Prezentarea celor mai bune practici referitoare la situațiile în care medicul se confruntă cu reclamații sau plângeri specifice protecției datelor din partea angajaților sau pacienților
Prin drepturile oferite persoanelor vizate (angajați, colaboratori, pacienți sau alte persoane fizice cu care se interacționează) Regulamentul General privind Protecția Datelor caută să responsabilizeze operatorul (cabinetul, spitalul, clinica) privitor la felul în care gestionează datele persoanelor și se oferă persoanei vizate pârghiile juridice pentru a avea controlul asupra datelor sale.
În acest cadru, în mod frecvent, apar situații în care persoanele vizate își exprimă nemulțumiri referitoare la felul în care datele le-au fost gestionate.
Exemple de situații:
Un medic dorește să participe la un congres științific, ocazie cu care prezintă o lucrare de specialitate în care se regăsesc detalii referitoare la inițialele numelui pacientului, vârsta, sexul, istoricul medical detaliat, proceduri medicale avute, spitalizări, diagnostic etc. Aceste informații permit uneori identificarea cu ușurință a persoanei și sunt informații sensibile. Aceasta face plângere la Autoritatea de Supraveghere (caz real de sancțiune din Ungaria).
Un alt medic constituie un grup de Whatsapp cu pacienții săi (230) pentru a comunica schimbarea adresei și a comunica aspecte referitoare la programări, consultări ș.a. O persoană se declară nemulțumită de faptul că 229 persoane i-au putut vedea numărul de telefon / fotografia. Autoritatea de Supraveghere constată lipsa consimțământului și aplică amendă medicului (caz real din Germania).
- Asigurați-vă că aveți consimțământul pacienților atunci când doriți să aveți astfel de comunicări pe grupuri de Whatsapp în care pot apărea și date cu caracter sensibil.
Medicul a recomandat niște produse medicale unui pacient ca parte a unui tratament. După câteva zile acesta a fost sunat de agenția care comercializa acel bun. Pacientul s-a declarat total nemulțumit acuzând medicul că ar fi trimis datele spre companie. Autoritatea de Supraveghere constată lipsa consimțământului pentru transferul de date și sancționează medicul (caz real din Italia).
- !NB – nu comercializați datele pacienților!
O unitate spitalicească ține un registru de evidență al persoanelor care sunt internate, cuprinzând în cadrul acestui registru și o rubrică în care se menționează dacă pacientul a efectuat vreo donație către fundația spitalului. Aceasta este o practică extrem de greșită, deoarece creează aparența că serviciile spitalului sunt influențate faptic de existența vreunei donații din partea pacientului. Chiar dacă actul donației se bazează pe consimțământ, în realitate un asemenea consimțământ nu îndeplinește condiția de a fi liber exprimat.
Ce ar trebui să cunoașteți:
Faptul că există uneori situații cu privire la care persoanele vizate își pot exercita drepturile și să aibă solicitări îndreptățite, cum ar fi: să aibă acces la datele proprii, să fie informați, să li se rectifice datele sau să aibă drept de opoziție și ștergere. În fiecare dintre aceste situații este bine să reacționăm cu maximă promptitudine și cordialitate. Lipsa unui răspuns în termen de o lună la o plângere adresată (pe e-mail, spre exemplu) poate atrage sancțiuni mari chiar pentru faptul că nu i s-a răspuns persoanei.
În multe dintre cazuri persoanele au o altă nemulțumire decât cea legată de protecția datelor însă se folosesc de o neregularitate sesizată pentru a sancționa sau a pedepsi operatorul sau medicul. Identificați în mod real care este nemulțumirea și încercați să o soluționați în primul rând pe aceea. O simplă aducere la cunoștință a unor neconformități identificate în prelucrările de date pe care le realizăm poate fi percepută până la urmă ca un lucru bun!
Atunci când o persoană adresează o cerere de exercitare drepturi către operator, s-ar putea să formuleze o plângere și către A.N.S.P.D.C.P., iar pasul pe care îl face este pentru a putea justifica faptul că s-a adresat anterior operatorului (condiție impusă de Autoritate la depunerea plângerilor: https://www.dataprotection.ro /index.jsp?page=Plangeri_pagina_principala).
Plângerile specifice protecției datelor pot fi depuse foarte simplu, online pe website-ul Autorității, mai sus menționat. În situația depunerii lor în condiții de legalitate, Autoritatea va demara o investigație asupra problematicii sesizate.
Ar trebui să elaborați o procedură internă de gestionare a plângerilor persoanelor vizate. Aceasta poate fi identică sau foarte asemănătoare cu procedura de răspuns la cererile persoanelor vizate (Anexa 6 Model de procedură de soluționare a cererilor persoanelor vizate)
Instruiți personalul cu privire la primirea plângerilor, respectiv la cum ar trebui să se adreseze pacientul (persoana vizată), în cazul în care dorește să depună o plângere[1] [2] .
O plângere adresată împotriva medicului ori împotriva unității medicale în care își desfășoară activitatea, poate avea consecințe deopotrivă asupra amândurora.
