Ochrona danych medycznych. Co wolno, czego nie wolno?

ochrona danych medycznychSzkolenie dotyczące ochrony danych medycznych cieszyło się wielkim zainteresowaniem. Poniżej zamieszczamy odpowiedzi ekspertów z kancelarii DZP na wybrane spośród 47 pytań, które zadali uczestnicy szkolenia. 

Uwaga: materiał archiwalny, opracowany wg. stanu prawnego na dzień 19.01.2017 r.

Komu placówka ma obowiązek udostępnić dokumentację pacjenta? Na wniosek sądu? Policji?

Katalog podmiotów, którym podmiot udzielający świadczeń zdrowotnych jest zobowiązany udostępnić dokumentację medyczną, znajduje się w przepisie art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Obejmuje on m.in. organy władzy publicznej, sądy, prokuraturę oraz uprawnione na mocy odrębnych ustaw organy i instytucje, jeżeli badanie zostało przeprowadzone na ich wniosek.

Czy nie chronimy danych osobowych po śmierci danej osoby? Komu możemy udostępnić dokumentację, jeśli nie mamy odpowiedniego upoważnienia złożonego przed śmiercią?

Ustawa o ochronie danych osobowych reguluje relacje pomiędzy osobami żyjącymi. Generalny Inspektor Ochrony Danych Osobowych stoi na stawisku, że ustawa ta ma zastosowanie wyłącznie do przetwarzania danych osobowych osób żyjących, a odmowę udzielania informacji na temat osób zmarłych z powołaniem się na ustawę o ochronie danych osobowych należy uznać za nieuzasadnioną. Należy jednak mieć na uwadze, że kult pamięci o osobie zmarłej stanowi dobro osobiste i podlega ochronie prawa cywilnego.

Silniejsza ochrona danych medycznych po śmierci pacjenta wynika z prawa medycznego. Na gruncie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta obowiązek zachowania w tajemnicy informacji związanych z pacjentem obowiązuje również po śmierci pacjenta. Wyjątki od tego obowiązku wskazane zostały w art. 14 przywołanej ustawy..

Po śmierci pacjenta, prawo wglądu w dokumentację medyczną ma tylko osoba upoważniona przez pacjenta za życia. W wyroku z dnia 18 listopada 2015 r. (II OSK 730/15) Naczelny Sąd Administracyjny uznał, że reguła wyrażona w art. 26 ust. 2 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta określająca uprawnienie do dostępu do dokumentacji medycznej po śmierci pacjenta, ma zastosowanie do wszystkich podmiotów wymienionych w art. 26 ust. 3 tej ustawy, a więc także osób prawnych.

Na co zwrócić uwagę w kontekście ustawy o ochronie danych osobowych przy propozycjach rynkowych rezygnacji z własnego hardware'u i przechowywania danych w chmurach?

W takiej sytuacji należy zwrócić szczególną uwagę na przepis art. 31 ustawy o ochronie danych osobowych i wynikające z niego wymogi. Dostawca usług IT jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 tej ustawy, oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Art. 24 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadza dodatkowe warunki zawarcia i realizacji umowy powierzenia przetwarzania danych zawartych w dokumentacji medycznej. Ustawa ta dopuszcza możliwość zawarcia przywołanej umowy po spełnieniu szeregu warunków:

  • zapewnienie ochrony danych osobowych;
  • zapewnienie prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umową przez podmiot przyjmujący te dane;
  • realizacja umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej;
  • podmiot, któremu powierzono przetwarzanie danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta.

W przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, który powierzył przetwarzanie danych osobowych.

Czy można udostępniać raporty medyczne (wraz z danymi osobowymi) firmom ubezpieczeniowym pacjenta, jeżeli pacjent podpisze oświadczenie, że klinika ma do tego prawo? Jeżeli tak - czy klinika musi szyfrować te dokumenty?

Katalog podmiotów, którym podmiot udzielający świadczeń zdrowotnych jest zobowiązany udostępnić dokumentację medyczną, znajduje się w przepisie art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Obejmuje on m.in., za zgodą pacjenta, zakłady ubezpieczeń.
Sposób udostępniania dokumentacji medycznej określa przepis art. 27 przywołanej ustawy. Może on następować m.in. za pośrednictwem środków komunikacji elektronicznej lub na informatycznym nośniku danych. Ustawa nie wprowadza tu wymogu szyfrowania dokumentów, jednak przekazanie dokumentów powinno odbywać się w sposób gwarantujący ich bezpieczeństwo (por. odpowiedź na pytanie nr 8).

Czy obecnie można prowadzić dokumentacje medyczną tylko w postaci elektronicznej?

Zgodnie z obecnym brzmieniem przepisu art. 56 ustawy o systemie informacji w ochronie zdrowia, elektroniczna dokumentacja medyczna może być wystawiana w postaci papierowej lub elektronicznej do dnia 31 grudnia 2017 r. Oznacza to, że aktualnie dokumentacja może być prowadzona w jednej z tych dwóch form lub w obydwu jednocześnie. Od 1 stycznia 2018 r. prowadzenie dokumentacji w formie elektronicznej będzie już obowiązkiem.


Przeczytaj także: 4 proste kroki do efektywności placówki medycznej