Praktyczny poradnik o ochronie danych osobowych medycznych

Ochrona danych osobowych medycznych

  • Prawidłowa ochrona danych osobowych jest bardzo ważna. Ma to jeszcze większe znaczenie wtedy, gdy same dane mają szczególne znaczenie z punktu widzenia ochrony prywatności – jest tak zwłaszcza w przypadku danych medycznych, czyli danych dotyczących stanu zdrowia. Przetwarzanie takich szczególnych danych osobowych zasadniczo jest zakazane. Wyjątkiem jest przetwarzanie ich w celu ochrony zdrowia, świadczenia usług medycznych lub leczenia przez osoby zawodowo zajmujące się leczeniem. Zbiory i systemy informatyczne zawierające dane są traktowane inaczej niż wszystkie pozostałe – administrator takich zbiorów i systemów ma dodatkowe obowiązki związane z ich prowadzeniem; w poradniku zawarto instrukcje, jak to zrobić.
  • W publikacji omawiono m.in. takie zagadnienia jak zasady przetwarzania danych osobowych w dokumentacji medycznej, outsourcing danych medycznych, zasady ochrony danych biometrycznych czy problem odpowiedzialności za naruszenie zasad ochrony danych. Atutem poradnika jest także szczegółowe przedstawienie zasad zabezpieczenia danych medycznych, poparte praktycznymi przykładami.
  • W publikacji zamieszczono liczne przykłady związane z prawidłowym przetwarzaniem szczególnej kategorii medycznych danych osobowych, wzory dokumentów i rozwiązań do zastosowania w jednostkach przetwarzających dane osobowe medyczne; uwzględniono ogólne rozporządzenie unijne o ochronie danych osobowych, które obowiązuje od 25 maja 2018 r. oraz przepisy ustawy z 10 maja 2018 r. o ochronie danych osobowych. Zespół autorów tworzą osoby z wieloletnią praktyką w ochronie danych osobowych, a także blisko współpracujący z podmiotami leczniczymi.

 

Fragment tekstu z poradnika:

 

Rozdział II. Przetwarzanie danych osobowych w dokumentacji medycznej

 

  1. Uwagi wstępne

Szybki postęp technologiczny oraz skala rozwoju nowoczesnych metod diagnostyki, leczenia czy też profilaktyki wymuszają generalnie zmianę podejścia do procesów zarządzania informacją. Zachodzące w obszarze medycyny zmiany nakłaniają świadczeniodawców usług medycznych oraz innych administratorów danych do dokonania ponownej oceny słuszności przyjmowanych dotychczas rozwiązań zarówno technicznych, jak i organizacyjnych; z kolei projektodawców – do ponownego przyjrzenia się aktualności i kompletności rozwiązań prawnych celem ich dostosowania do nowych potrzeb i nowych ryzyk, a wszystko to dla zapewnienia pełniejszej ochrony praw pacjentów. Do takiego rozumienia inwentaryzacji istniejących rozwiązań na poziomie zarówno krajowym, jak i międzynarodowym skłania głównie obowiązujące od kwietnia 2016 r. i stosowane od 25.5.2018 r. RODO. Wzmocniło ono i doprecyzowało prawa podmiotów danych oraz obowiązki podmiotów przetwarzających, jak również zapewniło równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenie tych przepisów w państwach członkowskich UE. W dniu 25.5.2018 r. minął okres przejściowy dla dostosowania wszystkich regulacji prawa polskiego do przepisów RODO, a w zakresie, w jakim nie zostało to uczynione, RODO będzie miało bezpośrednie zastosowanie. Rozporządzenie wyraźnie akcentuje potrzebę szczególnej ochrony danych, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do tej kategorii danych od 25.5.2018 r. zaliczają się: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane dotyczące stanu zdrowia, seksualności, orientacji seksualnej oraz dane biometryczne (art. 9 ust. 1 RODO). Zdefiniowane wprost zostały m.in.:

1) dane o stanie zdrowia – jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o jej stanie zdrowia,

2) dane genetyczne – jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej,

3) dane biometryczne – jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

 

