Wystąpienie do Generalnego Inspektora Ochrony Danych Osobowych w sprawie niezgodnej z prawem praktyki pozyskiwania i przetwarzania danych osobowych pacjentów, mającej na celu poświadczenie faktu posiadania ubezpieczenia zdrowotnego z dnia 2012-03-14.
Wystąpienie do Generalnego Inspektora Ochrony Danych Osobowych w sprawie niezgodnej z prawem praktyki pozyskiwania i przetwarzania danych osobowych pacjentów, mającej na celu poświadczenie faktu posiadania ubezpieczenia zdrowotnego.
Ze skargi otrzymanej przez Rzecznika Praw Obywatelskich wynika, iż w jednym z zakładów opieki zdrowotnej personel medyczny ma obowiązek kserowania dokumentacji pacjentów zawierającej dane dotyczące uzyskiwanych przez nich dochodów (np. druki ZUS RMUA, czy wyciągi bankowe). Równocześnie pracownicy zostali zobowiązani do poświadczania kopii za zgodność z oryginałem i potwierdzania tego faktu własnoręcznym podpisem. Celem tych działań ma być poświadczanie faktu posiadania ubezpieczenia zdrowotnego. Działanie takie nie znajduje podstaw w obowiązującym porządku prawnym. W szczególności takiego trybu potwierdzania posiadania ubezpieczenia zdrowotnego nie przewiduje ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. W ocenie Rzecznika Praw Obywatelskich przedstawiona praktyka budzi poważne zastrzeżenia w świetle postanowień art. 51 Konstytucji RP. Ponadto, nie jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, czyli uzyskania świadczenia (art. 23 ust. 1 pkt 2 ustawy z dnia 19 sierpnia 1997 r. o ochronie danych osobowych). Rzecznik Praw Obywatelskich prosi o poinformowanie o podjętych działaniach i zajętym stanowisku w przedstawionej sprawie.
Generalny Inspektor Ochrony Danych Osobowych (19.04.2012 r.) poinformował, że otrzymuje ostatnio pisma, w których pacjenci przedstawiają wątpliwości i zastrzeżenia co do wymagania od nich przedstawiania dokumentów druku ZUS RMUA w celu potwierdzenia prawa do ubezpieczenia zdrowotnego. W tej sprawie kierowane były pisma do Ministra Zdrowia oraz Prezesa NFZ. Prezes NFZ wyjaśnił że "(...) osoby ubiegające się o udzielenie świadczenia opieki zdrowotnej mogą przedstawić między innymi potwierdzony przez płatnika imienny raport dla osoby ubezpieczonej ZUS RMUA (...)" oraz, że: "(...) pacjent nie musi okazywać świadczeniodawcy żadnych danych dotyczących wysokości osiąganego wynagrodzenia. Pacjent może to uczynić np. poprzez zakrycie danych dotyczących otrzymywanego wynagrodzenia". Podobne wyjaśnienia przedstawiło Ministerstwo Zdrowia. W odniesieniu do kserowania dokumentów w przedstawionej sytuacji, to istotne jest, aby podmiot, który przetwarza dane osobowe, legitymował się przede wszystkim podstawą prawną przetwarzania danych (np. jedną z przesłanek wskazanych w treści art. 23 ust. 1 i/lub art. 27 ust. 2 ustawy o ochronie danych osobowych), jak również, aby proces pozyskiwania danych nie prowadził do gromadzenia danych w zakresie szerszym, niż to jest konieczne dla realizacji celu, w jakim są one przetwarzane (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Kwestia zaś samego sposobu pozyskania przez administratora danych niezbędnych danych osobowych jest niejako drugorzędna w stosunku do spełnienia opisanych wyżej wymogów warunkujących proces przetwarzania danych osobowych.