Prawie każdy z nas chciałby w pewnym momencie zostać przez kogoś zapomnianym. Może chodzić o dość prozaiczne przykłady – na przykład żeby Główny Inspektorat Transportu Drogowego zapomniał o zdjęciu, które zarejestrowała jedna z przydrożnych kamer. Zresztą całkiem niedawno minął mi przed oczyma artykuł, z którego wynikało, że tej instytucji przedawniło się około stu tysięcy mandatów za wykroczenia drogowe.
Możemy chcieć także aby zapomniał o nas windykator lub koleżanka, z którą za bardzo zintegrowaliśmy się na imprezie – nomen omen – integracyjnej. Sytuacji, w której chcemy zostać zapomniani może być więc całkiem sporo.
Jednak także system ochrony danych osobowych ma coś do powiedzenia w tej materii. Prawo do bycia zapomnianym to instytucja prawna wpisana do RODO. Jej kwintesencją jest prawo człowieka do żądania usunięcia danych osobowych przez administratora danych. Na przykład:
Nie chcemy aby w bazie danych jakiejś firmy (handlującej na przykład samozmywającymi się garnkami lub kołdrą, pod którą sypiał sam Jan III Sobieski) było nasze imię, nazwisko, numer telefonu (czyli nasze dane osobowe). Żądamy w takiej sytuacji, zaprzestania przetwarzania naszych danych. Na tak zgłoszone żądanie, podmiot powinien usunąć nas ze swojej bazy. Tak wygląda w teorii prawo do bycia zapomnianym.
W praktyce jest różnie. Akurat wczoraj, TSUE wydał wyrok, w sprawie Francja przeciwko koncern Google. Chodziło o to, że koncern pozwalał na znajdowanie w swojej wyszukiwarce osób, które wcześniej zażyczyły sobie ich usunięcia z wyników wyszukiwania. Google realizowało prawo na terenie Unii Europejskiej, jednak poza jej obszarem możliwe było wyszukanie osób, które wcześniej zażądały usunięcia. Europejski sąd wydał orzeczenie, w którym przyznał rację koncernowi – prawo do bycia zapomnianym nie obowiązuje w Chinach czy Boliwii (zwycięstwo na otarcie łez, bo całkiem niedawno Google zawarło ugodę z Francją w sprawie zaległych podatków).
Jednak wracając na nasze krajowe podwórko – prawo do bycia zapomnianym przeważnie nie obowiązuje w stosunku do podmiotów funkcjonujących w branży medycznej. Dlaczego?
Otóż, pacjent nie może zażądać usunięcia swojej historii choroby ze szpitalnego archiwum. Obowiązek przechowywania danych medycznych (dokumentacji medycznej) wynika z przepisów i nie jest uzależniony wyłącznie od woli pacjenta. W takim przypadku, administrator danych będzie mógł odmówić i powołać się na fakt, że przepisy prawa obligują go do przechowywania dokumentacji medycznej przez okres 20 lat (okresy retencji są różne, bo jeśli chodzi o skierowania – wynoszą 5 lat, a na przykład zdjęcia RTG – 10 lat).
Warto pamiętać, że chodzi o dokumentację medyczną! Jeżeli posiadamy inne dane dotyczące pacjenta (na przykład prowadziliśmy w przychodni akcję promowania zdrowego odżywiania i pacjent wypełniał personalną ankietę), wówczas na żądanie powinniśmy usunąć dane.
Nie mamy bowiem w tym zakresie obowiązku nałożonego przez przepisy prawa polskiego czy europejskiego.
Dodaj komentarz