60 odcinek naszego podcastu poświęcam zagadnieniu zgody na przetwarzanie danych medycznych. Inspiracją dla odcinka stał sie wyrok Wojewódzkiego Sądu Administracyjnego z dnia 31 stycznia 2024 roku, sygn. akt II SA/Wa 1861/23.
W wyroku tym Sąd bardzo jasno wskazuje na konieczność wyraźnego pozyskiwania i rejestrowania zgód na przetwarzanie danych medycznych. Zacząłem się zastanawiać czy wyrok ten może mieć znaczenie również dla podmiotów wykonujących działalność leczniczą? W końcu placówki medyczne dysponują odrębną podstawą do przetwarzania danych medycznych. Tylko czy zawsze mogą z tej podstawy skorzystać? Według mnie nie i dlatego powstał ten odcinek.
Z odcinka dowiesz się między innymi:
-> W jakich przypadkach placówka medyczna powinna pozyskiwać zgody na przetwarzanie danych medycznych?
-> Jak powinna zostać udzielona wyraźna i jednoznaczna zgoda na przetwarzanie danych medycznych?
-> Jak ograniczyć konieczność pozyskiwania zgód na przetwarzanie danych medycznych?
Zapraszam do słuchania!
Witam serdecznie wszystkich naszych Słuchaczy w kolejnym odcinku naszego podcastu. Odcinek już 60, odcinek, który – od razu na wstępie muszę przyznać się wszystkim słuchającym – planowałem inny temat. Odcinek, który miał dotyczyć czegoś innego. Natomiast ostatnia lektura stron Urzędu Ochrony Danych Osobowych i pewna informacja, do której dotarłem spowodowała, że postanowiłem nagrać ten odcinek, ponieważ uznałem, że jest to temat ważny, wokół którego też pojawiło się sporo różnych moich czy to wątpliwości, czy znaków zapytania, którymi postanowiłem się z naszymi Słuchaczami podzielić. Ale może od początku – czego będzie dotyczył odcinek?
Odcinek będzie dotyczył zgód na przetwarzanie, ale uwaga – zgód na przetwarzanie danych medycznych. Tak, to jest rzecz, która w przypadku naszego podcastu kierowanego do branży medycznej i farmaceutycznej, a to dziś będzie miało również duże znaczenie, może być pewnym zaskoczeniem, natomiast ma sens, proszę mi wierzyć, ma sens i postaram się wszystkim Słuchaczom jak najlepiej to dzisiaj wyjaśnić.
Zacznijmy może od tego, dlaczego jest to w ogóle ważne? Ja już wspominałem wielokrotnie w naszym podcaście, w szczególności w odcinku 46, w którym poruszam temat zgód pacjentów, aczkolwiek zgód pacjentów w troszeczkę innym sensie, szerszym. Kwestia samych danych osobowych jest tam tylko pewnego rodzaju, można powiedzieć, dodatkiem. W placówkach medycznych panuje dosyć powszechne przekonanie, że skoro jesteśmy placówką medyczną, która zajmuje się leczeniem, to w tym momencie my nie musimy, że tak powiem, pytać o zgody pacjentów, ponieważ mamy prawo do przetwarzania danych medycznych. I to wszystko prawda, jak najbardziej. Jeżeli placówka medyczna realizuje określone świadczenia, to co do zasady nie musi pozyskiwać zgody na przetwarzanie danych medycznych pacjentów. Gdyby było inaczej, byłoby to dosyć mocno wręcz nielogiczne, niepraktyczne i właściwie uniemożliwiałoby pracę placówkom medycznym.
Na placówki medyczne należy spojrzeć też z troszeczkę innego punktu widzenia. Przede wszystkim na placówki medyczne powinniśmy spojrzeć z punktu widzenia po pierwsze pracodawców, którzy mają swoich pracowników i na przykład chociażby w stosunku do tych pracowników realizują różnego typu usługi, czy może nie tyle, że świadczą usługi, co dysponują określonymi benefitami, które mogą swoim pracownikom przekazywać na przykład w postaci ubezpieczeń medycznych. I w takiej sytuacji na przykład ubezpieczycielowi są zobowiązani jakieś dane medyczne pracowników przekazać. Nie są to sytuacje częste, to po pierwsze, ale nie można ich wykluczyć.
