Ochrona danych osobowych medycznych


  • Poradnik uwzględnia zmianę z 4.8.2016 r. ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (uwzględniono ogólne rozporządzenie unijne o ochronie danych osobowych, które zacznie obowiązywać w maju 2018 r.).
  • Książka omawia jak bezpiecznie przechowywać dokumentację medyczną, także po zakończeniu działalności przez lekarza lub pielęgniarkę. Wyjaśnia jak budować bezpieczeństwo elektronicznej dokumentacji medycznej.
  • Osoba zajmująca się ochroną danych osobowych znajdzie w książce wskazówki: jakie zapisy musi mieć umowa o powierzeniu przetwarzania danych osobowych medycznych wynikające z ustawy o ochronie danych osobowych a także przepisów sektorowych.
  • W publikacji zamieszczono liczne przykłady związane z prawidłowym przetwarzaniem szczególnej kategorii medycznych danych osobowych, wzory dokumentów i rozwiązań do zastosowania w jednostkach przetwarzających dane osobowe medyczne.
  • Książka uwzględnia wzory dokumentów i rozwiązań gotowych do zastosowania w jednostkach przetwarzających dane osobowe medyczne.

Fragment tekstu z poradnika:
Udostępnianie danych z dokumentacji medycznej po śmierci pacjenta
W dniu 4.8.2016 r. weszła w życie ustawa z 10.6.2016 r. o zmianie ustawy – Kodeks postępowania karnego, ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2016 r. poz. 1070). Wprowadziła ona zasadnicze zmiany m.in. w sferze dostępu do danych zawartych w dokumentacji medycznej po śmierci pacjenta. Dotychczasowe regulacje przewidywały, że po śmierci pacjenta prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia. Tymczasem konsekwencją wprowadzonych zmian pozbawiono w istocie pacjenta prawa do decydowania o kręgu upoważnionych do zapoznania się z takimi informacjami, a nabywcą tego prawa stała się osoba bliska. 

Rozwiązanie to należy uznać za wysoce wątpliwe. Pacjent jest bowiem co do zasady wyłącznym dysponentem informacji na temat swojego stanu zdrowia i powinien mieć możliwość decydowania o tym, kto zostanie dopuszczony do informacji objętych tajemnicą lekarską zarówno za jego życia, jak i po śmierci, zwłaszcza że w wielu sytuacjach dane zawarte w jego dokumentacji mają charakter bardzo osobisty, intymny, a sam pacjent może pozostawać w konflikcie z osobami bliskimi. Skoro zatem pozostawiona została mu możliwość decydowania za życia, komu dokumentacja medyczna może być udostępniona – a nie ma obowiązku wskazywania osoby bliskiej (zgodnie z art. 3 ust. 1 pkt 2 PrPacjRPPU – małżonka, krewnego lub powinowatego do drugiego stopnia w linii prostej, przedstawiciela ustawowego, osoby pozostającej we wspólnym pożyciu) – to tym bardziej nieuzasadnione jest pozbawianie go możliwości podjęcia decyzji co do kręgu odbiorców jego danych na wypadek jego śmierci. 

Dane zawarte w dokumentacji medycznej dotyczącej pacjenta zmarłego pozostają także niejednokrotnie – pod ochroną przepisów o ochronie danych osobowych, albowiem mogą w sposób pośredni dotyczyć także osób żyjących (np. w przypadku chorób genetycznych), osób wskazanych do kontaktu, osób upoważnionych za życia przez pacjenta, a w takiej sytuacji dostęp do wszystkich tych danych automatycznie nabywają osoby bliskie. Takie rozwiązanie wydaje się nie tylko niedopuszczalne z perspektywy istniejących przepisów o ochronie danych osobowych, ale także rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE L Nr 119 z 27.4.2016 r., s. 1; dalej: OchrOsFizR), w którym danym wrażliwym przyznana została szersza ochrona, co już dziś powinien uwzględniać krajowy ustawodawca (takie stanowisko zostało przedstawione przez GIODO w piśmie skierowanym do Przewodniczącego Komisji Ustawodawczej, Przewodniczącego Komisji Praw Człowieka Senatu RP z 23.6.2016 r., DOLIS-033-218/16/BG, www.giodo.gov.pl).

Prowadzenie dokumentacji medycznej w świetle nowych unijnych ram prawnych ochrony danych osobowych
Prowadzenie dokumentacji medycznej pomimo sukcesywnie uzupełnianych wytycznych ustawowych nie należy do zadań łatwych. Administratorzy danych zawartych w dokumentacji medycznej borykają się z wątpliwościami związanymi zarówno z interpretacją obowiązujących przepisów, jak i ich praktycznym stosowaniem. Dodatkowo należy mieć na względzie przeprowadzoną unifikację prawa ochrony danych osobowych, dokonaną w OchrOsFizR, które weszło w życie 24.5.2016 r. i zacznie być stosowane od 25.5.2018 r. 

Rozporządzenie to kreuje nowy model podejścia do kwestii ochrony danych osobowych zarówno w sektorze prywatnym, jak i w publicznym. Niektóre z wprowadzonych zmian mają nawet charakter nieznany dotychczasowemu prawu unijnemu. Z jednej strony rozporządzenie przyznaje osobom fizycznym nowe uprawnienia, zwiększając poziom ich ochrony, z drugiej strony nakłada na administratorów danych nowe obowiązki, do których już dziś należy zacząć się przygotowywać.
Rozporządzenie kreuje nowe mechanizmy zarządzania informacją w postaci np. informowania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych czy też wcześniejszym zgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu. Przewiduje także konieczność dokonania oceny skutków planowanego przedsięwzięcia dla ochrony danych, w szczególności gdy przetwarzanie związane jest z użyciem nowych technologii i opiera się m.in. na profilowaniu czy też przetwarzaniu szczególnych kategorii danych na dużą skalę, co będzie miało miejsce w przypadku wielu podmiotów prowadzących dokumentację medyczną. 

Skala wprowadzanych zmian będzie niewątpliwie wymagać wdrożenia nowych narzędzi technologicznych czy modyfikacji istniejących rozwiązań prawnych.

Ważne
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE L Nr 119 z 27.4.2016 r., s. 1) będzie stosowane wprost, co oznacza, iż w przypadku niezgodności przepisów prawa krajowego z jego regulacjami każdy podmiot danych będzie mógł domagać się bezpośredniego zastosowania przepisów rozporządzenia i egzekwować od naruszających jego prawa określonych roszczeń.

W przypadku udostępnienia danych zawartych w dokumentacji medycznej, niezależnie od tego, czy nastąpiło to w sposób umyślny, czy też było wynikiem winy nieumyślnej, osoba, której dane dotyczą, będzie mogła domagać się wprost stosownego odszkodowania. Również organ ochrony danych osobowych nabędzie uprawnienie do nakładania na administratora danych bądź przetwarzającego administracyjnych kar pieniężnych do 20 mln euro lub w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego obrotu światowego. 

Poszerzonym niewątpliwie obowiązkom administratora towarzyszą jednocześnie rozbudowane prawa podmiotów danych, które nabędą prawo do zapoznania się ze środowiskiem przetwarzania danych ich dotyczących w szerszej perspektywie. Przepisy omawianego OchrOsFizR muszą się zatem wpisać obowiązkowo do przeglądu dotychczasowych regulacji krajowych odnoszących się do ochrony prywatności. 

Szczególnego znaczenia owa analiza zgodności dotychczasowych rozwiązań prawnych i organizacyjnych z przepisami OchrOsFizR nabiera w przypadku przetwarzania danych osobowych wrażliwych zawartych w dokumentacji medycznej. W tym przypadku dochodzi bowiem do znacznej ingerencji w prawo do prywatności człowieka, a ingerencja ta nie może się odbywać bez jednoczesnego zapewnienia szczególnych gwarancji ochrony tych danych. Rozporządzenie zaostrzyło reżim odpowiedzialności za przetwarzanie danych osobowych wrażliwych, co oznacza, że sam proces przetwarzania tej kategorii danych obarczony jest ryzykiem ponoszenia dalej idących konsekwencji w przypadku niezrealizowania obowiązków administratora danych. 

W konsekwencji dotychczasowe niepełne, niespójne konstrukcje prawne odnoszące się do dokumentacji medycznej muszą ulec zmianie, a istniejące luki prawne powinny być jak najszybciej zniwelowane.

Zobacz także:

Więcej informacji na temat ochrony danych osobowych w podmiotach leczniczych znajdziesz w modułach Informacja publiczna, bezpieczeństwo publiczne; Ochrona zdrowia




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych