Czy czarna lista pacjentów jest zgodna z prawem?

Udostępnij:
- Na łamach „Rzeczpospolitej” opublikowana została informacja, że powstał portal dla lekarzy, na którym można uzyskać informację, czy dany pacjent nie ma w zwyczaju odwoływania wizyt lekarskich. Nie oceniając strony, a sam pomysł, rozłożyliśmy go na czynniki pierwsze i stwierdzamy, czy przepisy prawa dopuszczają możliwość tworzenia takich list - piszą Monika Wieczorek i Aneta Sieradzka.
Analiza Moniki Wieczorek i Anety Sieradzkiej:
- Zacznijmy od początku.

Kto i na jakiej podstawie może przetwarzać dane pacjentów?
Przy ocenie tego, czy możliwe jest tworzenie publicznych rejestrów pacjentów, którzy nie odwołują umówionych wizyt zacznijmy od tego w jaki sposób lekarz wchodzi w posiadanie danych. Otóż, kiedy pacjent umawia wizytę lekarską najczęściej podaje swoje imię i nazwisko oraz dane kontaktowe, przy czym częściej numer telefonu, niż adres e-mail, bo ta forma komunikacji jest zwykle szybsza. Gabinet lekarski już na tym etapie może mieć zatem do czynienia z zebraniem danych osobowych potencjalnego pacjenta, jeżeli pozyska dane, dzięki którym będzie możliwe zidentyfikowanie osoby. Jeżeli na wizytę umówi się pacjent, który już korzystał z usług danej placówki medycznej, wówczas sprawa jest jeszcze prostsza – placówka z całą pewnością posiada już dane osobowe pacjenta i może go po nich zidentyfikować.

Pierwsze pytanie to kto jest administratorem danych osobowych pacjenta. I tu wiele zależy od tego, jak lekarz ureguluje to z podmiotem leczniczym, w którym świadczy usługi. Jeżeli sam prowadzi gabinet – jest administratorem. Jeżeli przyjmuje pacjentów w podmiocie leczniczym, z którym ma umowę o świadczenie usług – może przetwarzać dane na podstawie upoważnienia lub jako podmiot przetwarzający na zlecenie administratora. Rzadziej będzie odrębnym administratorem. Nie zawsze więc pojedynczy lekarz korzystający z jakiegokolwiek serwisu internetowego weryfikującego solidność pacjentów będzie miał prawo dysponowania danymi pacjentów - nie zawsze bowiem to on osobiście będzie ustalał cele i sposoby przetwarzania.

Podstawą do przetwarzania danych zwykłych jak imię i nazwisko lub numer telefonu będzie oczywiście podstawa określona w art. 6 ust. 1 lit. b RODO, czyli przetwarzanie będzie niezbędne w celu wykonania umowy – świadczenia medycznego. Dane o stanie zdrowia, jako dane szczególnych kategorii mogą być przetwarzane na innej podstawie, w szczególności na podstawie art. 9 ust. 2 lit. h RODO, który zezwala na ich przetwarzania w celu prowadzenia leczenia. W każdym z tych przypadków administrator będzie musiał spełnić wobec pacjenta – podmiotu danych obowiązek informacyjny i poinformować go m.in. o celach i podstawach przetwarzania danych, okresie ich przechowywania czy odbiorcach danych.

W niektórych przypadkach przetwarzanie danych będzie możliwe także na podstawie uzasadnionego interesu administratora, np. dla działań marketingowych czy komunikacji. Należy tu jednak wskazać, że uzasadnionym interesem placówki medycznej nie mogą być działania ograniczające dostęp do świadczeń medycznych, polegające na umieszczaniu pacjentów na tzw. czarnej liście. Ponadto, takie praktyki jak czarna lista pacjentów mogą stanowić naruszenie praw pacjenta oraz dóbr osobistych pacjenta, w tym ograniczenia dostępu do świadczeń medycznych.

