Zacznijmy od początku, czym jest depozyt szpitalny? Zgodnie z art. 39 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, depozyt jest uprawnieniem pacjenta przebywającego w podmiocie leczniczym do przechowywania rzeczy wartościowych w trwale zamkniętym opakowaniu, oznaczonym nadrukiem lub pieczęcią zakładu oraz oznaczonym numerem, pod którym depozyt został ujawniony w księdze depozytów. Takie opakowanie przechowuje się zwykle w sejfie lub szafie pancernej zapewniającej bezpieczeństwo złożonych tam wartościowych rzeczy. Wartym nadmienienia jest również fakt, że podmiot leczniczy ma obowiązek prowadzenia takiego depozytu i musi to być działanie nieodpłatne. Dodatkowo kierownik jednostki zobowiązany jest do wyznaczenia odpowiedniej osoby, do przyjmowania i wydawania depozytu, jak również do prowadzenia księgi depozytów.

Na pierwszy rzut oka wszystko wydaje się jasne, niemniej, jeśli zagłębić się w możliwe sytuacje, które zdarzają się w naszej szarej codzienności, optyka zmienia się diametralnie.

UODO w swojej informacji porusza tematykę ewentualnego naruszenia prywatności z powodu wykonania przez podmiot leczniczy działań określonych w ustawie o likwidacji niepodjętych depozytów. Zgodnie z którą podmiot zobowiązany jest m. in. do opublikowania danych osobowych pacjenta (który pozostawił depozyt) w dzienniku poczytnym w danej miejscowości lub Biuletynie Informacji Publicznej. Nie dość, że w tym przypadku dochodzi do upublicznienia danych osobowych pacjenta, to w dodatku pojawia się wysokie ryzyko udostępnienia danych szczególnych kategorii dotyczących zdrowia tej osoby – gdyż pośrednio społeczeństwo informowane jest o fakcie przebywania w szpitalu. Sytuacja będzie tym gorsza, jeśli będziemy mieli do czynienia ze szpitalem specjalistycznym, który już przez swoją nazwę będzie sugerował ewentualną grupy jednostek chorobowych pacjenta, np. szpital psychiatryczny.
W tym miejscu pojawia się konflikt dotyczący metodyki prowadzenia depozytu szpitalnego z przepisami z zakresu ochrony danych osobowych. Wydaje się, że przy aktualnym stanie prawnym nie ma możliwości rozwiązania problemu w sposób idealny.

Pragnę podkreślić, iż prowadzenie rejestru szpitalnego winno znaleźć się, jako jedna z czynności przetwarzania w rejestrze czynności przetwarzania prowadzonym przez podmiot leczniczy. Ponadto opracowując politykę bezpieczeństwa danych osobowych w podmiocie opartą na ryzyku do tej czynności powinna zostać przeprowadzona analiza ryzyka, która ukaże wysokie ryzyko dla administratora możliwości pojawienia się naruszenia prywatności. Tu znów należy odnieść się do ustawowych uprawnień i możliwości administratora, który wskazane ryzyko, niejako musi zaakceptować. Istnieje możliwość mitygowania ryzyka, natomiast nie w każdym przypadku będzie ona możliwa do wykonania z powodu obecnego stanu prawnego, w tym miejscu pojawia się ciekawa sytuacja, gdy braki lub swoiste „nienadążanie” regulatora za zmieniającą się rzeczywistością (w tym prawną) mogą powodować negatywne skutki dla podmiotów administrujących danymi. Wydaje się, iż kolejny raz dochodzimy do przysłowiowej „ściany” – gdzie to administrator musi wyważyć co jest istotniejsze, czy prawo do prywatności, czy kwestia praw majątkowych do depozytu szpitalnego. Patrząc z perspektywy praw podstawowych, jakim jest prawo do prywatności waga powinna przechylać się na szalę dbałości o działanie zgodne z zabezpieczeniem danych osobowych pacjenta, jednak takie podejście naraża administratora na ryzyko roszczeń z tytułu niewywiązania się z obowiązków ustawowych (wynikających z ustawy o likwidacji niepodjętych depozytów).

