Ochrona danych osobowych w świetle RODO w działalności Rzecznika Praw Pacjenta

Celem artykułu jest przybliżenie kwestii ochrony danych osobowych w działalności ustawowego organu powołanego do ochrony praw pacjentów w Polsce, w szczególności w kontekście przepisów wspólnotowych, które weszły w tym zakresie w życie w 2018 r.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) pełni funkcję spójnego narzędzia do stosowania we wszystkich państwach członkowskich z uwagi na jego bezpośrednie obowiązywanie, bez potrzeby implementacji. Akt obowiązuje od 25 maja 2018 r. i wprowadził szereg zmian w obowiązującym standardzie ochrony danych osobowych, co w przypadku państw członkowskich wiąże się z koniecznością analizy obowiązujących dokumentów prawnych pod kątem ich zgodności z treścią rozporządzenia i dokonania w nich niezbędnych zmian. Rzecznik Praw Pacjenta, jako centralny organ administracji rządowej właściwy w sprawach ochrony praw pacjentów, powołany Ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (dalej: ustawa), również musi podjąć – tak jak wszystkie pozostałe organy i instytucje państwowe w Polsce – analizę obszaru swojej działalności w świetle RODO.

Po analizie aktualnie obowiązujących w tym zakresie przepisów krajowych oraz powszechnie dostępnych informacji o działalności Rzecznika, należy stwierdzić, że realizacja przez niego ustawowych kompetencji i obowiązków, wyszczególnionych w art. 47 ust. 1 ustawy, nierozerwalnie związana jest z przetwarzaniem przez organ danych osobowych pacjentów. Każda czynność związana z przetwarzaniem danych osobowych, powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa, w tym przepisów ogólnego rozporządzenia o ochronie danych oraz ustawy o ochronie danych osobowych. Tym samym na Rzeczniku Praw Pacjenta, jako administratorze danych osobowych, spoczywa ciężar dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą – i jak do tej pory z obowiązku tego doskonale się wywiązuje.

Nie budzi żadnej wątpliwości, że dla skutecznej realizacji swoich ustawowych zadań Rzecznik musi mieć zagwarantowany szeroki dostęp do danych osobowych pacjentów – i niniejsze uprawnienie, w kontekście nowych europejskich przepisów, powinno być jasno wyartykułowane w przepisach rangi ustawowej w Polsce.

The aim of the article is to familiarise readers with the protection of personal data in the activities of the statutory body appointed to protect patients’ rights in Poland, in particular in the context of the EU provisions that entered into force in this area in 2018.

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of persons with regard to the processing of personal data and on the free movement of such data, repealing Directive 95/46/EC (General Data Protection Regulation hereinafter: RODO), acts as a coherent tool for use in all member states due to its direct applicability, without the need for implementation. The act has been in force since 25 May 2018 and introduced a number of changes to the current standard of personal data protection, which in the case of Member States requires the analysis of applicable legal documents in terms of their compliance with the RODO and necessary changes made therein. The Patient’s Rights Ombudsman, as the central organ of government administration competent in matters of patient rights protection, set up by the Act of 6 November 2008 on Patient Rights and the Patient Rights Ombudsman (hereinafter: Act), must also undertake – just like all other state institutions in Poland – an analysis of the area of ​​its activity in the light of the RODO.

After analysing the currently applicable national regulations and publicly available information on the activities of the Patients’ Rights Ombudsman, it should be noted that implementation by the Ombudsman of Patients’ Rights of statutory competences and duties, specified in art. 47 par. 1 of the Act, is inextricably linked to the processing of patients’ personal data. Any activity related to the processing of personal data, should comply with the principles of the generally applicable laws, including RODO. Thus, the Ombudsman for Patients’ Rights, as the administrator of personal data, bears the burden of exercising special diligence in order to protect the interests of the data subjects – and so far the obligation has been fulfilled perfectly.

Also there is no doubt that for the effective implementation of its statutory tasks, the Patient’s Rights Ombudsman must be guaranteed wide access to patients’ personal data – and this right, in the context of new EU Regulation, should be clearly articulated in the provisions of the statutory law in Poland.