Oricărei plângeri ar trebui să i se ofere un răspuns complet în cel mai scurt timp, astfel încât să puteți menține sau chiar crește încrederea pacienților în unitatea medicală (operator).
Câteva detalii despre plângeri:
Chiar dacă sunt adresate verbal, ar trebui să ne notăm aspectele reclamate, să le investigăm și să le soluționăm. În acest mod putem dovedi bună credință, preocupare continuă și profesionalism.
Solicităm mai multe detalii și clarificări pentru orice aspect asupra căruia s-a depus plângerea. În acest fel dovedim o preocupare reală referitor la protecția datelor persoanelor care au adresat plângerea. Pentru aceasta ne putem întreba:
- Care sunt cauzele care au dus la adresarea plângerii?
- Ce s-a petrecut?
- Ce date cu caracter personal sunt puse în discuție?
- Au fost implicați angajați, colaboratori sau furnizori de servicii în producerea nemulțumirilor?
Orice plângere ar trebui documentată:
- Ce măsuri am luat? Spre exemplu, am luat măsuri disciplinare, am instituit noi politici sau proceduri pentru protejarea documentelor fizice (în cazul unei reclamații de acest tip)
- Ce avem în vedere pentru viitor? Ex: să schimbăm furnizorul de servicii care nu oferă garanții suficiente la nivel contractual (dacă vorbim despre reclamații cu privire la un soft folosit și nesecurizat de către dezvoltator)
- Cum tratăm efectele negative produse? (ex. recuperarea eventualelor sume de bani pentru recoltarea unor probe medicale prelevate dar compromise datorită unui furnizor de servicii de transport)
- Răspunsul oferit de noi ar trebui documentat astfel ca oricând să putem explica persoanei care justifică un interes real, respectiv autorităților, modalitatea de gestionare a cererii.
Atenție!
Dacă o plângere specifică protecției datelor a fost depusă către dumneavoastră, în calitate de medic, angajat al unei clinici sau al unui spital, este foarte important să redirecționați această solicitare direct conducerii operatorului, ori Responsabilului cu Protecția Datelor.
Cazuistică relevantă
Exemple:
Un pacient trimite o plângere prin e-mail către o clinică, în care afirmă că a primit materiale promoționale nesolicitate pe e-mail, deși nu și-a dat consimțământul pentru astfel de comunicări. Pacientul solicită să fie informat despre cum au fost obținute datele sale de contact și să fie șters din baza de date a clinicii pentru comunicări viitoare. Clinica nu are o procedură clară de gestionare a plângerilor și personalul nu este instruit în acest sens. În consecință, plângerea pacientului nu este tratată corespunzător și nu primește niciun răspuns în termenul de o lună prevăzut de lege. Această lipsă de răspuns poate duce la sancțiuni din partea autorităților de protecție a datelor și la pierderea încrederii pacienților în clinică.
Un medic este angajat/salariat la un cabinet medical individual care, în scop de organizare și marketing, utilizează un site propriu unde afișează fotografii și informații legate de angajații și colaboratorii săi, inclusiv chestiuni care țin de premii și realizări personale, cu sau fără legătură cu activitatea medicală. Acestuia nu i s-a comunicat la momentul angajării sale că datele din CV-ul prezentat la dosarul de recrutare vor fi expuse pe site-ul cabinetului. Observând la un moment dat aceasta, el sesizează angajatorul solicitându-i ca datele sale să fie șterse de pe site și să i se comunice măsurile de redresare. Angajatorul refuză acest lucru, motivând că este interesul legitim al său de a-ți face reclamă. O astfel de situație nu este conformă cu principiile protecției datelor, iar angajatorul ar putea fi sancționat de Autoritatea de Supraveghere.
Cazuistică din activitatea Autorității de Supraveghere:
Dent Estet Clinic SA – Autoritatea Națională de Supraveghere a finalizat în luna decembrie 2022 două investigații la un cabinet stomatologic și la un medic stomatolog, colaborator al cabinetului stomatologic, ambii operatori de date cu caracter personal. Investigațiile au fost demarate ca urmare a unei plângeri transmise de o persoană vizată prin care s-a reclamat faptul că operatorii Dent Estet Clinic SA și medicul colaborator i-au divulgat datele de sănătate în mediul online.
În cadrul investigațiilor efectuate, s-a constatat că operatorii au divulgat informații medicale referitoare la tratamentul ortodonțic al petiționarului, constând într-un set de fotografii și radiografii care se puteau corela cu numele persoanei, prin publicarea unui articol pe un blog de specialitate. Aceste informații au fost publicate atât în scop științific, cât și în scop comercial.
S-a constatat că operatorul Dent Estet Clinic SA, deși a fost informat chiar de petiționar despre divulgarea neautorizată a datelor sale personale privind starea de sănătate, nu a notificat Autoritatea Națională de Supraveghere, în termen de cel mult 72 de ore de la data la care a luat la cunoștință de încălcarea de securitate, încălcând astfel art. 33 din Regulamentul (UE) 2016/679.
Sursă: https://www.dataprotection.ro/?page=Comunicat_Presa_31_01_2023_1