RODO nie wystarczy. Trzeba ustawy, by zachować monitoring wizyjny w szpitalu

Autor: RR/Rynek Zdrowia • • 09 kwietnia 2018 05:50

Dwie sprawy związane z poszanowaniem intymności i godności budzą największy sprzeciw pacjentów. Pierwsza to monitoring wizyjny w miejscach udzielania świadczeń zdrowotnych i dostępności tych miejsc dla osób postronnych, druga to przekazywanie informacji o stanie zdrowia w obecności innych pacjentów.

Sprawa dotyczy m.in. szpitali, zaś resort zdrowia "wskazuje na brak kompetencji do uregulowania samodzielnie monitoringu wizyjnego w szpitalach". Fot. archiwum

Wskazywali na te drażliwe kwestie zarówno rzecznik praw pacjenta (RPP), jak i generalny inspektor ochrony danych osobowych (GIODO) w czasie marcowej konferencji "Tajemnica medyczna. Praktyczne dylematy ochrony danych pacjentów". - To są najczęstsze sygnały, jakie trafiają do biura rzecznika związane z naruszeniem godności i intymności pacjenta - podkreślał RPP Łukasz Chmielowiec.

Na naszą prośbę RPP przedstawił dane liczbowe nt. stwierdzonych naruszeń prawa pacjenta do intymności i godności. W 2013 r. odnotowano 19 takich przypadków, w 2014 r. - 13, w 2015 r. - 41, w 2016 r. - 40.

- Liczba stwierdzonych naruszeń przedmiotowego prawa pacjenta w stosunku do 2013 r. wzrosła; mimo to procentowy udział tych naruszeń w stosunku do ogółu stwierdzonych naruszeń wszystkich praw pacjenta przedstawia się na zbliżonym poziomie, tj. 7 proc.- skomentował Chmielowiec.

Zaznaczył także, że w czasie wystąpienia na wspomnianej konferencji miał na myśli szeroko pojętą ochronę prywatności pacjenta, a więc nie tylko poszanowanie intymności i godności, ale również prawo do dokumentacji medycznej, prawo pacjenta do tajemnicy informacji z nim związanych. Tego typu przypadki stanowiły 43 proc. stwierdzonych naruszeń w roku 2016.

Kamery do pakamery?
Zapytaliśmy RPP pod jakimi warunkami - zgodnie z ogólnym unijnym rozporządzeniem o ochronie danych osobowych (RODO), które wchodzi w życie 25 maja - dopuszczalne będzie instalowanie monitoringu w placówkach ochrony zdrowia.

Nim oddamy głos rzecznikowi praw pacjenta, jedna uwaga: stanowiska prawników w tej sprawie są rozbieżne.

Np. w ocenie rzecznika praw obywatelskich (RPO) konieczne będzie przyjęcie ustawy regulującej zasady monitoringu (i to zanim RODO wejdzie w życie). RPO argumentuje, że z art. 6 ust. 1 lit. f) unijnego rozporządzenia wynika, że nie będzie ono mogło stanowić podstawy stosowania monitoringu przez organy publiczne, potrzebna jest odrębna ustawa.

Przepisy te nie pozostawiają wątpliwości, że w przypadku braku ustawy wiele podmiotów publicznych, dziś stosujących monitoring wizyjny na podstawie "uzasadnionego interesu administratora", po 25 maja 2018 r. będzie musiało tego zaprzestać - ostrzega Adam Bodnar w piśmie do MSWiA i wnosi o pilne uregulowanie zasad monitoringu.

Podkreśla przy tym, że sprawa dotyczy m.in. szkół i szpitali, zaś resort zdrowia "wskazuje na brak kompetencji do uregulowania samodzielnie monitoringu wizyjnego w szpitalach".

Podobne obawy ma generalny inspektor ochrony danych osobowych.

Twierdzi, że RODO wymaga podstawy ustawowej dla takiego przetwarzania danych. W związku z tym podmioty publiczne, które nie mają ustawowej podstawy prawnej do dbania o bezpieczeństwo na terenie placówki, nie będą mogły przetwarzać danych osobowych z wykorzystaniem monitoringu wizyjnego w oparciu o przesłankę prawnie uzasadnionego interesu administratora - relacjonuje stanowisko GIODO Gazeta Prawna ("RODO i GIODO odłączą wtyczkę kamerom w urzędach", 4 kwietnia 2018).