Pragnę jednak zauważyć, że temat jest zdecydowanie szerszy i wykraczający poza uprawnienia do prywatności wynikające z RODO. Załóżmy tutaj sytuację, gdy pacjent znajdujący się szpitalu umiera pozostawiając po sobie depozyt szpitalny, który wchodzi do masy spadkowej. Dobrą praktyką w takich sytuacjach jest przekazanie depozytu na rzecz osoby, która została wskazana przez pacjenta (naturalnie za życia) do kontaktu. Do tego niezbędne jest okazanie dokumentu sądowego nabycia spadku lub aktu poświadczenia dziedziczenia uprawniające osobę do otrzymania depozytu. Natomiast często pacjenci trafiają do podmiotu leczniczego w stanie np. nieprzytomności lub braku świadomości, mając na sobie biżuterię, portfel z gotówką, itd. – takie rzeczy muszą trafić do depozytu szpitalnego. Jeśli taki pacjent umrze nie mamy wskazanych osób do kontaktu i pojawia się problem – komu przekazać depozyt – jeśli jeszcze rodzina lub najbliżsi wyrażą zainteresowanie zmarłym to problem będzie mniejszego „kalibru”, jednak czasami tak nie jest. Zgodnie z art. 6 ust. 5 przytoczonej wyżej ustawy o likwidacji niepodjętych depozytów z dnia 18 października 2016 r. przy spełnieniu przesłanek dotyczących niemożności skomunikowania się z prawnymi następcami, podmiot leczniczy wywiesza informację dotyczącą depozytu na tablicy informacyjnej w swojej siedzibie na okres 6 miesięcy, a jeśli szacowana wartość depozytu przekracza 5000 zł podmiot zobowiązany jest, do zamieszczenia ogłoszenia w poczytnym dzienniku lub w Biuletynie Informacji Publicznej. W takim stanie faktycznym, mamy do czynienia z osobą zmarłą, jak wiemy przepisy RODO dotyczą wyłącznie osób fizycznych, a zatem dane osoby zmarłej mogłyby zostać na podstawie tych przepisów udostępnione, ale pamiętajmy, że funkcjonujemy w oparciu o system prawny w którym uregulowania wynikające różnych aktów normatywnych przenikają się i wymuszają szersze spojrzenie na indywidualne sytuacje. Dokładnie taki przypadek mamy tutaj, ponieważ publikowanie informacji o zmarłym może naruszać ochronę „kultu pamięci”. W związku z art. 23 i 24 Kodeksu Cywilnego rodzina zmarłego ma prawo do ochrony dóbr osobistych, które mogą zostać naruszone przez opublikowanie informacji np. o szpitalu w którym przebywała zmarła osoba, tu znów najlepszym wydaje się przykład dotyczący placówki leczenia zdrowia psychicznego. Kult pamięci po zmarłym obejmuje uprawnienie najbliższych do zachowania obrazu zmarłego, takim jak został zapamiętany przez bliskich, a pośrednia informacja o leczeniu psychiatrycznym przekazana do publicznej wiadomości może stanowić znaczącą rysę na wizerunku osoby zmarłej. Kolejny raz dochodzi do sytuacji, gdy podmiot leczniczy narażony jest roszczenia, tym razem w związku z naruszeniem dóbr osobistych.

Zatem co w takich sytuacjach należy zrobić? W aktualnym stanie prawnym wydaje się, iż najkorzystniej pozostawić temat na poziomie rozmyślań akademickich i oddać pole do popisu ustawodawcy, aby ten wykonał swoją pracę. Jednak, żeby było to zrobione poprawnie trzeba zachować zasadę ciągłego „patrzenia na ręce”…

Źródło informacji:
https://uodo.gov.pl/pl/138/3454