– Niedawno był u mnie przedstawiciel firmy organizującej kongres medyczny, na którym miałam wystąpić. Dał mi do podpisu umowę, musiałam podać mu moje dane osobowe, w tym PESEL. Miesiąc później, na bankiecie, na wspomnianym evencie, zagadał przy barze: "jesteś ode mnie sporo starsza, nie spodziewałem się". Chyba miał to być komplement, bo nie wyglądam na swój wiek, ale mi było przykro. Nie chcę, by przypadkowe osoby poznawały mój PESEL – mówi w rozmowie z naTemat lekarka pracująca w jednym z warszawskich szpitali, ale też w prywatnym gabinecie.
Zwraca ona uwagę na to, iż problem z ochroną danych w Polsce nie tylko w ochronie zdrowia.
– W aptece każdy ma wybór, czy poda PESEL na głos, napisze na kartce, czy da farmaceucie do zeskanowania kod recepty w telefonie. Ale nie chodzi tylko o apteki, a o mnóstwo innych miejsc. Czy trzeba podawać PESEL wszędzie? Mam zarejestrowany gabinet, mogę posługiwać się NIP-em. Zresztą już każdy w Polsce ma NIP, więc dlaczego nie mamy wyboru? Myślę, iż wiele osób wolałoby się nim posługiwać, szczególnie kobiet, bo dyskryminacja ze względu na wiek częściej je spotyka – mówi lekarka.
Ma nadzieję, iż takie afery, jak ta z ujawnieniem danych medycznych szefa Biura Bezpieczeństwa Narodowego Sławomira Cenckiewicza sprawią, iż ochrona danych osobowych przestanie być fikcją, którą dziś w praktyce często jest.
Wiele osób pamięta na pewno sprawę sprzed dwóch lat, gdy minister zdrowia Adam Niedzielski poinformował na platformie X, (wówczas Twitter), jakie leki wypisał na siebie jeden z lekarzy. Chodziło o silne przeciwbólowe, tak naprawdę dla pacjenta, któremu lekarz nie mógl zapisać przez biurokratyczne procedury.
"Skąd pani ma mój numer telefonu i PESEL?". W odpowiedzi rozmówca się rozłącza
Sondaż na temat telewizji (choć nie masz kablówki, telewizora, a telewizji nie oglądasz choćby na komputerze), propozycja wymiany pieca, (choć mieszkasz w bloku), rekompensata z tytułu kredytu frankowego, (choć nie masz nie tylko frankowego, ale w ogóle żadnego kredytu) – na pewno nie raz odebrałeś czy odebrałaś taki "dziwny" telefon. Przed laty o takich telefonach z nieznanych numerów mówiło się, iż pewnie "chcą sprzedać garnki Zeptera", bo statystycznie, rzeczywiście najczęściej wydzwaniali akwizytorzy – czy to od garnków, czy od koców i materacy, które próbowali wcisnąć emerytom. Na pytanie: "Skąd pani/pan ma mój telefon?", odpowiedzią jest zwykle trzask słuchawki.
Problem w tym, iż te telefony bywają efektem tego, iż przed laty RODO nie istniało, a choćby PESEL, a tzw. ochrona danych osobowych zaczęła funkcjonować na poważnie adekwatnie dopiero po wejściu Polski do Unii Europejskiej. A jednak wciąż można mieć wrażenie, iż kwestia ta jest raczej umowna, i iż wiele instytucji wciąż nie bierze tego na serio. choćby w placówkach związanych z ochroną zdrowia. Jak więc chronić PESEL, skoro wielu z nas, wciąż nie ma w ogóle takiego nawyku i ochoczo rozsyła swoje dane każdej instytucji, która o to poprosi, także niezaszyfrowanym mailem.
W szpitalu pacjenci słyszą nie tylko nazwisko innych chorych, ale też o ich problemach zdrowotnych
– Zdarzyło mi się, idąc przez korytarz, słyszeć, jak pacjentka wypełnia ankietę, z pomocą pani rejestratorki medycznej, która przepytuje pacjentkę, czy ma problemy ze snem i czy jest znerwicowana, po czym najwyraźniej zerka na PESEL, bo komentuje z porozumiewawczym uśmiechem: "A, rocznik ’76! To już menopauza, ma pani prawo tak się czuć" – mówi lekarka pracująca Szpitalu Bielańskim.