Pojawia się pytanie o celowość i podstawę prawną działania rejestru z tzw. czarną listą pacjentów w relacji do przepisów o dostępie do ochrony zdrowia i życia, ale też wykonywania zawodu lekarza. W naszej ocenie istnieje tu kolizja nie tylko norm prawnych, ale i etycznych, którymi związany jest lekarz. Na gruncie obecnych przepisów takie praktyki jak czarna lista pacjentów są niedopuszczalne i bezprawne.

Ujawnienie danych ogółowi odbiorców
Czy lekarz może swobodnie dysponować otrzymanymi od pacjenta danymi kontaktowymi? W naszej ocenie nie.

Lekarz chcący ujawnić dane kontaktowe pacjenta powinien z całą pewnością poinformować go o tym w momencie zbierania danych. W klauzuli informacyjnej znaleźć powinna się więc informacja, że odbiorcami danych będą użytkownicy serwisu X lub inne osoby. Gdyby przyjąć, że w takim serwisie umieszczany byłby tylko numer telefonu, to wciąż nie mamy pewności, że żadna osoba nie zostanie po nim zidentyfikowana. Wiele osób korzysta np. z telefonów służbowych do celów prywatnych i w łatwy sposób można je po tym numerze telefonu zidentyfikować. W tym zakresie zdrowy rozsądek jest niezbędny, ale przyjęcie ostrożnościowej perspektywy, że numer telefonu może stanowić danę osobową jest z całą pewnością bezpieczniejsze. Tym bardziej, że sam cel takiej bazy jest jasny i opiera się na zasadzie „podaj wątpliwy numer telefonu, a powiemy ci, czy ta osoba nie odwołuje niechcianych wizyt u lekarza”. Serwis weryfikujący np. numery telefonów już z samej swej specyfiki zachęca do poszukiwania numerów telefonów, czy identyfikacji osób przy ich użyciu. Z tego powodu bliżej nam do przyjęcia, że numer telefonu jest daną osobową w kontekście tak określonego przetwarzania.

Ujawnianie danych innym lekarzom
Gdyby jednak lekarzowi przyszło się podzielić w serwisie, nawet tylko z zalogowanymi użytkownikami – innymi lekarzami, że oto pod tym numerem telefonu kryje się nieuczciwy pacjent nieodwołujący wizyt, to może się okazać, że kolega czy koleżanka po fachu również może ten numer telefonu mieć zapisany, jako numer nieuczciwego pacjenta. A wówczas będziemy mieć do czynienia z sytuacją nie tylko ujawnienia danych zwykłych pacjenta bez podstawy prawnej (umowa o świadczenie usług medycznych nie przewiduje możliwości przekazywania danych innym lekarzom), ale i z ujawnieniem danych o stanie zdrowia. Inny lekarz otrzyma bowiem informację, do jakiego to jeszcze specjalisty ten przysłowiowy Kowalski się zapisał.

Wydaje się zatem, że jedyną dopuszczalną podstawą przetwarzania danych pacjentów w celu tworzenia publicznych lub mających określonych adresatów baz danych jest zgoda. A czy pacjenci chętnie wyrażaliby zgodę na umieszczenie ich na takiej czarnej liście? Co do tego mamy poważne wątpliwości.

Co może zrobić pacjent?
Pacjent, który widnieje na tzw. czarnej liście w placówce medycznej może złożyć jednocześnie skargę do Prezesa Urzędu Ochrony Danych Osobowych oraz skargę do Rzecznika Praw Pacjenta. W powyższej sytuacji pacjent winien również zawiadomić o bezprawnych praktykach okręgową izbę lekarską. Na gruncie powszechnie obowiązujących przepisów pacjent jest wyposażony w skuteczne narzędzia ochrony.

Autorki to:
Aneta Sieradzka, partner zarządzający Sieradzka&Partners
Monika Wieczorek, radca prawny, partner zarządzający w EDGE Wieczorek Kancelaria prawna sp.k.
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.