Dla celów zdrowotnych takie szczególne kategorie danych powinny być przetwarzane przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej, przy czym prawo Unii lub państwa członkowskiego powinno przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, biometrycznych i danych o stanie zdrowia (motyw 53 preambuły RODO). W przepisach OchrDanychU nie zadecydowano o rozszerzeniu reżimu ochrony danych osobowych na osoby zmarłe, co nie oznacza, że takie dane nie korzystają z ochrony szczególnej, którą gwarantują inne regulacje (np. ustawa z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U. z 2017 r. poz. 1318 ze zm.; dalej: PrPacjRPPU).

Przykład

Jeśli rodzina zmarłego pacjenta wystąpi z wnioskiem o odszkodowanie za naruszenie przepisów o ochronie danych poprzez udostępnienie dokumentacji medycznej osobom nieuprawnionym, to na podstawie RODO wniosek taki będzie bezprzedmiotowy, gdyż ochrona danych dotyczy wyłącznie osób fizycznych, czyli osób żyjących. Niemniej jednak aktualne pozostanie roszczenie o naruszenie dóbr osobistych wobec nieuprawnionego udostępnienia dokumentacji medycznej, na podstawie przepisów prawa cywilnego (art. 23 i 24 ustawy z 23.4.1964 r. – Kodeks cywilny; t.j. Dz.U. z 2018 r. poz. 1025 ze zm.).

koniec

 

Na konieczność zwiększenia poziomu ochrony danych o stanie zdrowia RODO zwraca uwagę w wielu fragmentach, także przy okazji występowania tzw. interesu publicznego w dziedzinie zdrowia publicznego. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy, zakłady ubezpieczeń i banki (motyw 54 preambuły RODO). W tym kontekście dyskusyjna wydaje się dotychczasowa praktyka przekazywania całości dokumentacji medycznej zakładom ubezpieczeń, nawet za zgodą pacjenta, w sytuacji gdy wyrażał ją wyłącznie zakładowi ubezpieczeń, i to w sposób blankietowy, tzn. wyrażał zgodę na udostępnienie dokumentacji medycznej przez prowadzący ją bliżej nieokreślony krąg świadczeniodawców usług medycznych (na podstawie art. 26 ust. 3 pkt 7 PrPacjRPPU).

 

Podkreślić należy, że RODO nie kreuje kompletnie nowych rozwiązań, gdyż wiele zasad ukształtowanych na podstawie uchylonej 25.5.2018 r. dyrektywy 95/46/WE zachowuje aktualność, m.in. zasada legalizmu, przejrzystości przetwarzania, proporcjonalności, ograniczenia celu, ograniczenia okresu przechowywania, minimalizacji czy też prawidłowości danych. Ogólne rozporządzenie o ochronie danych wprowadziło jednakże i nowe rozwiązania, więc dla ich pełnego wdrożenia niezbędne jest zweryfikowanie istniejących procedur i praktyk.

 

Dokumentacja medyczna jest kluczową kwestią w procesie diagnostycznym i leczniczym każdego pacjenta. Jej prowadzenie jest zatem nie tylko wyrazem powinności administracyjnej podmiotów zobowiązanych do dokumentowania, ale wręcz przejawem realnej ochrony interesów życiowych pacjentów. Dokumentacja medyczna stanowi bezpośredni dowód na potwierdzenie przebiegu określonych działań związanych z realizacją usług medycznych, przyjętej strategii i procedur z tym związanych, niezbędny także dla oceny prawidłowości procesu przetwarzania danych osobowych w niej zawartych.

 

Dokumentacja taka może zarówno być nośnikiem danych (np. dokumentacja w formie papierowych akt), jak i stanowić samoistną bazę danych wpisujących się w katalog danych wrażliwych. Już bowiem informacje o prowadzeniu dokumentacji medycznej dla określonej osoby mogą być zakwalifikowane jako dane o stanie jej zdrowia. Generalnie wszelkie dane zawarte w dokumentacji medycznej należy traktować jako szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO. Treścią dokumentacji medycznej są zatem dane osobowe, i to dotyczące najwrażliwszych sfer prywatności każdego człowieka. Oprócz danych o stanie zdrowia mogą to być dane genetyczne, dane o seksualności, o schorzeniach, których źródłem są uzależnienia bądź nałogi, ujawniające pochodzenie rasowe i etniczne czy też dane określające przekonania religijne oraz światopoglądowe, np. gdy dany pacjent z uwagi na przekonania odmawia zgody na wykonanie określonego zabiegu.

