Campanii de informare

Acest material face parte din Campania de informare a persoanelor vizate, din România, privind drepturile asigurate de Regulamentul UE 2016/679.
Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este o organizație non-guvernamentală, autonomă, apolitică și non-profit.

 

 

 

Înlocuiți “Consimțământul GDPR” al pacientului pentru serviciile medicale cu o INFORMARE AFIȘATĂ VIZIBIL. 

Descarcă modelul editabil de informare de mai jos. Trebuie doar să completezi datele organizației tale și să-l tipărești în format A3 sau A4.

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical, care stau la baza relației profesionist-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi timpuri. La nivelul unităților din sistemul sanitar nu este nevoie de obținerea unui consimțământ GDPR, semnat de pacient, prin care acesta este de acord cu prelucrarea datelor cu caracter personal pentru ca refuzul semnarii conduce la un paradox care intra in conflict cu dreptul la îngrijiri medicale. Conform Regulamentului European pentru Protecția Datelor cu Caracter Personal, consimțământul GDPR este doar una din modalitățile de a asigura legalitatea prelucrării, în domeniul sanitar existând deja alte prevederi care justifică legalitatea activității de prelucrare. 

” Odată cu aplicarea Regulamentului 679/2016  (GDPR) s-a creat o mare confuzie în industria medicală cu privire la obligativitatea obținerii consimțământului pacientului privind prelucrarea datelor personale în relația medic-pacient, fără de care actul medical nu mai poate fi înfăptuit. Neclaritatea a pornit de la faptul că în relația medic-pacient exista deja necesitatea obținerii unui consimțământ de la pacient, care se numește consimțământ medical informat și este reglementat de Legea pacientului 46/2003 și prevede că “Pacientul are dreptul să refuze sau să oprească o intervenție medicală asumându-și, în scris, răspunderea pentru decizia sa”,  iar mai jos se prevede în mod expres că, “Consimțământul pacientului este obligatoriu pentru recoltarea, păstrarea, folosirea tuturor produselor biologice prelevate din corpul său, în vederea stabilirii diagnosticului sau a tratamentului cu care acesta este de acord.” ( Cristiana Deca, Vicepreședinte ASCPD)

În România, în domeniul sanitar, se folosesc simultan două formulare de consimțământ, această situație este generatoare de confuzie:

  • consimțământul medical informat care vizează relația medic pacient și informațiile legate de actul medical și repercusiunile acestuia.
  • consimțământul de prelucrarea datelor conform GDPR care vizează strict prelucrarea datelor personale în relația medic pacient.

Una din obligațiile unui operator este prelucrarea datelor cu caracter personal în condiții de legalitate, aceasta putând fi obținută dacă acțiunea de prelucrare se încadrează în una din următoarele situații:

  • este obținut în mod real Consimţământul persoanei vizate;
  • Încheierea sau executarea unui contract;
  • Îndeplinirea unei obligaţii legale 
  • Interesul legitim 
  • Protejarea intereselor vitale ale unei persoane 
  • Îndeplinirea unei sarcini care servește unui interes public;

Pentru a obține legalitatea, nu este nevoie sa încadrăm activitatea de prelucrare în mai mult de o categorie menționată mai sus.

Conform Regulamentului Uniunii Europene 679/2016 (GDPR) prelucrarea de categorii speciale de date cu caracter personal este interzisă ( de exemplu informaţii privind starea de sănătate sau viaţa sexuală). Cu toate acestea, există o serie de exceptări de la această interdicţie. Capitolul II,  Articolul 9 aliniatul (h) specifică faptul că ESTE PERMISA PRELUCRAREA DE CATEGORII SPECIALE DE DATE CU CARACTER PERSONAL dacă prelucrarea datelor este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și în cazul în care datele respective sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia.

Articolul 9 aliniatul (h) oferă legitimitatea prelucrării de date în cadrul serviciilor din domeniul sanitar, astfel ca NU este nevoie suplimentar de semnarea unui consimțământ. 

DACĂ SERVICIILE MEDICALE SUNT MENȚIONATE EXPRES DE REGULAMENTUL (UE) 2016/679, OFERIND LEGALITATEA ȘI LEGITIMITATEA PRELUCRĂRII, DE CE ÎNCERCĂM SĂ OBȚINEM ȘI ALTE JUSTIFICĂRI PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL?

CE DREPT ARE O UNITATE SANITARĂ SĂ REFUZE ACORDAREA SERVICIILOR MEDICALE INVOCÂND REFUZUL PACIENTULUI DE A SEMNA UN DOCUMENT  ?

Ca și profesioniști supuși obligației de păstrare a secretului profesional, medicii, farmaciștii și asistenții medicali nu sunt nevoiți să semneze un consimțământ de confidențialitate distinct,  având în vedere codul deontologic și Juramântul lui Hipocrate:

  • Voi păstra secretele încredințate de pacienți, chiar și după decesul acestora (Jurămîntul lui Hipocrate)
  • Tot ceea ce medicul, în calitatea lui de profesionist, a aflat direct sau indirect în legătură cu viaţa intimă a bolnavului, a familiei, aparţinătorilor, precum şi problemele de diagnostic, prognostic, tratament, circumstanţe în legătură cu boala şi alte diverse fapte, inclusiv rezultatul autopsiei sunt confidențiale (Codul deontologic )

”În România confidențialitatea este documentată printr-un pachet complex de reglementări legale și coduri deontologice și de etică. Obținerea unui consimțământ la internarea în spital prin solicitarea ”vă rog semnați aici, aici și aici” nu este o conformare GDPR, este o rezolvare formală prin care am crescut birocrația, am creat formulare noi ca să ne asigurăm în cazul în care pacientul ne dă în judecată. Dar avantajul va fi de partea pacientului pentru că el va spune ”nu am fost informat corect, consimțământul nu este conform GDPR, nu a fost obținut în mod real, nu am fost informat în prealabil”. Un consimțământ pentru a fi valabil conform GDPR trebuie să îndeplinească mult mai multe condiții decât semnătura pacientului. Consimțământul GDPR a devenit un concept care în medicină sperie un medic”, a adăugat Marius Dumitrescu, președintele ASCPD.

Înlocuiți “Consimțământul GDPR” al pacientului pentru serviciile medicale cu o INFORMARE AFIȘATĂ VIZIBIL. 

Descarcă modelul editabil de informare de mai jos. Trebuie doar să completezi datele organizației tale și să-l tipărești în format A3 sau A4.

Din punct de vedere legislativ, asigurarea confidențialității actului medical și a informațiilor legate de pacient, în România, este un domeniu reglementat prin mai multe acte juridice naționale și internaționale și nu se justifică obținerea legalității prelucrării datelor prin semnarea unui consimțământ de către pacient:

  1. Codul deontologic al medicilor – referință Secțiunea B. Art. 13 – Art.22
  2. Codul Penal – referință 227 Art. 79 alin 1C proc. pen.
  3. Drepturi ale pacientului selectate din Legea nr. 46/2003 privind drepturile pacientului
  4. International code of medical ethics of the World Medical Association Adopted by the Third General Assembly of the World Medical Association at London in October 1949. (World Medical Association Bulletin, vol. 1, no. 3, October 1949, pp.109, 111).
  5. Juramântul lui Hipocrate în formularea modernă adoptată de Asociația Medicală Mondială în cadrul Declarației de la Geneva, din anul 1975
  6. Legea 584 din 29 octombrie 2002 privind măsurile de prevenire și combatere a maladiei SIDA și de protecție a persoanelor infectate cu HIV – referință 1 Art. 2
  7. Legea Drepturilor Pacientului (Legea nr. 46 din 21.01.2003).- referință Capitolul IV Art. 21 – Art. 25
  8. Legea nr. 306 din 28 iunie 2004 privind exercitarea profesiei de medic precum și organizarea și funcționarea Colegiului Medicilor din România – referință Secțiunea 1 Art. 5(3) Art. 6(3) Secțiunea a 4-a Art. 39. H, Art. 40 Secțiunea a 6-a Art. 69
  9. Legea nr. 95/2006 privind reforma în domeniul sănătății
  10. Norme de reglementare ale CNA – Decizia 248 din 1 iulie 2004 privind protecția demnității umane și a dreptului la propria imagine – referință 2 Art.3 Art. 16 Art.17 Art. 18
  11. Norme de reglementare ale CNA – Decizia 40 din 9 martie 2004 privind asigurarea informării corecte și a pluralismului – referință 8 Art.9
  12. Normele de protecție a muncii aprobate prin Ordinul Ministrului Muncii si Solidaritatii Sociale nr. 508 din 20 noiembrie 2002
  13. Ordinul 1410 din 12 decembrie 2016 privind aprobarea Normelor de aplicare a Legii drepturilor pacientului nr. 46 / 2003.
  14. Ordinul 570 din 29 martie 2007 – referință 2.1
  15. Ordinul 889 din 5 noiembrie 1998 – normele de aplicare si actualizare a Ordinului 912 din 11 septembrie 1992
  16. Ordinul 912 din 11 septembrie 1992
  17. Ordinul 990 din 22 decembrie 1998 privind sistemul de declarare a infectiei cu virusul imuno-deficientei umane – referință 1 Art. 2
  18. Ordinul Ministerului Sanatatii si Familiei nr. 933 din 25 noiembrie 2002 – referință Titlul II, Capitolul IV, Sectiunea 7, Art. 78
  19. Ordinul nr. 1411/2016 privind modificarea și completarea Ordinului ministrului sănătății publice nr. 482/2007 privind aprobarea Normelor metodologice de aplicare a titlului XV “Răspunderea civilă a personalului medical și a furnizorului de produse și servicii medicale, sanitare și farmaceutice” din Legea nr. 95/2006 privind reforma în domeniul sănătății
  20. Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date – referință (39) (49) (50) (75) (83) (85) (162) (163) (173) Art.5 Art.9 Art.14 Art.28 Art.32 Art.38 Art.54 Art.76 Art.90

 

Ce informații poate o persoană să solicite unui operator conform GDPR?

Conform GDPR orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții.  În mare aceste drepturi se regăsesc și în prevederile legislației anterioare.

Astfel, potrivit Articolului 15: ”Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de  informații:

  • care e scopul prelucrării datelor personale?
  • ce categorii de date cu caracter personal sunt în cauză;
  • care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
  • care este perioada pentru care vor fi stocate datele cu caracter personal;
  • dreptul la rectificare, ștergere, obiecție sau restricție;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor.

Care este scopul asigurării dreptului de acces?

În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată.

Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări.

Putem percepe vreo taxă pentru furnizarea datelor?

Vechile prevederi ale Legi 677/ 2001 arătau că o persoană putea solicita accesul la date în mod gratuit doar o data pe an. Actualul Regulament nu specifică perceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă.

În cât timp trebuie să furnizăm informațiile solicitate?

Regulamentul oferă operatorilor o perioadă rezonabilă de până la o lună pentru a răspunde  solicitărilor de acces la datele personale. În anumite situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen de cel mult o lună de la primirea solicitării.

Cum putem furniza  informațiile?

În mod normal, trebuie să verificăm mai întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile“. În cazul în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software (GDPR – Considerentul 63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care acest lucru ar fi posibil, prin integrarea în sistemele CRM.

Model formular cerere de acces

Cerere de acces (model)