Dodaje, iż pacjentów jest tyle, iż sama też czasem nie ma się gdzie z nimi podziać, żeby zebrać wywiad w warunkach, które zapewnią pacjentowi ochronę danych osobowych, a w praktyce rozmowę, która zapewnia dyskrecję i poszanowanie intymności.
– Co z tego, iż w salach chorych, na poręczach łóżek – "w nogach", nie wiszą już, jak dawniej, karty z nazwiskiem, wiekiem pacjenta, nazwą choroby, na których panie pielęgniarki zapisywały nie tylko wysokość temperatury pacjenta, ale i odhaczały informację o tym, czy chory się wypróżniał, skoro koleżanka ze szpitala MSWiA mówi, iż wciąż do sześcioosobowej sali wchodzi pielęgniarka czy lekarz, by na głos wywołać nazwisko pacjenta. No, ale jak mają zrobić to inaczej w warunkach, jakie mamy w szpitalach w Polsce? – pyta retorycznie lekarka.
Opowiada też, iż gdy odwiedzała koleżankę, która była pacjentką w szpitalu na ul. Karowej i obie byla świadkami tego, jak do lekarza wychodzącego z sali podeszła pacjentka i mówiła, iż nie ma dzieci, dopytywała, co oznaczają jej wyniki, a lekarz stojąc w progu, odpowiedział, iż "przedwczesne wygasanie jajników, i iż prawdopodobnie za pół roku dostanie pani menopauzę". Nie zaprosił tej pacjentki do gabinetu na rozmowę, prawdopodobnie nie przez złą wolę – nasze gabinety są zwykle zajęte i często choćby lekarze, szczególnie rezydenci, tłoczą się w nich i nie mają tam choćby swoich szafek, ani warunków, by chwilę odpocząć czy zjeść kanapkę w czasie całodobowego dyżury – mówi lekarka.
Kupując leki w aptece oprócz kodu recepty często poznajesz PESEL innych klientów
Jeśli zdarza ci się stać czasem w kolejce w aptece, a pechowo jest ona długa, zwykle chcąc nie chcąc możesz wysłuchać numerów PESEL osób, które stoją przed dobą w kolejce do jednego lub kilku okienek. I jeżeli miałbyś ochotę handlować tymi danymi, to mógłbyś je zanotować czy nagrać.
Oczywiście, można powiedzieć, iż to wina klientów apteki, iż podają na głos swoje dane, bo przecież mogą zapisać je na kartce i tak chronić PESEL. Albo pokazać farmaceucie na ekranie komórki kod kreskowy z Internetowego Konta Pacjenta. Jednak wiele seniorów nie wie, jak wejść na IKP, a mają np. tylko "starą Nokię".
Trzeba też oddać sprawiedliwość części aptek, bo zdarzają się już takie, które w chwili, gdy klient poda kod recepty i już rwie się do tego, by podyktować PESEL, proszą, wstukał go na terminalu. Czy to tylko dobra wola niektórych aptek czy może jest to, jak chronić PESEL w aptekach, jest uregulowane prawnie? Zwróciliśmy się z tym pytaniem, do Okręgowej Izby Aptekarskiej w Warszawie.
– Kwestia podawania numeru PESEL przez pacjentów w aptekach nie jest uregulowana w przepisach w sposób szczegółowy co do konkretnej formy jego przekazywania (np. ustnie, na kartce czy poprzez wpisanie na klawiaturze terminala). Zatem ostateczną decyzję w tym zakresie podejmuje właściciel apteki – mówi Sylwester Majewski, radca prawny z Okręgowej Izby Aptekarskiej w Warszawie. – Numer PESEL stanowi dane osobowe, a w kontekście realizacji recept – dane dotyczące zdrowia, a więc dane szczególnej kategorii, których przetwarzanie musi odbywać się z zachowaniem podwyższonych standardów ochrony – dodaje.
Przytacza też podstawę prawną przetwarzania numeru PESEL przez apteki, a są to:
art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego oraz do celów związanych z ochroną zdrowia,
ustawa z dnia 6 września 2001 r. (z późn. zm). – Prawo farmaceutyczne, w szczególności przepisy dotyczące realizacji recept,
ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (z późn. zm.),
rozporządzenie Ministra Zdrowia w sprawie recept, które określa dane niezbędne do realizacji e-recepty, w tym identyfikację pacjenta.
– Przepisy te nie narzucają jednej, konkretnej metody podania numeru PESEL – tłumaczy Sylwester Majewski, radca prawny z OIA, ale zaznacza, iż zobowiązują jednak apteki, jako administratorów naszych danych, do stosowania zasad wynikających z art. 5 RODO, w szczególności:
zasady minimalizacji danych,
zasady poufności i integralności danych,
zasady odpowiednich środków technicznych i organizacyjnych (art. 24 i 32 RODO).
– W praktyce oznacza to, iż właściciele aptek powinni tak organizować proces realizacji recept, aby ograniczyć ryzyko ujawnienia danych osobowych osobom trzecim, np. poprzez umożliwienie pacjentowi samodzielnego wpisania numeru PESEL lub zapewnienie odpowiednich warunków dyskrecji – tłumaczy radca prawny Sylwester Majewski z Okręgowej Izby Aptekarskiej w Warszawie. I dodaje:
– Podsumowując: istnieje pewna dowolność co do formy przekazywania numeru PESEL, jednak każda z nich musi spełniać wymogi ochrony danych osobowych wynikające z prawa krajowego i unijnego, w szczególności RODO.
Podejrzewasz złamanie RODO? Możesz złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych
Równolegle, czekając odpowiedź z Okręgowej Izby Aptekarskej, zwróciliśmy się do Ministerstwa Cyfryzacji z pytaniem, czy ta propozycja "wstykiwania" numerów PESEL stosowana przez niektóre apteki, to tylko dobra wola tych placówek, czy może jest to jakoś odgórnie uregulowane prawnie. Dostaliśmy taką odpowiedź:
"Sprawy związane z identyfikacją pacjentów przy realizacji recept (np. używanie numeru PESEL), organizacją pracy aptek i placówek medycznych, dostępem do dokumentacji medycznej, rejestrowaniem logowań do tej dokumentacji oraz uprawnieniami personelu medycznego do danych pacjentów należą do kompetencji Ministra Zdrowia. To Ministerstwo Zdrowia ustala przepisy w obszarze ochrony zdrowia i odpowiada za dane osobowe przetwarzane w centralnych systemach medycznych. Po szczegółowe informacje najlepiej zwrócić się bezpośrednio do resortu.
Jeśli chodzi o ogólne zasady ochrony danych osobowych, wynikają one z art. 5 RODO.
W szczególności:
należy przetwarzać tylko te dane, które są niezbędne do danego celu,
dane muszą być odpowiednio zabezpieczone przed dostępem osób nieuprawnionych,
dostęp do danych osobowych, w tym danych o zdrowiu, powinny mieć wyłącznie osoby upoważnione i tylko w zakresie potrzebnym do wykonywania ich pracy,
administrator danych musi być w stanie wykazać, iż przetwarzanie danych odbywa się zgodnie z przepisami.
Dostęp do dokumentacji medycznej przez osoby, które nie biorą udziału w leczeniu pacjenta, co do zasady może naruszać przepisy o ochronie danych osobowych oraz tajemnicę medyczną. Każdy taki przypadek wymaga jednak indywidualnej oceny przez odpowiedni organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Jeżeli ktoś podejrzewa naruszenie swoich danych osobowych, ma prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Ministerstwo Zdrowia o realizacji recept i e-recept w aptece. Jak chronić swój PESEL?
Po tym, gdy Ministerstwo Cyfryzacji, skierowało nas do Ministerstwa Zdrowia, także do tego resortu zwróciliśmy się z prośbą o wyjaśnienie pacjentom, jak wygląda ochrona dawnych osobowych, w szczególności PESEL-u w trakcie realizacji recept w aptekach. Dostaliśmy następującą odpowiedź:
"Jednym ze sposobu realizacji e-recepty jest podanie w aptece 4-cyfrowego kodu dostępu, niemniej jednak wówczas wymagane jest także podanie numeru PESEL pacjenta. Podczas realizacji e-recepty pacjent nie ma obowiązku, aby w aptece podawać na głos numer PESEL. Podobnie jak w innych sytuacjach, gdzie należy podać PESEL, można np. pokazać zapisany numer na kartce, na ekranie telefonu czy też okazać dokument z PESEL-em, np. dowód osobisty. Można i należy to zrobić dyskretnie i poufnie, ponieważ PESEL należy chronić w każdej sytuacji.
