ORIENTAREA NR. 10 PRIVIND GESTIONAREA CERERILOR PERSOANELOR VIZATE (PACIENȚI / APARȚINĂTORI) CU PRIVIRE LA PROPRIILE INFORMAȚII

Explicarea drepturilor persoanelor vizate (pacienți / aparținători / persoane cărora li se prelucrează datele cu caracter personal) de a avea acces la propriile date
Identificarea aspectelor ce trebuie să fie luate în considerare atunci când se pregătește răspunsul
Prezentarea posibilităților de răspuns, termenele limită, excepțiile de la comunicare și aspecte tehnice și organizatorice

Regulamentul General privind Protecția Datelor (R.G.P.D.) oferă drepturi sporite persoanelor vizate (pacienți, aparținători, medici, sau alte persoane fizice cu care se interacționează) sens în care operatorul trebuie să se asigure că le respectă.

Practicile impun anumite eforturi rezonabile operatorului cu privire la transmiterea informațiilor relevante. Între acestea vom găsi în continuare punctate cele mai importante aspecte.

Exercitarea drepturilor

Atunci când o persoană dorește să afle mai multe despre propriile date poate depune o cerere în acest sens:

la adresa de corespondență a operatorului
pe email
în alt format care poate fi documentat (ex. audio-video)

Pentru o eficientizare a organizării muncii și răspunsurilor a se vedea Anexa 5 Formularul tip cerere de acces la datele cu caracter personal.

Cel mai adesea obiectul cererilor va fi:

de a fi informat – adică să știe ce date îi sunt prelucrate
- Exemplu: Pacientul X, poate să citească într-o notă de informare pusă la dispoziție de către un spital, despre datele care îi sunt prelucrate.
de acces – să primească acces la propriile date (ex. copii după analize medicale)
- Exemplu: Sunt pacientul X, vă rog să îmi trimiteți o copie electronică a tuturor analizelor realizate pe durata internării
de ștergere – să fie șters din bazele de date (ex. cazul abonării la buletine informative periodice care sunt trimise de operator)
- Exemplu: Sunt pacientul X, sunt deosebit de deranjat de comunicările dumneavoastră. Vă rog să mă ștergeți din orice fel de bază de date!

Ce ar trebui să cunoașteți:

Faptul că există excepții: Nu întotdeauna trebuie să dăm răspuns afirmativ cererilor!
- Dacă există o obligație legală de păstrare a datelor (ex. 5 ani) nu vom putea da curs unei solicitări prin care ni se cere să ștergem toate datele din sistemul de gestiune a pacienților, pe motiv că pacientul nu mai dorește să aibă contact cu spitalul, fiind nemulțumit de serviciile medicale ale acestuia.
- Nu comunicăm date atunci când acestea duc la o dezvăluire a datelor altei persoane, întrucât ar putea provoca un prejudiciu grav sănătății sale psihice, fizice sau de altă natură! Exemplu: accesul la camerele de supraveghere video din saloanele de terapie intensivă.
  - Pot exista totuși profesioniști sau instanța de judecată care sunt îndreptățiți să aibă acces la aceste date foarte sensibile, însă datele trebuie prelucrate având un temei legal, scop specific și garanții de protecție a datelor.
Termenul de răspuns este de o lună de la data primirii solicitării! Acest termen poate fi prelungit până la 3 luni dacă se justifică depunerea unor eforturi deosebit de mari pentru pregătirea răspunsului, însă oferind un răspuns prealabil de informare din partea operatorului:
- Exemplu de răspuns: … Am primit solicitarea dumneavoastră și a fost dată în lucru colegilor noștri. Întrucât se impun verificări numeroase ale bazelor de date, vom reveni cu un răspuns către dumneavoastră cel târziu până la data de … .
Un număr mare de cereri cu obiect identic, de la aceeași persoană, îndreptățește operatorul să impună o taxă pentru oferirea răspunsului.
- Justificarea rezidă în costurile reale pentru pregătirea și transmiterea răspunsurilor. În acest calcul se iau în considerare: numărul de persoane implicate în procesul de răspuns, numărul de ore alocate, pregătirea materialelor – printare, înregistrare și alte operațiuni organizatorice, cheltuieli de expediere – curierat ș.a.
- În acest caz, se va transmite de către operator o estimare a costurilor pe care persoana o poate plăti integral sau parțial. Costul ridicat nu se justifică de regulă, deoarece poate conduce la împiedicarea indirectă a dreptului.
Este foarte indicat să avem o procedură de răspuns la cereri și formulare standardizate după care răspundem.
- Pentru a vă ajuta, vă punem la dispoziție un model de procedură de lucru (Anexa 6 Model de procedură de soluționare a cererilor persoanelor vizate și model de formulare (Anexa 7 Model de formular de răspuns la cererile persoanei vizate).

Important de știut!

Nu putem comunica date oricui despre oricine! Problema cea mai mare este a „presupușilor” aparținători care cer informații despre pacienți! În acest sens trebuie să ținem cont de necesitatea identificării reale a aparținătorului.

S-ar putea ca aparținătorul să fie sau să nu fie declarat (prin formularele specifice) de către pacient. S-ar putea petrece o situație în care nu avem pe nimeni declarat ca aparținător, însă se impun comunicări urgente cu membrii de familie care țin de viața sau de sănătatea persoanei!

În nici un caz nu putem refuza dreptul aparținătorilor pacientului respectiv de a fi informați cu privire la starea de sănătate a acestuia însă, atunci când se primesc astfel de cereri, se impun minime diligențe din partea personalului angajat care să poată identifica aparținătorul și dacă este posibilă transmiterea sau nu a datelor.

În trecut au fost numeroase cazuri de divulgare de date către așa-ziși aparținători, care în fapt erau jurnaliști sau persoane neautorizate să primească acces la date, astfel operatorul ar putea să aibă parte de un incident la adresa confidențialității datelor, riscând să i se atragă sancțiuni.

Între bunele practici care se recomandă se numără următoarele:
- Să fie oferite informații în primă fază doar rudelor de gradul I și gradul II, dacă pacientul nu a refuzat în scris această acțiune
- Accesul la date prin telefon să se rezume la telefonul operatorului / secției / dedicat activității
  - Ar fi indicat să existe o procedură de identificare a persoanelor prin telefon, dar și a relației cu pacientul. Spre exemplu să se adreseze două trei întrebări de verificare înainte de a se oferi informații referitoare la starea de sănătate a pacientului.
  - Fără a avea certitudinea identității interlocutorului oferim doar date limitate despre evoluția pacientului, generale (“este constient, cooperant, orientat, se simte mai bine” etc), fără a oferi date privind diagnostic, intervenție chirurgicală ș.a. până în momentul identificării certe a solicitantului
- În privința emailului, cererile de acces trebuie să fie adresate conturilor de email oficiale ale operatorului și se va răspunde de pe canalele oficiale de comunicare (adresa de email a secției sau a registraturii sau a Responsabilului cu Protecția Datelor).

Cazuistică relevantă

Un exemplu:

Un jurnalist s-ar putea prezenta ca fiind un membru al familiei pacientului și ar putea solicita informații despre starea de sănătate a acestuia. Dacă personalul spitalului oferă aceste informații fără a verifica identitatea și relația jurnalistului cu pacientul, acest lucru constituie o încălcare a confidențialității datelor pacientului și a dispozițiilor GDPR.

Pentru a evita astfel de situații, este important ca personalul să urmeze bunele practici de verificare a identității și relației persoanei care solicită informații, să asigure comunicarea doar prin canalele oficiale și să respecte procedurile interne de răspuns la cererile de acces la datele personale.

Cazuistică din activitatea Autorității de Supraveghere:

Autoritatea Națională de Supraveghere a finalizat o investigație în 2021 la operatorul Actamedica SRL și a constatat încălcări ale prevederilor GDPR. Ca urmare, Actamedica SRL a fost sancționat cu amenzi de 9.836,6 lei (2.000 EURO) pentru încălcarea art. 28 alin. (1) și art. 32 și de 4.918,3 lei (1.000 EURO) pentru încălcarea art. 33. Un avertisment a fost dat și pentru încălcarea:

Articolul 12 alineatul (3) se referă la obligația operatorului de date de a furniza informațiile solicitate de persoana vizată în legătură cu prelucrarea datelor sale personale într-un termen rezonabil, dar în orice caz în termen de o lună de la primirea solicitării.
Articolul 15 alineatul (1) se referă la dreptul persoanei vizate de a obține de la operatorul de date confirmarea că datele sale personale sunt sau nu prelucrate și, în caz afirmativ, acces la informațiile despre datele personale și detalii suplimentare, cum ar fi scopul prelucrării, categoriile de date personale implicate, destinatarii sau categoriile de destinatari cărora le-au fost sau le vor fi dezvăluite datele personale, perioada de stocare, dreptul de a solicita rectificarea sau ștergerea datelor personale, dreptul de a depune plângere la o autoritate de supraveghere și informații disponibile despre sursa datelor, dacă acestea nu au fost colectate direct de la persoana vizată.

Investigația a început după o plângere care reclama faptul că Actamedica SRL a informat o persoană fizică despre pierderea probelor sale biologice și a unei sume de bani trimise prin curierat. Persoana fizică a solicitat informații despre ce date personale i-au fost expuse și dacă ANSPDCP a fost notificată, dar operatorul nu a oferit un răspuns adecvat. În timpul investigației s-au constatat deficiențe în măsurile de securitate și nerespectarea art. 12 alin. (3) și 15 alin. (1), ceea ce a condus la aplicarea amenzilor și avertismentului menționate anterior.

Sursa: https://www.dataprotection.ro/?page=Comunicat_Presa_24_08_2021&lang=ro

Înapoi

Răsfoiește în format PDF

Descarcă acest capitol

Înainte