Po drugie tak, zdaję sobie sprawę w tym momencie, że wielu słuchaczy, zwłaszcza zajmujących się danymi osobowymi na stałe, może dojść do wniosku – no ale chwileczkę, przecież tutaj należałoby w ogóle rozważyć sytuację, w której jeżeli podmiot leczniczy jako pracodawca zbiera określone dane dla ubezpieczyciela, to tak na dobrą sprawę jest procesorem, a nie administratorem. I tak, ja również się z tym zgadzam. Natomiast fakt jest faktem, że takich sytuacji i konstrukcji polegających na tym, że podmiot leczniczy takie dane będzie zbierał będąc pracodawcą, wykluczyć oczywiście nie można. Idźmy dalej.
Drugi przypadek dotyczy już ściśle określonego rodzaju usług świadczonych przez podmioty lecznicze. Chodzi mi tutaj o placówki z zakresu medycyny pracy świadczące usługi medycyny pracy. Przy czym tu trzeba powiedzieć, że placówka medyczna w ramach realizacji określonej usługi na rzecz firmy zewnętrznej, rozliczając tą usługę może określone dane w ramach załącznika w postaci np. osób, którym zostało udzielone świadczenie z zakresu medycyny pracy, bardzo często wraz z katalogiem bardziej szczegółowych świadczeń, co jest dosyć powszechnie niestety moim zdaniem nieprawidłowo przyjęte, aby placówka taka podawała informację pracodawcy do rozliczenia. Tutaj de facto w tym momencie mówimy przede wszystkim o tym drugim pracodawcy, czyli o tej firmie, która takich pracowników na badania wysyła. Ale oczywiście podmiot leczniczy również tutaj może być pracodawcą, może tych swoich pracowników do innej placówki wysyłać w celu wykonania badań i wtedy to on de facto, jeżeli te dane pozyskuje, jest ich administratorem. No i tu mamy zdecydowanie inny cel przetwarzania danych niż udzielanie świadczenia zdrowotnego.
Jest jeszcze inny powód i inny przypadek, kiedy moglibyśmy się zastanawiać nad tym, czy podmiot leczniczy powinien pozyskiwać zgody od pacjentów na przetwarzanie danych, ale o tym pozwolę sobie powiedzieć troszeczkę dalej, bo zdaje sobie sprawę, że ten przypadek może być postrzegany nieco kontrowersyjnie, w związku z czym nawiążę do tego już po tym, jak przytoczę Państwu pewne tezy z orzeczenia Wojewódzkiego Sądu Administracyjnego, które również jest głównym powodem, dla którego dzisiaj o tym rozmawiamy.
Obiecałem tutaj, że nie pominę absolutnie branży szeroko rozumianej, branży farmaceutycznej. W tym akurat konkretnym przypadku absolutnie tego zrobić nie możemy, ponieważ to właśnie w branży farmaceutycznej tych danych medycznych potencjalnie od klientów branży może być rzeczywiście sporo. Firmy w branży farmaceutycznej prowadzą różnego typu działania marketingowe, tworzą różnego typu systemy lojalnościowe, pozycjonują tych klientów pod kątem różnych usług realizowanych przez różne firmy w grupach farmaceutycznych i w tym celu również pozyskują dane medyczne. A zatem zgoda jak najbardziej jest tutaj zasadna, jest tutaj elementem kluczowym i ważnym.
