Adwokat, Inspektor Ochrony Danych
Czy fizjoterapeuta zawsze zobowiązany jest do pobierania dodatkowej zgody w ramach przetwarzania danych osobowych pacjenta? Wszystko zależy od tego, do jakich celów mają być wykorzystywane.
W zakresie udzielania świadczeń zdrowotnych przez fizjoterapeutę nie jest wymagane pobieranie dodatkowej zgody od pacjenta dotyczącej przetwarzania jego danych osobowych. Kwestia ta została uregulowana poprzez przepisy Ogólnego Rozporządzenia o Ochronie Danych (dalej jako: RODO) w związku z odpowiednimi aktami prawa medycznego.
Podstawą prawną do przetwarzania danych pacjenta jest art. 9 ust. 2 lit. h w związku z motywem 35 RODO – stanowiącym, że przetwarzanie to jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń wskazanych w przepisach.
Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie informacje ujawniające przeszły, obecny lub przyszły stan fizyczny lub psychiczny zdrowia osoby, której dotyczą. Do nich należą informacje o osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej. Zakresem objęte są zatem dane, takie jak: imię, nazwisko, data urodzenia, numer PESEL (w przypadku braku – rodzaj i numer dokumentu tożsamości), adres zamieszkania, a także informacje dotyczące stanu zdrowia pacjenta przetwarzane w związku z udzielanym świadczeniem. Warto podkreślić, że pobieranie zgody od pacjenta byłoby w tym przypadku ponadwymiarowe i nieuzasadnione.
Ale jeżeli fizjoterapeuta chciałby przetwarzać dane pacjenta w celu innym niż udzielanie świadczeń zdrowotnych, konieczne jest uzyskanie zgody lub zapewnienie innej podstawy prawnej (art. 6 i 9 RODO). Dotyczy to na przykład planowanych działań marketingowych czy profilowania danych. W takim przypadku należy każdorazowo i jasno poinformować pacjenta o tym, w jaki sposób przetwarzane są jego dane osobowe. Praktyką jest, że klauzulę obowiązku informacyjnego umieszcza się w ogólnodostępnym miejscu, takim jak rejestracja, a dodatkowo m.in. na stronie internetowej. Podpis pod klauzulą nie jest obligatoryjny. Rekomendowany przez Krajową Izbę Fizjoterapeutów wzór klauzuli dostępny jest pod adresem elektronicznym www.kif.info.pl w zakładce RODO.
Należy również jasno oddzielić kwestie braku konieczności uzyskania zgody na przetwarzanie danych osobowych w zakresie udzielania świadczeń zdrowotnych od zgody na wykonanie zabiegu. Tu pacjent ma prawo do wyrażenia zgody na udzielenie określonych świadczeń zdrowotnych lub odmowy takiej zgody po uzyskaniu informacji o swoim stanie zdrowia. Ale o tym w kolejnym odcinku z serii „Prawo w praktyce”.
Daj znać, co sądzisz o tym artykule :)
Adwokat, Inspektor Ochrony Danych