Prawo do bycia zapomnianym w placówkach medycznych

W Polsce od 25 maja 2018 roku zacznie obowiązywać RODO, europejskie rozporządzenie o ochronie danych osobowych, które m.in. ustanawia prawo do usunięcia danych, nazywane prawem do bycia zapomnianym. Polega ono na tym, że każdej osobie, której dane są przetwarzane, przysługuje prawo do ich usunięcia, czyli właśnie „bycia zapomnianym”.
Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:
1. Dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
2. Podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
3. Podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
4. Przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa;
5. Dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. portale społecznościowe).
Co może zrobić pacjent?
Na gruncie RODO pacjent może zwrócić się z żądaniem do administratora danych (podmiotu wykonującego działalność leczniczą, np. szpital) wtedy gdy:
1. Jego dane, które zostały zebrane nie są już niezbędne do celów do których zostały zebrane;
2. Dane pacjenta zostały zebrane lub są przetwarzane w inny sposób w sytuacji, gdy pacjent wycofał zgodę;
3. Zostanie spełniona przesłana z art. 17 ust. 1 RODO czyli dane byłby przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator ma obowiązek bezzwłocznie usunąć dane w przypadku wystąpienia w/w przesłanki.
Czego pacjent zrobić nie może?
Pacjent nie może zwrócić się do placówki medycznej, aby ta usunęła wszystkie jego dane, zarówno w trakcie leczenia jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, czyli w tym przypadku ustawa o prawach pacjenta i RPP, która stanowi w art. 24 ust. 1, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, okres przechowywania dokumentacji zależy od rodzaju dokumentacji. Podmiot medyczny nie może więc na życzenie zniszczyć dokumentacji medycznej pacjenta, a jedynie jest zobligowany to zrobić po upływie okresu, w jakim był zobowiązany przechowywać dokumentację medyczną.
Prawo do bycia zapomnianym nie dotyczy sytuacji zniszczenia dokumentacji medycznej na żądanie pacjenta, ponieważ według RODO przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
Kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym?
Prawo do bycia zapomnianym będzie mieć zastosowanie m.in. w sytuacji, gdy lekarz czy pielęgniarka lub inny pracownik zmienił miejsce pracy, a jego dane (w tym wizerunek) nadal widnieją na stronie internetowej byłego pracodawcy. Może zwrócić się on z żądaniem natychmiastowego usunięcia.
W tym przypadku z żądaniem może się także zwrócić pacjent w sytuacji, kiedy wyraził zgodę na wykorzystywanie jego danych osobowych przez podmiot medyczny do celów marketingowych, gdzie placówki mogą takie dane gromadzić i przetwarzać za zgodą pacjenta.
Zgodę zawsze można wycofać ze skutkiem natychmiastowym i bezpłatnie (gdy pacjent np. zapisał się na newsletter). Zawsze może się z niego wypisać bez ponoszenia konsekwencji, dotyczy to również obecności danych pacjenta w profilach społecznościowych prowadzonych przez placówki medyczne.
Aneta Sieradzka, Ph.D, MBA
Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet