W państwie członkowskim, jakim jest Polska, RODO jest stosowane wprost, co więcej — gdyby istniały przepisy krajowe sprzeczne z rozporządzeniem, przestają mieć zastosowanie jako sprzeczne z aktem wyższego rzędu.

Lekarz administratorem danych

Czy RODO ma zastosowanie w psychiatrii? Oczywiście. Lekarz psychiatra, niezależnie od tego, w jakiej formie swój zawód wykonuje (praktyki indywidualnej czy spółek), ma w pracy bez przerwy do czynienia z danymi osobowymi, najczęściej z tymi określanymi jako szczególnie wrażliwe. Niezależnie od skali działalności, lekarz prowadzący praktykę lekarską jest administratorem danych osobowych. Administrator bowiem, zgodnie z art. 4 pkt 7 RODO, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Lekarze psychiatrzy w swojej praktyce zawodowej zajmują się przetwarzaniem szczególnej kategorii danych osobowych. Muszą bowiem w toku anamnezy bardzo często zasięgnąć wiedzy o relacjach rodzinnych, pochodzeniu, stosunkach na przestrzeni lat. Takie dane znajdują potem odzwierciedlenie w przechowywanej dokumentacji medycznej. Ustawa z 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2018 r., poz. 160, tekst jedn., art. 2 ust. 1 pkt 1), definiując dokumentację medyczną odsyła do definicji sformułowanej w przepisach ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta — u.p.p. (Dz.U. z 2017 r. poz. 1318 i 1524).

Art. 25 tej ustawy określa, że dokumentacja medyczna w zakresie danych osobowych zawiera co najmniej: nazwisko, imię, numer PESEL, oznaczenie płci, adres zamieszkania pacjenta, a w przypadku pacjenta małoletniego — nazwisko i imię przedstawiciela ustawowego, opis stanu zdrowia. To ostatnie zasługuje na objęcie szczególną ochroną, stąd od lekarzy wymaga się wyjątkowej ostrożności w postępowaniu z danymi osobowymi. A do nich zaliczamy wszystkie dane dotyczące zdrowia zarówno fizycznego, jak i psychicznego.

W przypadku podmiotów leczniczych w formie spółek administratorem będzie spółka, a osobami odpowiedzialnymi na gruncie przepisów jej kadra zarządzająca.

Warunki ujawnienia i przetwarzania informacji w ochronie zdrowia

Obowiązkiem podmiotu udzielającego świadczeń medycznych, immamentnie związanym z prawem pacjenta do dostępu do informacji medycznej, jest uregulowany m.in. w art. 24 u.p.p. obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej w sposób określony w tej ustawie oraz w ustawie z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2017 r., poz.1845, tekst jedn.), a także zapewnienie ochrony danych zawartych w tej dokumentacji. Oczywiście ochrona danych opiera się na zasadach określonych w RODO i ustawie o ochronie danych osobowych z 10 maja 2018 r. (Dz.U. z 2018 r., poz. 1000).

Co ciekawe, art. 9 ust. 1 RODO zabrania co do zasady przetwarzania danych osobowych ujawniających:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych.

Zabronione jest także przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności bądź orientacji seksualnej tej osoby.

Wyjątek zostaje wprowadzony już w ust. 2, lit. h tego przepisu, który pozwala na przetwarzanie tych danych, jeżeli jest to niezbędne do:

• celów profilaktyki zdrowotnej lub medycyny pracy,
• oceny zdolności pracownika do pracy,
• diagnozy medycznej,
• zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej, lub zabezpieczenia społecznego na podstawie prawa Unii bądź prawa państwa członkowskiego, lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3.

Kiedy zgoda pacjenta na przetwarzanie danych nie jest konieczna

Zgodność z prawem przetwarzania danych przez lekarzy psychiatrów reguluje art. 6 ust. 1 lit. b RODO, gdyż przetwarzanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Dzięki tak określanej „niezbędności” podmiot leczniczy nie musi oczekiwać od pacjenta wyrażenia zgody na przetwarzanie danych osobowych. Ta zasada będzie objęta wyjątkami w sytuacji, gdy petent będzie proszony o dane, które nie są niezbędne do prawidłowego wykonania świadczenia leczniczego.

Jeżeli lekarz (podmiot leczniczy) zbiera dane dotyczące pacjentów, przechowuje je w uporządkowany sposób (karty pacjenta, zbiory dokumentacji medycznej oznaczonej po nazwisku) to oznacza, że przetwarza dane osobowe. Przede wszystkim należy dbać o to, żeby dane te nie dostały się do osób niepowołanych. Jeżeli się tak stanie nie z winy placówki medycznej (atak hakerski, fizyczne włamanie do zbioru danych, zgubienie nośnika z danymi itp.), należy o tym zawiadomić Urząd Ochrony Danych Osobowych.

Okres przechowywania i zasady powierzenia danych osobowych

RODO reguluje okres, przez jaki można dane osobowe przechowywać. W przypadku ich niezbędności do wykonania umowy (tak przyjmuję w przypadku lekarzy) okres ten jest równy okresowi przedawnienia roszczeń, jakie mogą być podnoszone przez administratora danych lub jakie może ponosić administrator danych. Natomiast dokumentacja medyczna, stosownie do art. 29 ust. 1 u.p.p., będzie przechowywana zasadniczo 20 lat, z wyjątkami przewidzianymi w tym przepisie.

Należy także pamiętać, że w wykonywanej praktyce na pewno zajdzie konieczność powierzenia danych osobowych podmiotowi trzeciemu, np. biuru księgowemu, podmiotowi zajmującemu się niszczeniem dokumentów lub ich odpłatną archiwizacją. Należy z tym podmiotem zawrzeć umowę powierzenia danych osobowych. Takie umowy były już w obrocie prawnym na gruncie stanu sprzed RODO, natomiast obowiązujące od 25 maja 2018 r. rozporządzenie uściśliło i rozbudowało wymogi formalne takiej umowy.