Dodajmy jeszcze, że takie ustawowe upoważnienie zawarte jest w regulacjach dotyczących organów ścigania, kasyn czy konkretnych sytuacji (np. imprez masowych). Znajdujemy je również w ustawie z 24 listopada 2017 r. o zmianie ustawy o ochronie zdrowia psychicznego. Uregulowano w niej podstawowe kwestie dotyczące monitorowania pomieszczenia, w którym realizowany jest przymus bezpośredni w formie izolacji.

Jeśli jednak wnioski rzeczników są zasadne, to do 25 maja - jeśli ustawodawca do tej daty prawa nie zmieni - kamery w placówkach ochrony zdrowia i w innych podmiotach publicznych powinno się zdemontować. Tym samym zniknie powód skarg pacjentów na łamanie prawa do intymności i godność.

Monitoring ryzykowny
Łukasz Chmielowiec nie odnosi się wprost do kwestii prawnego uzasadnienia obecności kamer w placówkach ochrony zdrowia. Zwraca uwagę, że "RODO nie wyróżnia monitoringu jako szczególnego sposobu przetwarzania danych osobowych, a więc do przetwarzania danych osobowych pozyskanych za pomocą monitoringu stosuje się te same zasady, które stosuje się do innych sposobów przetwarzania".

Zatem podmiot wykonujący działalność leczniczą, będąc administratorem tak zbieranych danych osobowych, musi spełnić przesłanki legalności przetwarzania takich danych oraz realizować wszystkie inne obowiązki wynikające z RODO.

RPP podkreśla również, że "w art. 35 RODO wskazano systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie jako jeden z czynników obligujących do dokonania oceny skutków dla ochrony danych, gdyż może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych".

Zaznacza, że "zgodność procesów przetwarzania danych osobowych z RODO może być przedmiotem oceny organu nadzorczego - Generalnego Inspektora Ochrony Danych Osobowych, a po wejściu w życie nowej ustawy o ochronie danych osobowych Prezesa Urzędu Ochrony Danych Osobowych".

Publiczna spowiedź chorego
Oprócz wścibskich i wszechobecnych kamer, pacjentów denerwuje również konieczność ujawniania swoich danych personalnych i informacji o stanie zdrowia w obecności innych pacjentów, np. w czasie rejestracji lub poprzez wywieszenie imiennej listy pacjentów zapisanych danego dnia na wizytę.

Generalny inspektor ochrony danych osobowych Edyta Bielak-Jomaa powiedziała na konferencji nt. praktycznych dylematów ochrony danych pacjentów, że do jej biura wpływają skargi w sprawie przetwarzania danych osobowych w służbie zdrowie. Dotyczą np. braku poufności, bo - jak stwierdziła - "rejestracja przyszłych pacjentów jest tak zorganizowana, że wszyscy słyszą nie tylko imię, nazwisko i adres, lecz także PESEL czy rodzaj badania, na jakie dana osoba się zapisuje".

Skargi dotyczyły również tego, że monitory komputerów były tak ustawione, iż "w zasadzie były dostępne dla nieograniczonego kręgu osób".

- Zawsze najsłabszym ogniwem jest człowiek - podkreśliła i dodała, że z doświadczenia GIODO wynika, iż "w znakomitej liczbie przypadków to nie urządzenia, system zawiódł, tylko człowiek, który nie miał wiedzy, nie miał świadomości albo zrobił to celowo".

Chcieliśmy dowiedzieć się, czy GIODO ma jakieś sugestie, praktyczne wskazówki na temat tego, żeby podczas rejestracji postronne osoby z kolejki nie zapoznawały się z danymi wrażliwymi innych pacjentów, żeby nie dochodziło do publicznych spowiedzi. Mejla w tej sprawie wysłaliśmy 26 marca. Do tej pory, mimo obietnic biura prasowego, odpowiedź nie nadeszła.

Natomiast RPP w przesłanej nam korespondencji podkreśla, że administratorzy danych w podmiotach wykonujących działalność leczniczą powinni zorganizować proces rejestracji w sposób uniemożliwiający zapoznanie się przez osoby postronne z danymi osobowymi (w tym wrażliwymi) osób rejestrujących się.

Wskazuje, że obowiązek taki został również określony w RODO, w artykule 24. Obowiązki administratora. Zapisano w nim: "1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane".

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum