V prispevku je podan splošni pregled varstva zasebnosti in osebnih podatkov v zvezi z zdravstveno oskrbo pacientov na vseh ravneh. Pregled je dopolnjen s primeri in izkušnjami iz prakse. Predstavljene so tudi nekatere novosti, ki jih bo v maju 2018 prinesla nova evropska zakonodaja na področju varstva osebnih podatkov – Splošna uredba o varstvu osebnih podatkov. The author gives a general overview of privacy and personal data protection principles in the field of patient care. The overview is supported by examples from practice. Several aspects of the new European legislation framework – The General Data Protection Regulation – are presented. 2

Pravni vidiki zasebnosti v zdravstvu


Ljudje smo najbolj ranljivi nedvomno takrat, ko je ogroženo naše zdravje. Ob bolezni smo se najhitreje pripravljeni odpovedati svojemu dostojanstvu in zasebnosti – prav zato je področje varstva zasebnosti in osebnih podatkov v situacijah zdravstvene oskrbe toliko bolj pomembno in mu je treba posvetiti posebno pozornost. Na drugi strani je pri zdravstveni obravnavi pacienta ključno, da zdravnik in drugi delavci v zdravstvu razpolagajo z vsemi relevantnimi podatki o pacientu, da mu lahko nudijo kar najboljšo oskrbo. Ključno je torej, da se pacient lahko zanese na zdravnika in zdravstveno osebje, da bo njegova zasebnost ostala nedotaknjena. Za zasebnost in varovanje osebnih podatkov morajo skrbeti vsi v verigi zdravstvene oskrbe v najširšem smislu – zdravniki, drugi zdravstveni delavci, administrativno osebje, zaposleni v lekarnah, laboratorijih, pri izvajalcih, ki nudijo najrazličnejše diagnostične, rehabilitacijske in druge z zdravjem povezane storitve.

ZAKON O PACIENTOVIH PRAVICAH

Krovni predpis na področju varstva zasebnosti in osebnih podatkov pacientov je Zakon o pacientovih pravicah (Uradni list RS, št. 15/08; v nadaljevanju: ZPacP). Osnovna pravna podlaga za obravnavo pacienta, tako z vidika opravljanja zdravstvenih posegov kot tudi obdelave njegovih osebnih podatkov, je osebna privolitev pacienta. ZPacP pa določa tudi druge primere, ko je obravnava pacienta dopustna, tudi če ta ni podal izrecne osebne privolitve. Zlasti gre za primere, ko pacient takšne privolitve ne more podati, ker dejansko ali pravno privolitve ni sposoben dati, pa je neko oskrbo ali obdelavo osebnih podatkov treba izvesti, sicer bi se njegovo zdravstveno stanje bistveno poslabšalo ali bi pacient celo umrl. Gre za primere, ko je pacient v nezavesti ali trpi za hudo duševno boleznijo, ki ovira njegovo razsodnost.
Zasebnost pacienta morajo izvajalci zdravstvenih storitev zagotoviti na ravni celotnega sistema nudenja svojih storitev kot tudi pri konkretni obravnavi posameznega pacienta. Na sistemski ravni to pomeni, da morajo imeti vzpostavljene sisteme za zavarovanje zdravstvenih kartotek in podatkov, ki jih hranijo v elektronski obliki. Kartoteke, ki so v fizični obliki, je treba hraniti v zaklenjenih ognjevarnih omarah, podatke, ki se hranijo v elektronski obliki, pa zavarovane z uporabniškim imenom in geslom, pri čemer mora imeti vsak posamezen uslužbenec izvajalca zdravstvenih storitev dodeljeno svoje geslo. Izvajalec zdravstvenih storitev mora s t. i. sistemom dostopnih pravic zagotoviti, da ima posamezen delavec omogočen dostop le do tistih podatkov, ki jih pri svojem delu zares potrebuje. Izjemno pomembno je, da računalnik, na katerem se hranijo podatki oziroma se z njim lahko dostopa do podatkov, ni priklopljen v svetovni splet ali je vsaj ustrezno zavarovan pred virusi in drugimi vdori.

