W Polsce od 25 maja br. zacznie obowiązywać RODO, europejskie rozporządzenie o ochronie danych osobowych, które m.in. ustanawia prawo do usunięcia danych, nazywane prawo do bycia zapomnianym, które polega na tym, że każdej osobie której dane są przetwarzane, przysługuje prawo do usunięcia ich czyli bycia zapomnianym.
Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:
- dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
- podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
- podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub
- podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
- przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa;
dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. portale społecznościowe).
Co może zrobić pacjent?
Na gruncie RODO pacjent może zwrócić się z żądaniem do administratora danych (podmiotu wykonującego działalność leczniczą, np. szpital) wtedy gdy:
- jeżeli jego dane, które zostały zebrane nie są już niezbędne do celów do których zostały zebrane;
- dane pacjenta zostały zebrane lub są przetwarzane w inny sposób w sytuacji gdy pacjent wycofał zgodę; lub
- zostanie spełniona przesłana z art. 17 ust. 1 RODO czyli dane byłby przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator ma obowiązek bez zbędnej zwłoki usunąć dane w przypadku wystąpienia w/w przesłanki.
Czego pacjent zrobić nie może?
Pacjent nie może zwrócić się do placówki medycznej aby ta usunęła wszystkiego dane, zarówno w trakcie leczenia jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, czyli w tym przypadku ustawa o prawach pacjenta i RPP, która stanowi w art. 24 ust. 1, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, okres przechowywania dokumentacji zależy od rodzaju dokumentacji. Podmiot medyczny więc nie może na życzenie zniszczyć dokumentacji medycznej pacjenta, a jedynie jest zobligowany to zrobić po upływie okresu w jakim był zobowiązany przechowywać dokumentację medyczną.
Prawo do bycia zapomnianym nie dotyczy sytuacji:
Zniszczenie dokumentacji medycznej na żądanie pacjenta, bo według RODO gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
Kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym?
Prawo do bycia zapomnianym będzie mieć zastosowanie m.in. gdy lekarz czy pielęgniarka lub inny pracownik zmienił miejsce pracy, a jego dane w tym wizerunek nadal widnieją na stronie internetowej byłego pracodawcy. Może zwrócić się z żądaniem natychmiastowego usunięcia. Pacjent w sytuacji kiedy wyraził zgodę na wykorzystywanie jego danych osobowych przez podmiot medyczny do celów marketingowych, gdzie placówki mogą takie dane gromadzić i przetwarzać za zgodą pacjenta. Zgodę, którą zawsze można wycofać ze skutkiem natychmiastowym i bezpłatnie. Pacjent np. zapisał się na newsletter. Zawsze może się z niego wypisać bez ponoszenia konsekwencji, dotyczy to również obecności danych pacjenta w profilach społecznościowych prowadzonych przez placówki medyczne.
Sieradzka&Partners Kancelaria Prawna jednym z Partnerów Kongresu RODO Wolters Kluwer, podczas którego wygłoszę wykład: Jak wdrożyć RODO w placówce medycznej. Zapraszam na wykład i dyżur ekspercki podczas Kongresu!
{ 1 komentarz… przeczytaj go poniżej albo dodaj swój }
Te przepisy są rzeczą, która ma pomóc nam kontrolować obieg naszych danych i pomóc w skutecznym nimi zarządzaniu, ale jednocześnie niestety jest to kwestia trudna do wprowadzenia w życie ze względu na to, że w wielu przypadkach zastosowanie zmieniającego się prawa jest… absurdalne. Konieczność wyrażenie zgody np. na poinformowanie o wyniku egzaminu czy o podpisaniu pracy dziecka w przedszkolu czy szkole jest lekką przesadą.