Co skłoniło mnie do powrotu do zagadnienia zgód? Już wspomniałem o lekturze strony internetowej Urzędu Ochrony Danych Osobowych. Tam pojawiła się informacja dotycząca wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który zakończył niejako sprawę na poziomie WSA. Zakończył sprawę dotyczącą stwierdzonych naruszeń przepisów w zakresie przetwarzania danych osobowych przez podmiot, który w tym konkretnym przypadku był, jest, kancelarią prawną. Żeby w kilku słowach przedstawić stan faktyczny tak, ażeby Słuchacze nasi mieli orientację. Kancelaria prawna działała w branży, nazwijmy to, odszkodowawczej, tzn. reprezentowała klientów poszkodowanych przede wszystkim, ale nie tylko, w wypadkach komunikacyjnych. Poszukiwała tych klientów, poszukiwała tych klientów aktywnie. I poszukiwanie klientów sprowadzało się najczęściej do tego, przynajmniej tak wynika z samego orzeczenia WSA, sprowadzało się najczęściej do tego, że pracownicy kancelarii dzwonili do konkretnych osób, zbierali określone informacje dotyczące tychże osób i na tej podstawie konstruowali ewentualną ofertę dla potencjalnych klientów. Sformułowanie „potencjalni klienci” jest tutaj szczególnie istotne.
Konstruując te oferty, zbierali nie tylko dane podstawowe, te dane niewrażliwe, ale również dane medyczne. Skoro były to wypadki komunikacyjne, sprawy miały dotyczyć różnego typu odszkodowań, zadośćuczynień, rent, odzyskiwania kosztów leczenia itd. dla celów oceny, jak to bardzo trafnie zostało wskazane w orzeczeniu pewnego ryzyka gospodarczego, innymi słowy po prostu opłacalności określonych spraw. Kancelarie pozyskiwały również dane medyczne od osób, z którymi rozmawiały. Jak rozwiązywały temat zgód? Dlatego, że niewątpliwą rzeczą z punktu widzenia praktyki działania kancelarii było pozyskiwanie zgody na przetwarzanie tych danych medycznych. Generalnie przeprowadzano to w ten sposób, że w trakcie rozmowy czy na początku rozmowy konsultant pytał o taką zgodę. Jeżeli taką zgodę pozyskał, to kontynuował rozmowę, jeśli nie, rozmowa była przerywana.
Natomiast co było najbardziej kluczowe i co jest clou tej sprawy? Mianowicie Urząd Ochrony Danych Osobowych stwierdził, czy zarzucił kancelarii, że nie rejestrowała w żaden sposób tych zgód, tzn. nie pozyskiwała ich w sposób należyty, w sposób wyraźny. One nie były udzielane w wyraźny sposób. I tutaj, proszę Państwa, warto wspomnieć w dwóch słowach o linii, nazwijmy to, obrony kancelarii. Kancelaria powoływała się de facto na dwie sytuacje, na dwa, tak jak można zrozumieć orzeczenie, na dwie podstawy, niejako na dwie podstawy prawne. Z jednej strony powoływała się na kwestię art. 6 ust. 1b, czyli na kwestię pozyskiwania i przetwarzania danych w celu realizacji określonej usługi bądź też zawarcia umowy. Czyli stanowisko kancelarii było w tym momencie takie, że te dane są niezbędne do tego, żeby w ogóle zawrzeć umowę z danym klientem, potencjalnym. Druga przesłanka, na którą kancelaria się powoływała, broniąc się, to była kwestia marketingu bezpośredniego. I tutaj, proszę państwa, marketing bezpośredni usług ma swoją podstawę, niejako ma w tym momencie w art. 6 ust. 1f, czyli to jest uzasadniony interes administratora i to jest podstawa do pozyskiwania określonych danych. Czyli tak na dobrą sprawę to były dwie podstawy, które kancelaria powoływała. Nie oceniając samodzielnie tego, czy to było według mnie prawidłowe, czy nie, sąd w obu przypadkach stwierdził, że te podstawy nie mają uzasadnienia. Dlaczego? Dlatego, że dotyczyło to danych medycznych. Dane medyczne nie były niezbędne do zawarcia umowy jako takiej. I dane medyczne, nie można było również tutaj zastosować przesłanki marketingu bezpośredniego i to jest, proszę Państwa, bardzo istotna rzecz, chociażby z punktu widzenia branży farmaceutycznej, ponieważ sąd stwierdził, że marketing bezpośredni