OZNAKA „OČUTLJIVI OSEBNI PODATKI“

Osebni podatki pacientov morajo biti pri posredovanju posebej označeni z oznako »občutljivi osebni podatki«, pošiljati pa se morajo v neprosojnih ovojnicah, zapečatenih na tak način, da jih ni mogoče odpreti brez vidnih znakov odpiranja. Če se osebni podatki pacientov pošiljajo po elektronski poti, morajo biti po izrecni določbi drugega odstavka 15. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju: ZVOP-1) ustrezno zavarovani z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Podatki o pacientih se načeloma ne smejo posredovati po telefonu, razen v primeru, da je zdravstveni delavec z gotovostjo prepričan v identiteto in upravičenost osebe na drugi strani telefona.
Tudi prostori izvajalcev zdravstvenih storitev naj bodo urejeni tako, da zagotavljajo kar največje varstvo zasebnosti pacientov. V sprejemni pisarni mora biti dovolj prostora, da je pacientu zagotovljena zaupna obravnava, še preden pride neposredno do zdravnika. Temu so namenjene t. i. »črte zasebnosti« pred okenci tudi na primer v lekarnah. Zaslon, na katerem se delavcu v sprejemni pisarni izpisujejo osebni podatki pacientov, mora biti obrnjen tako, da ljudje v čakalnici ne vidijo nanj. Izogibati se je treba temu, da se zdravstvena oskrba nudi v istem prostoru več pacientom hkrati. Če ni druge možnosti, naj se zagotovi vsaj zavesa med različnimi »postajami« obravnave ali več »posteljami«.

IZOBRAŽEVANJE JE POMEMBNO

Na sistemski ravni je izjemno pomembno tudi izobraževanje zdravnikov in drugih delavcev v zdravstvu, da bi ti znali pacientu nuditi ustrezno stopnjo zasebnosti med obravnavo. Zlasti je pomembno njihovo zaščitno obnašanje pri obdelavi in zavarovanju osebnih podatkov pacientov. Zaposleni ne smejo razkrivati svojega gesla za dostop do elektronskih baz podatkov nikomur, pomembno je, da znajo izbrati dobro geslo, da ne ostanejo prijavljeni v informacijski sistem, ko gredo stran od računalnika, da kartotek v fizični obliki ne puščajo nenadzorovano na mizah, v odklenjenih predalih, na hodnikih ipd. Pomembno je, da prepoznajo možne napade s tehnikami t. i. socialnega inženiringa (npr. prevare za pridobitev podatkov z manipulacijo) in znajo pacienta obravnavati diskretno (da zdravnik na primer ne daje glasnih navodil sestri ali pacientu na hodniku ali v čakalnici).
Zdravniki in drugi delavci v zdravstvu ne smejo zdravstvenih podatkov pacientov ali podatkov o njihovi družinski anamnezi, navadah ali katerihkoli podatkov iz življenja pacienta, za katere izvedo med opravljanjem svojega dela, razkriti neupravičenim osebam. Delavci v zdravstvu, ki ne obravnavajo istega pacienta, si tudi med seboj ne smejo izmenjevati informacij o pacientih. Podatkov si ne smejo izmenjevati tudi v primeru, da obravnavajo istega pacienta, pa podatki za to obravnavo niso bistveni. Seveda je kroženje znanja in izkušenj nadvse pomembno, vendar se morajo delavci v zdravstvu ob pogovoru s kolegi, ob pisanju strokovnih člankov ali predstavitvah na strokovnih srečanjih vzdržati razkrivanja konkretnih pacientov.
Pacienti imajo pravico, da so pri njihovi zdravstveni oskrbi navzoči le delavci v zdravstvu, ki neposredno opravljajo medicinski poseg oziroma zdravstveno oskrbo. Če pacient ni sposoben odločanja o samem sebi, so lahko prisotne tudi osebe, ki imajo pravico zanj podati privolitev v poseg (npr. starši otroka). Druge osebe, vključno s študenti, smejo biti prisotne pri posegu, le če pacient v to izrecno privoli.
Pomemben vidik zasebnosti in varstva osebnih podatkov je tudi pravica pacienta, da se seznani s podatki, ki jih o njem hrani izvajalec zdravstvenih storitev, da vpogleda v zdravstveno dokumentacijo, pridobi fotokopije ali prepiše podatke. Fotokopije mora izvajalec zdravstvenih storitev zagotoviti brezplačno ali zaračunati zgolj materialne stroške reprodukcije, največ v višini, ki jo predpisuje Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12).
V letu 2016 je bila sprejeta evropska Splošna uredba o varstvu osebnih podatkov (Uredba (EU) 2016/679), ki se bo začela uporabljati maja 2018. Uporabljala se bo neposredno, za nadzor pa bo pristojen Informacijski pooblaščenec. Za izvajalce zdravstvenih storitev tako v javnem kot v zasebnem sektorju bo Splošna uredba o varstvu osebnih podatkov prinesla nekatere pomembne spremembe na področju varstva osebnih podatkov. Med najpomembnejšimi bo zagotovo obveznost imenovanja pooblaščene osebe za varstvo osebnih podatkov (ang. Data Protection Officer ali skrajšano DPO).
Pooblaščena oseba za varstvo osebnih podatkov bo morala:

