Jak się wymazać? Prawniczka o tym, co z prawem do bycia zapomnianym
Redaktor: Krystian Lurka
Data: 05.04.2018
Źródło: Aneta Sieradzka/KL
Tagi: | Aneta Sieradzka, RODO |
W Polsce od 25 maja zacznie obowiązywać RODO. - Europejskie rozporządzenie o ochronie danych osobowych ustanawia prawo do usunięcia danych. Polega na tym, że każdej osobie, której dane są przetwarzane, przysługuje prawo do usunięcia ich czyli bycia zapomnianym - mówi Aneta Sieradzka i odpowiada na pytanie, kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym.
Aneta Sieradzka, prawniczka z kancelarii "Sieradzka & Partners" i członkini zespołu Młodzi Menedżerowie Medycyny, wykładowczyni na Uniwersytecie Medycznym w Poznaniu i Uniwersytecie Marii Curie-Skłodowskiej w Lublinie:
- Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:
- dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane,
- podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie,
- podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania),
- przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa,
- dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. portale społecznościowe).
Co może zrobić pacjent?
Na gruncie RODO pacjent może zwrócić się z żądaniem do administratora danych (podmiotu wykonującego działalność leczniczą, np. szpital) wtedy gdy:
- jeżeli jego dane, które zostały zebrane nie są już niezbędne do celów do których zostały zebrane,
- dane pacjenta zostały zebrane lub są przetwarzane w inny sposób w sytuacji gdy pacjent wycofał zgodę, lub zostanie spełniona przesłana z art. 17 ust. 1 RODO czyli dane byłby przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator ma obowiązek bez zbędnej zwłoki usunąć dane w przypadku wystąpienia w/w przesłanki.
Czego pacjent zrobić nie może?
Pacjent nie może zwrócić się do placówki medycznej aby ta usunęła wszystkiego dane, zarówno w trakcie leczenia jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, czyli w tym przypadku ustawa o prawach pacjenta i RPP, która stanowi w art. 24 ust. 1, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, okres przechowywania dokumentacji zależy od rodzaju dokumentacji. Podmiot medyczny więc nie może na życzenie zniszczyć dokumentacji medycznej pacjenta, a jedynie jest zobligowany to zrobić po upływie okresu w jakim był zobowiązany przechowywać dokumentację medyczną.
Prawo do bycia zapomnianym nie dotyczy sytuacji zniszczenie dokumentacji medycznej na żądanie pacjenta, bo według RODO gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
Kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym?
Prawo do bycia zapomnianym będzie mieć zastosowanie m.in. gdy lekarz czy pielęgniarka lub inny pracownik zmienił miejsce pracy, a jego dane w tym wizerunek nadal widnieją na stronie internetowej byłego pracodawcy. Może zwrócić się z żądaniem natychmiastowego usunięcia. Pacjent w sytuacji kiedy wyraził zgodę na wykorzystywanie jego danych osobowych przez podmiot medyczny do celów marketingowych, gdzie placówki mogą takie dane gromadzić i przetwarzać za zgodą pacjenta. Zgodę, którą zawsze można wycofać ze skutkiem natychmiastowym i bezpłatnie. Pacjent np. zapisał się na newsletter. Zawsze może się z niego wypisać bez ponoszenia konsekwencji, dotyczy to również obecności danych pacjenta w profilach społecznościowych prowadzonych przez placówki medyczne.
Przeczytaj także: "Dyrektorze, bój się. Prawnicy jednoczą się i pomogą rezydentom" i "Ochrona danych po nowemu, czyli konsekwencje RODO dla placówek medycznych".
Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.
- Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:
- dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane,
- podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie,
- podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania),
- przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa,
- dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. portale społecznościowe).
Co może zrobić pacjent?
Na gruncie RODO pacjent może zwrócić się z żądaniem do administratora danych (podmiotu wykonującego działalność leczniczą, np. szpital) wtedy gdy:
- jeżeli jego dane, które zostały zebrane nie są już niezbędne do celów do których zostały zebrane,
- dane pacjenta zostały zebrane lub są przetwarzane w inny sposób w sytuacji gdy pacjent wycofał zgodę, lub zostanie spełniona przesłana z art. 17 ust. 1 RODO czyli dane byłby przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator ma obowiązek bez zbędnej zwłoki usunąć dane w przypadku wystąpienia w/w przesłanki.
Czego pacjent zrobić nie może?
Pacjent nie może zwrócić się do placówki medycznej aby ta usunęła wszystkiego dane, zarówno w trakcie leczenia jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, czyli w tym przypadku ustawa o prawach pacjenta i RPP, która stanowi w art. 24 ust. 1, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, okres przechowywania dokumentacji zależy od rodzaju dokumentacji. Podmiot medyczny więc nie może na życzenie zniszczyć dokumentacji medycznej pacjenta, a jedynie jest zobligowany to zrobić po upływie okresu w jakim był zobowiązany przechowywać dokumentację medyczną.
Prawo do bycia zapomnianym nie dotyczy sytuacji zniszczenie dokumentacji medycznej na żądanie pacjenta, bo według RODO gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
Kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym?
Prawo do bycia zapomnianym będzie mieć zastosowanie m.in. gdy lekarz czy pielęgniarka lub inny pracownik zmienił miejsce pracy, a jego dane w tym wizerunek nadal widnieją na stronie internetowej byłego pracodawcy. Może zwrócić się z żądaniem natychmiastowego usunięcia. Pacjent w sytuacji kiedy wyraził zgodę na wykorzystywanie jego danych osobowych przez podmiot medyczny do celów marketingowych, gdzie placówki mogą takie dane gromadzić i przetwarzać za zgodą pacjenta. Zgodę, którą zawsze można wycofać ze skutkiem natychmiastowym i bezpłatnie. Pacjent np. zapisał się na newsletter. Zawsze może się z niego wypisać bez ponoszenia konsekwencji, dotyczy to również obecności danych pacjenta w profilach społecznościowych prowadzonych przez placówki medyczne.
Przeczytaj także: "Dyrektorze, bój się. Prawnicy jednoczą się i pomogą rezydentom" i "Ochrona danych po nowemu, czyli konsekwencje RODO dla placówek medycznych".
Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.