i przesłankę uzasadnionego interesu administratora de facto można zastosować, realizując marketing bezpośredni w stosunku do klientów na podstawie danych, które już niejako się posiada. Czyli sąd uznał, że nie ma możliwości odwrócenia tego procesu. Czyli nie ma możliwości, ażeby najpierw uzyskiwać te dane czy uzyskiwać te dane i uzyskując te dane, realizować tego marketingu bezpośredniego. Tutaj mamy sytuację odwrotną, czyli najpierw pozyskujemy te dane, a dopiero na ich podstawie możemy ewentualnie taki marketing bezpośredni realizować. Tutaj sytuacja była taka, że kancelaria powołała się na tą przesłankę nie na etapie, nazwijmy to, wtórnego wykorzystywania tych danych, tylko ich pierwotnego pozyskania. W obu tych przypadkach sąd uznał, że popierając Urząd Ochrony Danych Osobowych, że te przesłanki nie mogą tutaj mieć miejsca, zwłaszcza, że tak na dobrą sprawę z wszystkich działań kontrolnych podejmowanych wychodziło bardzo wyraźnie, że tak na dobrą sprawę te dane medyczne, one były zbierane tylko i wyłącznie po to, żeby ocenić to ryzyko gospodarcze i określić tę opłacalność zajęcia się sprawą i zajęcia się tym klientem, który cały czas pozostawał klientem potencjalnym.
Poza tym, nie oszukujmy się, proszę Państwa, tutaj mamy bardzo istotny jeszcze jeden element, o którym nie możemy zapomnieć. W obu przypadkach powołujemy się na art. 6 RODO, który dotyczy przetwarzania danych podstawowych. Natomiast możliwość przetwarzania danych medycznych jako danych szczególnych wynika z art. 9. To jest, proszę Państwa, w przypadku branży medycznej i podmiotów leczniczych, dokładnie artykuł mityczny już w branży medycznej, można powiedzieć, art. 9 ust. 2h to jest podstawa prawna do przetwarzania danych medycznych przez podmioty lecznicze bez konieczności pozyskiwania zgody. No ale właśnie i to jest teraz ten moment, w którym ja podzielę się z Państwem pewną swoją myślą, która może być przez niektórych postrzegana dosyć kontrowersyjnie albo jako myśl za daleko idąca, natomiast ja poddam to pod przemyślenie naszych Słuchaczy. Proszę, dajcie mi szansę.
Jeżeli mówimy o potencjalnych klientach, w przypadku kancelarii, wydaje mi się, że możemy również mówić o sytuacji potencjalnych pacjentów w odniesieniu do placówek medycznych, ponieważ nie ulega żadnej wątpliwości, że jeżeli mamy pacjenta, który przychodzi rzeczywiście do nas w celu udzielenia świadczenia medycznego, to my od tego pacjenta jako placówka medyczna pozyskujemy określone dane osobowe, w tym dane medyczne i to jest naturalny proces. Nikt nie ma co do tego wątpliwości. Natomiast wyobraźmy sobie sytuację troszeczkę inną. Wyobraźmy sobie sytuację, która według mnie nie jest wcale sytuacją rzadką, a mianowicie – potencjalny pacjent dzwoni, pacjent pierwszorazowy, to myślę jeszcze warto by tutaj dodać do tego porządku, dzwoni do różnych placówek medycznych, żeby uzyskać informację, jaka jest cena określonych badań, określonej konsultacji, wizyty itd. Jeżeli są to świadczenia komercyjne, oczywiście w rozmowie telefonicznej taką informację uzyskuje, ale uwaga – zdarzają się przypadki, w których po drugiej stronie pacjent słyszy od osoby pracującej w placówce medycznej „Ale co się stało? Ale co się dzieje?”. Czyli tak na dobrą sprawę, proszę Państwa, proszę zauważyć, co tutaj się w tym momencie może wydarzyć. Tu może się wydarzyć sytuacja, w której pacjent w rozmowie telefonicznej zaczyna opowiadać o określonych swoich schorzeniach, czymkolwiek, ale w pewnym ściśle określonym kontekście, tzn. on podaje tę informację po to, żeby uzyskać z drugiej strony informację, „ok, no to w takim układzie dla Pana to konsultacja takiego specjalisty, takiego, tutaj należałoby jeszcze pomyśleć nad jakimś badaniem USG”. Generalnie pacjent dostaje informację, że konsultacja tyle, druga konsultacja tyle, badanie USG tyle itd.
Czyli zastanówmy się, czy my w tym momencie nie będziemy jednak mieli do czynienia z sytuacją, w której podmiot leczniczy powinien pozyskać zgodę na przetwarzanie danych medycznych w tym konkretnym celu, żeby złożyć tę ofertę naszemu potencjalnemu pacjentowi? Wydaje mi się, że przynajmniej należałoby nad tym się zastanowić. Nie ukrywam, że myśl ta pojawiła mi się właśnie w kontekście lektury orzeczenia, o którym dzisiaj Państwu opowiadam. Tak, być może jest to troszeczkę za daleko idące, ale dopuśćmy taką myśl, jeżeli chcemy tak bardzo lege artis podejść do tematu przetwarzania danych medycznych również w placówkach medycznych, które z założenia tych zgód nie zbierają, chociaż jak Państwu pokazałem wcześniej, są przypadki, kiedy takie zgody zbierane mogą być i nawet powinny.
Teraz dochodzimy do sedna samego orzeczenia, a mianowicie sąd, popierając Urząd Ochrony Danych Osobowych w stanowisku urzędu w decyzji, stwierdził, że Kancelaria nie podejmowała wszystkich niezbędnych działań, aby po pierwsze zebrać, a po drugie wykazać się posiadaniem wyraźnych zgód ze strony klientów potencjalnych. Tu dochodzimy do kwestii zgody ustnej lub pisemnej. Z orzeczenia, ale nie tylko, tutaj również z orzecznictwa Urzędu Ochrony Danych, z piśmiennictwa, wynika bardzo wyraźnie, że w odniesieniu do danych medycznych, do zbierania danych medycznych, ze zgodą wyraźną będziemy mieli do czynienia w przypadku, jeżeli ta zgoda będzie miała mocniejszy charakter niż tylko zgoda ustna. Czyli zgoda ustna jako taka w tym przypadku nie jest, w ocenie sądów organu, nie jest wystarczająca. Co do zasady ja się z tym stanowiskiem jak najbardziej zgadzam i tutaj rzeczywiście nie należy w żaden sposób lekceważyć przetwarzania danych medycznych. Jakikolwiek podmiot, który przetwarza dane medyczne, w tym podmiot leczniczy czy podmioty farmaceutyczne, ale mówimy o podmiotach leczniczych, przetwarzające dane medyczne dla innych celów niż cele lecznicze, czyli ten art. 9, gdzie nie musimy mieć zgody, powinny być w stanie wykazać pozyskanie wyraźnej zgody.