  • obveščati izvajalca zdravstvenih storitev in mu svetovati o obveznostih v skladu z novo uredbo, drugimi določbami prava EU in slovensko pravno ureditvijo varstva osebnih podatkov;
  • spremljati skladnost obdelave osebnih podatkov s predpisi in politiko izvajalca zdravstvenih storitev;
  • ozaveščati in usposabljati osebje, vključeno v obdelavo osebnih podatkov;
  • svetovati, kadar je to zahtevano, glede ocene učinka na varstvo osebnih podatkov;
  • spremljati izvajanje politik upravljanja in rokovanja z zbirkami osebnih podatkov;
  • sodelovati z nadzornim organom (Informacijskim pooblaščencem);
  • delovati kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

Izvajalci zdravstvenih storitev bodo za pooblaščeno osebo lahko imenovali enega od zaposlenih ali najeli zunanjega izvajalca, ki bo lahko pravna ali fizična oseba. Pooblaščena oseba za varstvo osebnih podatkov bo morala v skladu s Splošno uredbo imeti strokovno znanje in praktične izkušnje glede varstva osebnih podatkov ter globoko razumevanje splošne uredbe EU o varstvu podatkov.

APEL IZVAJALCEM

Naj za konec še apeliram na izvajalce zdravstvenih storitev, da se pred uvedbo novih rešitev (informacijske) tehnologije prej dobro pozanimajo, kakšen bo njihov vpliv na zasebnost pacientov. Videonadzorni sistemi, uporaba čipov RFID, novi iskalniki, povezovanje zbirk in podobno se na prvi pogled in zgolj ob upoštevanju zdravja ali ekonomičnosti zdravstvene oskrbe zdijo izvrstne rešitve. Nikoli pa ne smemo pozabiti, da je središče zdravstvene storitve pacient – posameznik, katerega zasebnost je prav tako pomembna kot zdravje. Nenazadnje pa bo presojo predhodne ocene vplivov na varstvo osebnih podatkov pri izvajalcih zdravstvenih storitev (tako v zasebnem kot javnem sektorju) zahtevala tudi nova evropska Splošna uredba o varstvu osebnih podatkov.

Dr. Nataša Pirc Musar,
odvetnica in partnerica v Odvetniški družbi Pirc Musar & partnerji
Banner Kronoterm

Banner Pulz

Več revij