Niezależnie od przyporządkowania danej placówki medycznej do kategorii podmiotów leczniczych wspólnym mianownik ich funkcjonowania stanowi przetwarzanie danych osobowych osób korzystających z ich usług.
W związku z RODO niezbędne stało się stworzenie regulacji branżowych dotyczących przetwarzania danych osobowych w podmiotach wykonujących działalność leczniczą i podmiotach przetwarzających. Taką regulację stanowi „Kodeks postępowania dla sektora ochrony zdrowia” wydany zgodnie z art. 40 rozporządzenia RODO.
Jego celem jest zapewnienie adekwatnego poziomu ochrony pacjentów w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia pacjentów.
Kodeks reguluje, między innymi, zasady weryfikacji tożsamości pacjentów. Przewiduje on, że wykonujący działalność leczniczą (podmiot leczniczy lub lekarz, pielęgniarka, położna lub fizjoterapeuta, wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową) ma obowiązek weryfikacji tożsamości pacjenta – m.in. w związku z udzielaniem świadczeń zdrowotnych.
Tożsamość pacjenta można zweryfikować np. przez kontrolę okazanego przez pacjenta dokumentu potwierdzającego tożsamość zawierającego co najmniej zdjęcie, imię i nazwisko oraz PESEL lub w przypadku jego braku inny numer jednoznacznie identyfikujący pacjenta.
Dokumentem potwierdzającym tożsamość jest przede wszystkim: dowód osobisty, legitymacja studencka, legitymacja szkolna, prawo jazdy, paszport lub inny dokument urzędowy ze zdjęciem.
Zgodnie z postanowieniami kodeksu wykonujący działalność leczniczą może utrwalić informację o:
- dacie weryfikacji tożsamości;
- rodzaju dokumentu, na podstawie którego zweryfikowano pacjenta.
Gdy w podmiocie wykonującym działalność leczniczą występuje więcej osób o tym samym imieniu i nazwisku – wówczas można utrwalić informację o PESEL-u osoby okazującej dowód tożsamości, jeżeli go nadano, a w przypadku osób, które nie mają nadanego PESEL-u – rodzaju i numerze dokumentu potwierdzającego tożsamość.
Uwzględniwszy to, nie ma bezpośrednich podstaw przetwarzania (żądania udostępnienia) numeru dowodu osobistego. Przetwarzanie innego numeru niż PESEL jest dopuszczone wyjątkowo w sytuacji, w której dana osoba nie ma nadanego PESEL-u. Wówczas uwzględniany jest numer dokumentu potwierdzającego tożsamość lub inny numer jednoznacznie identyfikujący pacjenta.
Zgodnie z informacjami zawartymi w „Przewodniku po RODO w służbie zdrowia” weryfikacja tożsamości pacjenta powinna odbywać się w sposób nieutrudniający dostępu do uzyskania świadczenia zdrowotnego.
Osoba rejestrująca prosi pacjenta o okazanie dokumentu weryfikującego tożsamość – jeżeli pacjent tego odmawia, można poprosić go o podanie PESEL-u lub innego numeru identyfikacji (gdy nie nadano PESEL-u).