Jaka jest podstawa prawna przetwarzania danych osobowych przez placówkę medyczną oraz w jaki sposób spełnić obowiązek informacyjny względem pacjentów?

PYTANIE SZCZEGÓŁOWE

Czy w placówce medycznej – poradnia zdrowia psychicznego – wymagane jest pisemne oświadczenie na wyrażenie zgody na przetwarzanie danych osobowych? Czy wystarczy umieścić ogólną informację na temat RODO w widocznym miejscu w punkcie obsługi pacjenta?

ODPOWIEDŹ

Co do zasady podstawą prawną przetwarzania danych osobowych przez podmioty lecznicze/placówki medyczne jest art. 9 ust. 2 lit. h RODO dla danych osobowych szczególnej kategorii, zaś w pozostałych przypadkach będzie to art. 6 ust. 1 lit. c RODO. Nie ma konieczności odbierania dodatkowo zgód na przetwarzanie danych osobowych z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO w celu profilaktyki zdrowotnej, medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej czy zapewnienia opieki zdrowotnej.

Wobec osób, których dane dotyczą (pacjentów), należy jednak spełnić obowiązek informacyjny z art. 13 RODO. Taki obowiązek informacyjny może być spełniony przez wywieszenie klauzuli np. w rejestracji. Jej treść może też być przekazywana w formie pisemnego oświadczenia. Jeśli pacjenci podają swoje dane telefonicznie lub mailowo, również dopuszczalne jest przekazanie tego obowiązku w formie telefonicznej lub mailowej. Obowiązek informacyjny powinien być bowiem spełniony raz, podczas zbierania/gromadzenia danych osobowych w ramach konkretnego celu przetwarzania danych osobowych. Zatem w chwili podawania swoich danych osobowych pacjent powinien mieć możliwość zapoznania się treścią obowiązku informacyjnego.