 

Skierowanie przez zakład karny osoby odbywającej karę pozbawienia wolności do określonej placówki medycznej będzie skutkowało pozyskaniem danych dotyczących wyroku skazującego oraz innych naruszeń prawa, czyli danych o szczególnym charakterze (na podstawie art. 10 RODO), innych niż dane o stanie zdrowia, które zostaną włączone w poczet dokumentacji medycznej.

 

Poza zakresem i charakterem gromadzonych danych istotne znaczenie ma fakt, że nie dotyczą one wyłącznie pacjenta. Pozyskiwane i następnie eksploatowane dane osobowe odnoszą się także do osób trzecich, takich jak członkowie rodziny pacjenta, osoby bliskie, osoby wskazane do kontaktu czy też bezpośrednio upoważnione przez pacjenta do realizacji określonych procesów związanych z dostępem do dokumentacji. Gromadzone dane mogą być także danymi pseudonimowymi3 i dotyczyć także osób w żaden sposób pierwotnie z pacjentem niezwiązanych, a jednak będą to istotne dane dla realizacji procesu leczenia (np. dane dawców szpiku). Wśród danych zawartych w dokumentacji medycznej zawarte są także dane osób udzielających świadczeń zdrowotnych, a także innych osób wykonujących czynności pomocnicze przy udzielaniu takich świadczeń. Katalog danych zawartych w dokumentacji medycznej nie jest katalogiem zamkniętym (w art. 25 PrPacjRPPU ustawodawca posługuje się wyrażeniem „co najmniej”), co nie oznacza całkowicie dowolnego kształtowania jej zakresu podmiotowo-przedmiotowego.

Przykład

Jeżeli pacjent wskazuje np. osobę do kontaktu, nie oznacza to prawa do żądania od niego wszelkich danych osobowych takiej osoby, jak np. jej adresu stałego zameldowania, adresu e-mail czy też imion rodziców. Powinien być to jednak zakres pozwalający na konieczną identyfikację osoby celem wyeliminowania przypadków udostępnienia danych osobom nieupoważnionym.

 

Z tej perspektywy nie tylko prowadzenie dokumentacji medycznej, ale także zarządzanie nią wiąże się ze szczególną odpowiedzialnością podmiotów mających udział w tych procesach na poszczególnych etapach realizowanych zadań. Identyfikacja wszystkich „użytkowników” dokumentacji medycznej jest obowiązkiem każdego podmiotu udzielającego świadczeń zdrowotnych, odgrywającego jednocześnie rolę administratora danych osobowych4. Na administratorze danych spoczywa z kolei szereg obowiązków, a ich nieprzestrzeganie skutkować może także odpowiedzialnością karną (np. art. 107 ustawy z 10.5.2018 r. o ochronie danych osobowych; Dz.U. z 2018 r. poz. 1000), cywilną (art. 82 RODO) czy też administracyjno-finansową (art. 83 RODO).

Ważne

Należyte sprawowanie przez administratora danych funkcji kontrolno-nadzorczej procesów przetwarzania danych osobowych zawartych w dokumentacji medycznej wpisuje się w realizację prawa do poszanowania intymności i godności pacjenta. Naruszenie zasad właściwego zarządzania dokumentacją medyczną skutkować będzie naruszeniem przepisów o ochronie prywatności.

 

 

Zobacz także:

 

 

Więcej informacji na temat prawa i zarządzania w podmiotach leczniczych oraz praw pacjenta znajdziesz w module Ochrona zdrowia>>




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw nam swój numer telefonu
i adres e-mail, a skontaktujemy się z Tobą:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł