BLOG

Dowiedz się co jest naprawdę ważne.

Komu placówka medyczna może udostępniać Twoje dane osobowe?

Podstawowe zagrożenie dla zakładów opieki zdrowotnej, w związku możliwym naruszeniem przepisów z zakresu ochrony danych osobowych, związane jest z nie tylko z nieodpowiednim zabezpieczeniem prowadzonej w oparciu o wymogi stawiane przez aktualne ustawodawstwo dokumentacji medycznej pacjentów, ale również przede wszystkim w związku z jej bezprawnym, choć często nieświadomym, ujawnieniem. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta (dalej: u.p.p.) w sposób kompleksowy reguluje prawa pacjenta z perspektywy ochrony danych medycznych. Emanacją tego jest m.in. prawo do zachowania w tajemnicy okoliczności, o których osoba wykonująca zawód medyczny, w tym udzielająca świadczeń zdrowotnych, dowiedziała się w związku z wykonywaniem zawodu medycznego (art. 13 u.p.p.). Prawo to powinno być rozumiane szeroko – nie ogranicza się jedynie do danych o stanie zdrowia (danych stricte medycznych, będących jednocześnie danymi szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO), ale również do informacji ściśle związanych z osobą pacjenta, takimi jak imię, nazwisko, data urodzenia, numer PESEL, czy płeć.

Dokonywanie jakiejkolwiek operacji na danych osobowych, na podstawie art. 4 pkt 2) RODO, w kontekście zapewnienia ciągłości świadczeń zdrowotnych i wobec obowiązku rzetelnego zrealizowania prawa do zachowania tajemnicy, dostaje w pewnych przypadkach uszczerbku. Ukształtowana bowiem w ten sposób tajemnica zawodowa nie rozciąga się w istocie na osoby, które z punktu specyfiki funkcjonowania zakładu udzielającego świadczeń zdrowotnych, nie wykonują zawodu medycznego, a jednak muszą posiadać wgląd w całość, bądź w część dokumentacji medycznej, realizując czynności organizacyjne lub administracyjne. Bezspornym jest, że osoba zatrudniona w recepcji lub informatyk odpowiedzialny za monitorowanie bezpieczeństwa systemu teleinformatycznego, w którym przetwarzane są dane medyczne, nie jest zobowiązany do zachowania tajemnicy zawodowej, o której mowa jest w art. 13 u.p.p., a z racji wykonywanych czynności służbowych posiada dostęp do tego rodzaju danych osobowych. Takie rozwiązanie stanowiło lukę prawną, którą ostatecznie wyeliminowała stosunkowo niedawno nowelizacja ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Jednakże powstaje na gruncie tego fundamentalne pytanie o charakter tej tajemnicy, a przede wszystkim w zakresie skutków jej niezachowania. Nie ulega wszelkim wątpliwościom, że udostępnianie danych medycznych osobom, na których nie spoczywa szczególny obowiązek zachowania bezpieczeństwa i integralności tych danych, może rodzić ryzyko wystąpienia naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12) RODO.

Zgodnie z aktualnym ustawodawstwem, zakład opieki zdrowotnej realizuje prawo dostępu do dokumentacji medycznej dwóm grupom podmiotów. Do pierwszej z nich należą niewątpliwie pacjent, przedstawiciel ustawowy pacjenta, a także osoby przez nie upoważnione. Co więcej, w razie odmowy jej udostępnienia, pacjentowi przysługuje skarga do wojewódzkiego sądu administracyjnego, bądź roszczenie o udostępnienie dokumentacji na podstawie art. 189 k.p.c., w ramach powództwa o ustalenie prawa. Do drugiej kategorii podmiotów posiadających dostęp do dokumentacji medycznej należą podmioty wprost wskazane w ustawie. Zgodnie z u.p.p., podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną również m.in.:

  1. podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja medyczna jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
  2. organom władzy publicznej, w tym Rzecznikowi Praw Pacjenta, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych, a także konsultantom krajowym i wojewódzkim w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności nadzoru i kontroli;
  3. ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuratorom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem;
  4. wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych w zakresie prowadzonego postępowania;
  5. organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności w związku z prowadzonym przez nie postępowaniem.

Warto w tym miejscu zwrócić uwagę na fakt, że szeroki zakres podmiotów, którym z mocy ustawy zakład opieki zdrowotnej udostępnia na żądanie dokumentację medyczną, zatrudnia na potrzeby prawidłowego funkcjonowania nie tylko osoby, które zobowiązane są do zachowania w tajemnicy wszelkich okoliczności, o których osoby te dowiedziały się w toku udzielania świadczeń zdrowotnych, ale również zasoby ludzkie z zaplecza administracyjno-organizacyjnego, bez których niemożliwa byłaby realizacja przyznanych tym podmiotom ustawowych zadań.

Całokształt okoliczności, o których mowa powyżej, oraz mnogość podmiotów (i zatrudnianego przez nie personelu, w tym niemedycznego), mogących mieć dostęp do danych pacjenta, może generować wysokie ryzyko wystąpienia incydentu bezpieczeństwa informacji. Wyodrębnienie bowiem przez unijnego ustawodawcę katalogu zamkniętego danych uznanych za dane szczególnej kategorii w treści art. 9 ust. 1 RODO, a także ściśle reglamentowane podstawy ich przetwarzania (art. 9 ust. 2 RODO), daje asumpt do stwierdzenia, że każdy administrator czy podmiot przetwarzający, powinien położyć szczególny nacisk na wprowadzenie kompleksowych, rzetelnych środków i zasad ochrony tychże danych. Ochrona praw i wolności osób fizycznych (pacjentów) w związku z przetwarzaniem ich danych osobowych wymaga zatem wdrożenia przez placówki medyczne, udzielające świadczeń zdrowotnych, odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO w zakresie bezpiecznego i integralnego przetwarzania danych osobowych. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przede wszystkim przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default). Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania (np. programy informatyczne służące do wystawiania e-recept), należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.