Teraz oczywiście powstaje pytanie – jakie są tutaj metody? W tym przytoczonym przeze mnie przykładzie mamy rozmowę telefoniczną. No bo oczywiście jeżeli jesteśmy w stanie pozyskać w jakikolwiek sposób zgodę pisemną, podpis takiego potencjalnego pacjenta, klienta itd., to to jest absolutnie niepodważalne. Jeżeli mówimy o sytuacjach w internecie, czyli z kolei branża farmaceutyczna, czyli różnego typu platformy czy aplikacje, to tam oczywiście ta kwestia rozwiązywana jest najczęściej poprzez zaznaczenie odpowiedniego checkboxu, wyraźnej zgody z odesłaniem do polityki prywatności, klauzul informacyjnych itd. To, co jest kluczowe w przypadku takich zgód pozyskiwanych za pośrednictwem stron internetowych czy platform czy aplikacji itd., to kluczowe jest prowadzenie rejestru, wykazu, spisu, można to różnie nazywać, takich wyrażonych zgód i osób, które taką zgodę wyraziły. To też bardzo jasno wynika z przytoczonego przeze mnie w dniu dzisiejszym orzeczenia. Ten rejestr jest konieczny. Tu, co prawda, z jednej strony mamy kwestię rejestru, z drugiej strony oczywiście nie możemy też pominąć tego, że tu mieliśmy rozmowę telefoniczną. W rozmowie telefonicznej tutaj sąd proponuje, zresztą to też wynika z decyzji urzędu, nagrywanie tych rozmów telefonicznych tak, żeby być w stanie taką zgodę wykazać. Sąd bardzo wyraźnie podkreśla, że w tej sprawie brak jest jednoznacznych dowodów na to, że administrator te zgody pozyskał. Ciężar dowodu, że one zostały pozyskane, spoczywa w tym momencie na administratorze. Tak jak powiedziałem, tutaj sąd wskazuje chociażby właśnie wspomniany przeze mnie rejestr zgód. To jest dla mnie pewnego rodzaju wątpliwość, no bo tu mamy rozmowy telefoniczne, czyli tak na dobrą sprawę ten rejestr zgód byłby bardzo jednostronny, to znaczy oczywiście o kwestii prowadzenia takich rejestrów możemy przeczytać zarówno w wytycznych Grupy Roboczej 29, możemy wyczytać także w wytycznych RODO. Tutaj źródeł jest sporo. Ten rejestr jest wskazywany. Natomiast w przypadku akurat rozmów telefonicznych to jest dla mnie pewnego rodzaju wątpliwość, no bo mimo wszystko mamy tutaj jednostronnie prowadzony taki rejestr, prowadzony przez pracownika. Ja mam pewne wątpliwości, czy to tak na dobrą sprawę różni się od tej zgody pozyskiwanej ustnie, jaki mamy tutaj dowód? Naturalnie jest to pewnego rodzaju wzmocnienie, ale mimo wszystko nie mamy dowodu aktywnego działania, a to jest też bardzo mocno podkreślane, jeżeli chodzi o to orzeczenie, aktywnego działania naszego, tutaj w tym wypadku potencjalnego klienta. Przenosząc na nasze podwórko podmiotów leczniczych, to w tym momencie musielibyśmy wykazać to aktywne działanie pacjenta. Wydaje się, że to ewentualne nagrywanie rozmów telefonicznych jest najlepszą metodą, najlepszym dowodem. Oczywiście dodatkowo w tym momencie taka rozmowa musi być zabezpieczona, musi być ewentualnie potem, jeżeli taki pacjent się nie pojawia, muszą być te rozmowy kasowane. Pacjent musi być poinformowany o tym, że jest nagrywany. To są elementy niezwykle ważne i elementy konieczne.
Tutaj jest kilka czynności, które należałoby podjąć. Oczywiście nagranie rozmowy telefonicznej według mnie nie wyklucza też ewentualnego rejestru. Rejestr jest prowadzony przez podmiot leczniczy czy przez jakąkolwiek inną firmę przetwarzające dane medyczne. Rejestr pozwala nam ustalić, że w ogóle taka zgoda była wyrażona, czyli generalnie możemy ewentualnie w tym momencie jej poszukiwać wśród nagrań, jeżeli takie nagrania posiadamy. Oczywiście tutaj jest wymienionych też kilka innych metod. Od formularza elektronicznego, o którym wspominałem, wysłanie wiadomości e-mail, przesłanie zeskanowanego dokumentu opatrzonego podpisem itd., czy chociażby dokumentu opatrzonego podpisem elektronicznym. Tych metod jest sporo. Tak na dobrą sprawę to zależy w tym momencie już od nas jako administratorów, z jakiej metody skorzystamy i co w swojej placówce wprowadzimy.
Natomiast na koniec, tak na dobrą sprawę, jakie tutaj są wnioski? Ja myślę, że każdy administrator, w tym momencie koncentruję się na administratorach medycznych i farmaceutycznych, do których przede wszystkim kierujemy nasze odcinki. Zastanawiałem się nad tym i tak na dobrą sprawę administrator powinien sobie mimo wszystko odpowiedzieć na trzy bardzo istotne pytania. To też wynika wprost z tego, czy jest to wynik analizy orzeczenia, o którym dzisiaj Państwu mówiłem.
