RODO nie zabrania przekazania rodzinie danych o zdrowiu pacjenta

Odmowa przekazywania danych osobowych członkom rodziny w sytuacji zagrożenia zdrowia uzasadniana RODO wskazuje na całkowity brak zrozumienia tej regulacji. RODO pozwala bowiem na przekazywanie takich informacji. Co więcej, ich nieudzielenie może skutkować odpowiedzialnością szpitala – pisze Rafał Sokół z kancelarii Sołtysiński Kawecki & Szlęzak.

Ogólne Rozporządzenie o Ochronie Danych weszło w życie ponad pół roku temu, ale ciągle docierają do nas informacje o całkowitym niezrozumieniu jego celów i przepisów. W dniu 23 listopada br. poznańska prasa opisała przypadek mężczyzny, który zasłabł w drodze do pracy i zmarł po przewiezieniu do szpitala. Rodzina mężczyzny, zaniepokojona brakiem kontaktu z bliską osobą, udała się na poszukiwania. Przypadkowa osoba poinformowała ich, że ktoś został rano zabrany karetką do szpitala. Pomimo okazywania różnych dokumentów przez członków rodziny, pracownicy szpitala konsekwentnie odmawiali udzielenia jakichkolwiek informacji, choćby o tym, czy pacjent odpowiadający konkretnemu rysopisowi w ogóle został przyjęty do szpitala. Przyczyna odmowy? „RODO nie pozwala”. Rodzina pacjenta dowiedziała się o jego śmierci od sprzątaczki, która przypadkiem usłyszała ich rozmowę.

RODO nie pozwala?

Czy ogólne rozporządzenie o ochronie danych („RODO”) faktycznie nie pozwala na uzyskanie jakichkolwiek informacji o bliskiej osobie, a w szczególności dlaczego, pomimo poszerzenia naszych uprawnień jako osób, których dane dotyczą, czujemy się bezsilni w starciu z bezmyślnymi administratorami.

Prawo do poszanowania życia rodzinnego i prywatnego jest gwarantowane przez art. 47 Konstytucji RP oraz art. 8 Europejskiej konwencji o ochronie praw człowieka i podstawowych wolności. Judykatura wskazuje nawet, że ze względu na szczególne więzi łączące członków rodziny, prawo do życia w rodzinie (wywodzone z tych przepisów) zasługuje na wzmożoną ochronę w porównaniu z innymi dobrami osobistymi (tak np. Sąd Apelacyjny w Białymstoku w wyroku z 3 lipca 2015 r., sygn. akt I ACa 250/15). Ciężko sobie wyobrazić jak ogromną traumę musiały wywołać dla rodziny pacjenta próby uzyskania jakichkolwiek informacji od personelu szpitala i sposób powzięcia informacji o śmierci bliskiego. Prawo do poszanowania życia rodzinnego i prywatnego powinno z założenia chronić informacje o stanie zdrowia, ale w omawianym przypadku naruszenie tego prawa przejawiało się w nieujawnieniu informacji rodzinie pacjenta i to właśnie prawo rodziny zostało tym zaniechaniem naruszone.

Ochrona żywotnych interesów osoby

Nawiązując do przepisów ogólnego rozporządzenia o ochronie danych („RODO”), które weszło w życie 25 maja br., należy zauważyć, że dopuszczają one w pewnych przypadkach przetwarzanie (w tym także ujawnianie) danych osobowych szczególnej kategorii (np. o stanie zdrowia). Jedną z przesłanek dopuszczalności ujawnienia danych osobowych jest ochrona żywotnych interesów osoby, której dane dotyczą (w tym przypadku pacjenta) lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody (art. 9 ust. 2 lit. c RODO). RODO nie definiuje „żywotnych interesów”, ale z lektury motywu (46) RODO wynika, że są to kwestie o fundamentalnym znaczeniu dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Najbliższa rodzina pacjenta może zatem, w pewnych przypadkach (takich jak np. brak możliwości kontaktu z osobą, której dane dotyczą), uzyskać informacje o jego stanie zdrowia lub co najmniej uzyskać potwierdzenie przyjęcia do szpitala.

Wyjątki w sytuacjach nagłych

Taką zasadę potwierdza opublikowany we wrześniu „Przewodnik po RODO w służbie zdrowia” autorstwa Ministerstwa Cyfryzacji oraz Ministerstwa Zdrowia, przygotowany we współpracy z Rzecznikiem Praw Obywatelskich oraz Rzecznikiem Praw Pacjenta. Autorzy Przewodnika wprost wskazali, że „w przypadku kiedy odmowa udzielenia informacji o pobycie pacjenta w szpitalu może uniemożliwić realizację prawa członków rodziny bądź osób bliskich do informacji o stanie zdrowia pacjenta, podmiot powinien udzielić takiej informacji w sytuacjach nagłych oraz w stanach zagrożenia dla życia pacjenta.” Takie podejście jest rekomendowane w przypadku ograniczonej możliwości identyfikacji rozmówcy. W niniejszej sprawie rodzina zmarłego pacjenta okazywała pracownikom szpitala dokumenty tożsamości i za wszelką cenę usiłowała udowodnić swoje bliskie stosunki ze zmarłym. Co ciekawe, publikacja „Przewodnika po RODO w służbie zdrowia” została dokonania m.in. w związku z inną bulwersującą sprawą, w której rodzicom dzieci poszkodowanych w wypadku autobusu odmówiono podania informacji o tym, czy zostały one przyjęte do szpitala.

Nie do pogodzenia ze zdrowym rozsądkiem

Nowe przepisy dotyczące ochrony danych osobowych przyznały szeroki katalog uprawnień mających zapewnić osobom, których dane dotyczą większą kontrolę nad ich danymi. Mimo przyjętego dotychczas przez Urząd Ochrony Danych Osobowych podejścia opartego na edukacji i wskazywaniu szans związanych z wdrożeniem RODO, administratorzy danych zdają się widzieć wyłącznie widmo nałożenia kary pieniężnej. W niektórych przypadkach działania podejmowane przez administratorów pod szyldem RODO stają się nie do pogodzenia ze zdrowym rozsądkiem i myśleniem uwzględniającym potencjalne skutki odmowy udzielenia informacji.

Naruszone dobra rodziny

Omawiany przypadek działania personelu poznańskiego szpitala można potencjalnie zakwalifikować jako naruszenie dóbr osobistych członków rodziny zmarłego: do życia rodzinnego, do pożegnania z osobą zmarłą, być może także godności osób, które o śmierci bliskiej osoby dowiedziały się od kogoś zupełnie przypadkowego, mimo obecności w szpitalu. Interesująca jest także kwestia możliwości nałożenia administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 5 RODO, ze względu na niezgodne z prawem nieprzetwarzanie danych osobowych. Podjęcie działań przez Prezes UODO wobec placówek, które stosują bezmyślne procedury, godzące w podstawowe prawa pacjentów i ich rodzin zmusiłoby część administratorów do zrewidowania ich podejścia i zapewnienia standardów wymaganych przez RODO i, co wydaje się obecnie nawet ważniejsze, przez zdrowy rozsądek.