Ponadto istnieją inne możliwości realizacji e-recepty, które wyłączają podawanie numeru PESEL. Pacjent może skorzystać z e-recepty w postaci PDF-a wysłanego na adres e-mail wskazany na Internetowym Koncie Pacjenta lub w postaci wydruku informacyjnego (wydruku e-recepty). W pierwszym przypadku farmaceuta zeskanuje z telefonu kod kreskowy z informacji o wystawionej e-recepcie, którą pacjent otrzymał w e-mailu, w drugim, z wydruku papierowego e-recepty. W obu w/w sposobach realizacji e-recepty nie zachodzi konieczność ani podawania, ani pokazywania numeru PESEL".
Pacjent może być byłym partnerem czy partnerką lekarza. Logowanie do dokumentacji jest legalne?
A dla tych, którzy dobrnęli do tego momentu tekstu, ciekawoska: Kilka lat temu do Okręgowej Izby Lekarskiej wpłynęło doniesienie byłej partnerki lekarza, która była z nim w sporze sądowym. Powiedziała, iż logował się on do jej konta pacjenta, a także do dokumentacji medycznej w prywatnej placówce, w której się leczyła, a w której pracował, choć nie była jego pacjentką.
Czy lekarz ma prawo "wchodzić" do dokumentacji medycznej osoby, która nie jest jego pacjentką czy pacjentem? Czy wspomniana sytuacja była legalna? Bo teoretycznie może zdarzyć się tak, iż lekarz czy lekarka np. w trakcie toczącej się sprawy rozwodowej, sprawdza, jakie problemy zdrowotne ma żona/mąż, by później wykorzystać to przeciwko tej osobie w sądzie.
Czy pacjent przychodni albo szpitala NFZ, a także palcówek prywatnych, w tym należących do tzw. sieciówek, może prosić w/w placówki o udostępnienie mu historii logowań do jego dokumentacji medycznej? Czy taki rejestr jest w ogóle prowadzony przez placówki medyczne? O to wszystko też zapytaliśmy Ministerstwo Zdrowia. Oto odpowiedź:
"Zgodnie z art. 15 RODO (prawo dostępu przysługujące osobie, której dane dotyczą), osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a o ile ma to miejsce, jest uprawniona do uzyskania dostępu do m.in. informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (…). Cały katalog danych, który podlega udostępnieniu został określony w art. 15 ust. 1 RODO.
Dodatkowo, zgodnie z art. 27 ust. 4 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2024 r. poz. 581), podmiot udzielający świadczeń zdrowotnych prowadzi wykaz udostępnianej dokumentacji medycznej, zawierający następujące informacje dotyczące
1. imię (imiona) i nazwisko pacjenta, którego dotyczy dokumentacja medyczna;
2. sposób udostępnienia dokumentacji medycznej;
3. zakres udostępnionej dokumentacji medycznej;
4. imię (imiona) i nazwisko osoby innej niż pacjent, której została udostępniona dokumentacja medyczna, a w przypadkach, o których mowa w art. 26 ust. 3 i 4, także nazwę uprawnionego organu lub podmiotu;
5. imię (imiona) i nazwisko oraz podpis osoby, która udostępniła dokumentację medyczną;
6. datę udostępnienia dokumentacji medycznej.
Prowadzenie przedmiotowego rejestru ma na celu możliwość zweryfikowania działań związanych z udostępnianiem dokumentacji medycznej przez podmiot zobowiązany do jej prowadzenia. Logowanie do dokumentacji należy uznać za uzyskanie dostępu do niej".
Wygląda na to, iż przepisy przepisami, ale najbardziej, jeżeli chodzi o ochronę naszych danych osobowych, podobnie, jak w kwestii ochorony przed hakerami wyłudzającymi pieniądze, które mamy na kontach w bankach, możemy póki co, polegać na sobie i nie dzielić się tak wrażliwymi danymi niefrasobliwie.
