Oczywistym wydaje się fakt, że dane osobowe pacjentów powinny być chronione zgodnie z odpowiednimi zasadami, a nawet zasady te powinny być bardziej wymagające niż w przypadku „zwykłych” danych. W tym wpisie postaram się przybliżyć w skrócie problematykę związana z ochroną danych osób korzystających z usług medycznych oraz danych osobowych wykorzystywanych w działalności służby zdrowia.
Po pierwsze dane osobowe pacjenta przetwarzane w celu ochrony jego zdrowia podobnie jak inne dane umożliwiające w sposób pośredni lub bezpośredni identyfikację osoby fizycznej są chronione na zasadach ogólnych, wynikających z Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych („UODO”). W związku z tym, Administrator takich danych jest zobowiązany jak każdy inny Administrator danych osobowych do wykonywania obowiązków wynikających z UODO, w tym.:
- udzielania odpowiednich informacji w zakresie przetwarzanych danych,
- stosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
Administratorzy zwolnieni są natomiast z obowiązku rejestracji w bazie Generalnego Inspektora Ochrony Danych Osobowych zbiorów zawierających dane dotyczących osób korzystających z ich usług medycznych.
Za Administratorów danych osobowych pacjentów można uznać wszystkie podmioty decydujące o celach i środkach przetwarzania danych osobowych wobec osób objętych dokumentacją medyczną.
Należy zaznaczyć, że dane pacjentów w zakresie ich stanu zdrowia (zgodnie z art. 27 ust. 1 UODO) należą do kategorii tzw. danych wrażliwych. Przetwarzanie kategorii tych danych jest możliwe m.in. gdy gromadzenie oraz przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, a także zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7 UODO). Oczywiście wobec powyżej wskazanej podstawy prawnej przetwarzania, zastosowanie w takich przypadkach mają również inne przesłanki (wskazane w art. 27 ust. 2 UODO) warunkujące przetwarzanie danych wrażliwych.
Dane osobowe pacjentów gromadzone są głównie w tzw. dokumentacji medycznej. Zgodnie z art. 23 ust. 1 Ustawy z 06 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta („UPP”) pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych, a w celu realizacji tego prawa „podmiot udzielający świadczeń zdrowotnych (Administrator danych) jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną” (art. 24 ust. 1 UPP).
Na dokumentacje medyczną i tym samym na zakres danych gromadzonych oraz przetwarzanych przez Administratora w celu świadczenia usług medycznych składa się:
- oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości (w tym: nazwisko i imię, data urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość, w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania),
- oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych,
- opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych,
- datę sporządzenia.
Obecnie stan prawny nie wskazuje w jakiej formie ma być prowadzona powyżej wskazana dokumentacja, jednak zgodnie z Ustawą z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia w związku z Rozporządzeniem Ministra Zdrowia z dnia 09 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania do dnia 31 grudnia 2017 r. dokumentacja ta może być prowadzona w formie papierowej jak i elektronicznej. Sposób prowadzenia dokumentacji może okazać się bardzo problematyczny w aspekcie prowadzonych prac nad odpowiednimi systemami informatycznymi służącymi do tego celu.
Co do zasady dokumentacja medyczna może być udostępniania pacjentowi (osobie, której dane dotyczą) lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta (art. 26 ust. 1 UPP). W przypadku śmierci pacjenta prawo wglądu w dokumentację medyczną ma jedynie osoba upoważniona przez pacjenta za życia (art. 26 ust. 2 UPP). Administrator może również udostępniać dokumentację innym, enumeratywnie wskazanym w art. 26 ust. 3 UPP podmiotom. Do kręgu tych podmiotów należą m.in.:
- podmioty udzielające świadczeń zdrowotnych, jeżeli dokumentacja jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych,
- organy władzy publicznej, NFZ (…), w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności kontroli i nadzoru,
- zakłady ubezpieczeń, za zgodą pacjenta,
Dokumentacja medyczna jest udostępniana do wglądu (łącznie z dostępem do baz danych w zakresie ochrony zdrowia) w siedzibie podmiotu udzielającego świadczeń zdrowotnych. Warto pamiętać, że z dokumentacji można żądać sporządzenia wyciągów, odpisów oraz kopii lub też żądać wydania oryginału za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, jeżeli uprawniony organ lub podmiot żąda udostępnienia oryginałów tej dokumentacji. Za udostępnienie dokumentacji podmiot udzielający świadczeń zdrowotnych może pobierać opłatę.
