację w której pacjent przeprowadzający badania diagnostyczne np. w Klinice onkologicznej upoważnia swoją żonę do dokumentacji medycznej po swojej śmierci. Załóżmy, że pacjent trzyma informację o swoich badaniach diagnostycznych w tajemnicy przed rodziną aby jej nie niepokoić niepotrzebnie przed ostateczną diagnozą. Ma przecież do tego pełne prawo!

Czy wyobrażacie sobie teraz Państwo sytuację, w której pracownik medyczny dzwoni lub wysyła korespondencję do żony informując o tym, że Administratorem jej danych jest Klinika Onkologiczna w związku z badaniami realizowanymi przez męża? Irytacja pacjenta w takim przypadku mogła by być najłagodniejszą formą dezaprobaty…

Biorąc pod uwagę dwa powyższe wyłączenia (Art. 14 ust 5 lit. c i d) spełnianie obowiązku informacyjnego wobec osób upoważnionych przez pacjenta wydaje się bezzasadne.