Po pierwsze, administrator musi się zastanowić, czy dane dotyczące zdrowia są mu potrzebne do realizacji tego celu przetwarzania. No to bardzo dobrze było widać, czy to bardzo dobrze widać w treści orzeczenia, sąd wyraźnie stwierdził, że realizacja celu polegającego chociażby na zawarciu umowy itd., tutaj nie było konieczne przetwarzanie danych medycznych. Idąc dalej, czy jest to konieczne do realizacji usługi? Tutaj ukłon w stronę branży farmaceutycznej. Czy bez tych danych medycznych jest w ogóle możliwość realizacji określonej usługi względem tych klientów, pacjentów? Tak samo bardzo istotna rzecz – co z danymi medycznymi naszych pracowników w załącznikach do faktur? Tu z kolei też medycyna pracy, według mnie jest absolutnie niepotrzebne, jesteśmy w stanie sobie bez tego poradzić i z jednej strony zrealizować usługę, a z drugiej strony za nią zapłacić bez konieczności podawania tych danych medycznych, bo my tutaj nie mamy innej podstawy. Tylko i wyłącznie ewentualnie zgoda pracowników.
Druga kwestia i drugie pytanie to oczywiście jakie dane są nam potrzebne? Bo to, że nawet dojdziemy do wniosku, że dane medyczne w tym wypadku będą nam niezbędne i odpowiemy sobie twierdząco na to pierwsze pytanie, to jeszcze musimy sobie odpowiedzieć na pytanie, jakie dane medyczne będą nam potrzebne i czy w jakiś sposób możemy ograniczyć zakres tych danych medycznych? Proszę państwa, bo to też będzie podlegało ewentualnej ocenie i ma bardzo istotny charakter.
Tak na dobrą sprawę, ostatnie, trzecie pytanie to kwestia tego, czy jesteśmy w stanie wykazać tą ścieżkę pozyskiwania zgody i samą zgodę? Czyli to, o czym, co też wynika, jest esencją, że tak powiem, wspomnianego orzeczenia. Czy ta zgoda była wyraźna, czy ta zgoda zakładała określoną aktywność naszej osoby fizycznej, naszego klienta, pacjenta potencjalnego itd. i czy my jesteśmy w stanie tą ścieżkę pokazać? Czyli jeżeli dojdzie do kontroli, będziemy w stanie organowi pokazać w jaki sposób pozyskujemy te zgody, co się dzieje po drodze i jak je archiwizujemy, czy może archiwizujemy to złe słowo, jak je właśnie rejestrujemy, jak je zachowujemy, gdzie je przechowujemy? Jak to wygląda i czy w sytuacji, w której pacjent, klient chce pozyskać realizując swoje prawa, chce pozyskać informację, czy tą zgodę wyraził, jak wyraził, kiedy, gdzie? My jesteśmy w stanie w łatwy sposób do tej informacji dotrzeć.
To są, proszę Państwa, trzy pytania, które wydaje mi się, że należy sobie w pierwszej kolejności zadać, żeby w ogóle przetwarzać te dane medyczne na podstawie zgody, a co wydaje mi się też ważne, udało mi się, mam nadzieję, w dzisiejszym odcinku pokazać naszym Słuchaczom, że to przetwarzanie tych danych medycznych pacjentów czy potencjalnych pacjentów, czy pracowników, czy generalnie określonych osób nie opiera się zawsze i tylko na innej podstawie, na podstawie wynikającej z przepisów i czasem w określonych sytuacjach pozyskiwanie tej zgody wyraźnej jest potrzebne i konieczne.
To tyle w dzisiejszym odcinku. Serdecznie Państwu dziękuję za uwagę i już zapraszam na kolejny odcinek naszego podcastu. Dziękuję i do usłyszenia.