Dokumentacja medyczna powinna być przechowywana 20 lat licząc od końca roku kalendarzowego, w którym dokonano ostatniego do niej wpisu. Wyjątkiem od powyższej zasady są obowiązki przechowywania dokumentacji w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia (30 lat od końca roku kalendarzowego w którym nastąpił zgon), zdjęć rentgenowskich (10 lat od końca roku kalendarzowego w którym wykonano zdjęcie), skierowań na badania lub zleceń lekarza (5 lat od końca roku kalendarzowego w którym udzielono świadczenia objętego skierowaniem), dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat.
Szczegółowe zasady rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania określa aktualnie Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r., a także inne tożsame akty wykonawcze Ministra właściwego do spraw wewnętrznych, Ministra Sprawiedliwości oraz Ministra Obrony Narodowej. Należy wskazać, że nowy projekt Rozporządzenia Ministra Zdrowia z dnia 09 listopada 2015 r.w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania został skierowany do ogłoszenia i ma zacząć obowiązywać po upływie 14 dni od ogłoszenia. W projekcie tym zaproponowano zmiany mające na celu dostosowanie przepisów dotyczących dokumentacji medycznej do wymogów jej prowadzenia w postaci elektronicznej. Z uwagi na fakt, iż do dnia 31 grudnia 2017 r. podmioty udzielające świadczeń zdrowotnych mogą prowadzić dokumentację medyczną zarówno w postaci papierowej, jaki i elektronicznej, konieczne jest uwzględnienie obu tych sytuacji w przepisach rozporządzenia, zwłaszcza że coraz więcej podmiotów wdraża elektroniczną dokumentację medyczną.
Rozporządzenie określa w szczególności:
- rodzaj dokumentacji medycznej oraz zakres informacji, dokumentów i danych, który obejmuje (indywidualna: zewnętrzna i wewnętrzna, zbiorcza),
- sposób, formę oraz warunki prowadzenia, przechowywania, wydania i udostępnienia dokumentacji,
- warunki dotyczące dokumentacji prowadzonej w postaci elektronicznej,
- wzory dokumentów (m.in. wzór karty: obserwacji porodu, zlecenia wyjazdu zespołu ratownictwa medycznego, książeczki zdrowia dziecka i in.).
Powyżej wskazane regulacje gwarantują pacjentowi w odpowiednim zakresie poszanowanie jego intymności, prywatności i godności. Bo jak stanowi art. 20 ust. 1 UPP „Pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych”. Wobec tego każdy pacjent powinien pamiętać, że w świetle obowiązujących przepisów posiada pewien zakres uprawnień w przedmiocie przetwarzania jego danych osobowych. Uprawnienia te wyrażone są m.in. w prawie do żądania (art. 32 UODO):
- uzyskania wyczerpującej informacji, czy taki zbiór danych istnieje, oraz do ustalenia administratora danych takiego zbioru, adresu jego siedziby i pełnej nazwy,
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące,
- uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,
- wniesienia sprzeciwu wobec przetwarzania danych.
Z kolei Administratorzy danych zawartych w dokumentacji medycznej powinni pamiętać o odpowiedzialności wynikającej z niedostosowania się do odpowiednich przepisów, w szczególności odpowiedzialności karnej.
Co warto podkreślić, branża medyczna pamięta również o przygotowaniu się na rozpoczęcie stosowania przepisów RODO – ogólnego rozporządzenia o ochronie danych osobowych, którego przepisy znajdą zastosowanie już w maju 2018 roku. Prace nad tym już trwają – 26 lipca br. odbyło się spotkanie, w którym udział wzięli m.in. Ministerstwo Zdrowia, Centrum Systemów Informacyjnych Ochrony Zdrowia i Centrum Monitorowania Jakości w Ochronie Zdrowia ze strony organów publicznych oraz m.in. Polska Federacja Szpitali, Fundacja Telemedyczna Grupa Robocza, Pracodawcy Medycyny Prywatnej, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, Polska Izba Informatyki i Telekomunikacji, Konfederacja Lewiatan i inne podmioty zainteresowane stworzeniem własnej branżowej regulacji w zakresie bezpieczeństwa informacji. Poparcia utworzenia kodeksu postępowania udzieliły również samorządy zawodów medycznych w postaci Naczelnej Izby Pielęgniarek i Położnych, Naczelnej Izby Aptekarskiej, Krajowej Izby Diagnostów Laboratoryjnych czy Krajowej Rady Fizjoterapeutów.
Podmioty z systemu opieki zdrowotnej przygotowanie się do RODO traktują zatem bardzo poważnie i współpracują ze sobą w tym zakresie, co zdecydowanie stanowi przykład dobrej praktyki branżowej.