Dokumentacja medyczna jest szczególnym zbiorem danych osobowych. Informacje zawarte w dokumentacji medycznej podlegają zaostrzonemu rygorowi ochrony prawnej, gdyż zaliczone są do kategorii danych wrażliwych, którym ustawodawca zapewnia szczególną ochronę. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych[1] określa jedynie ogólne zasady przetwarzania i ochrony danych osobowych (dotyczy przetwarzania danych osobowych zawartych nie tylko w dokumentacji medycznej), zaś skonkretyzowanie tychże zasad ma miejsce w szczególnych wobec jej regulacji, przepisach prawa. Zgodnie z art. 5 Uodo, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. W sytuacji braku przepisów regulujących w sposób szczegółowy zasady przetwarzania, w tym udostępniania, danych osobowych w określonej sprawie, zastosowanie znajduje ogólna regulacja wynikająca z Uodo. Dlatego też za każdym razem upoważnienie do udostępnienia dokumentacji medycznej musi znaleźć podstawę w akcie prawnym rangi ustawy, która może także odesłać do zgody pacjenta. Na podstawie delegacji ustawowej wydawane są ponadto szczegółowe rozporządzenia wykonawcze, regulujące warunki i tryb udostępniania dokumentacji medycznej. Kwestie dotyczące zasad i trybu udostępniania dokumentacji medycznej zostały szczegółowo uregulowane w ustawie z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej[2], w ustawie z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty[3] oraz w rozdziale 6 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania[4]. Zgodnie z art. 18 ust. 1 ustawy o zakładach opieki zdrowotnej i art. 41 ust. 1 ustawy o zawodach lekarza i lekarza dentysty, zakład opieki zdrowotnej jest obowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu. Z kolei art. 18 ust. 2 ustawy o zakładach opieki zdrowotnej i art. 40 ust. 1 ustawy zawodach lekarza i lekarza dentysty zobowiązują zakład opieki zdrowotnej do zapewnienia ochrony danych zawartych w dokumentacji medycznej.

Dokumentację medyczną podzielono na dokumentację indywidualną – odnosząca się do poszczególnych pacjentów korzystających ze świadczeń zdrowotnych zakładu, oraz dokumentację zbiorczą – odnosząca się do ogółu pacjentów korzystających ze świadczeń zdrowotnych zakładu lub określonych grup tych pacjentów[5]. Przepisy rozporządzenia w sprawie dokumentacji medycznej, poza podziałem na dwie kategorie dokumentacji medycznej, w sposób szczegółowy regulują okres i miejsce przechowywania tej dokumentacji. Zgodnie bowiem z § 45 ust. 1 rozporządzenia w sprawie dokumentacji medycznej, dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. Natomiast zakończoną dokumentację indywidualną wewnętrzną oraz zakończoną dokumentację zbiorczą wewnętrzną przechowuje archiwum zakładu[6], które posiada odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem i dostępem osób trzecich[7]. Zgodnie natomiast z art. 18 ust.4f ustawy o zakładach opieki zdrowotnej, dokumentacja medyczna jest przechowywana przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

Z przytoczonych powyżej przepisów jednoznacznie wynika, iż zakłady opieki zdrowotnej – w tym niepubliczne zakłady opieki zdrowotnej – są uprawnione do przetwarzania danych osobowych o stanie zdrowia, zawartych w archiwalnej dokumentacji lekarskiej, przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

Przepisy powoływanego rozporządzenia, w sposób szczegółowy regulują również sposób udostępniania dokumentacji medycznej. Stosownie, bowiem do § 53 ust. 1 przedmiotowego rozporządzenia, dokumentacja indywidualna wewnętrzna jest udostępniana na wniosek pacjenta, którego dotyczy, jego przedstawiciela ustawowego lub osoby przez niego upoważnionej, a w razie śmierci pacjenta – osoby przez niego upoważnionej do uzyskiwania dokumentacji w przypadku jego zgonu, na miejscu w zakładzie, za pośrednictwem lekarza prowadzącego[8]. Zgodnie natomiast z § 54 ust. 4 tego rozporządzenia, dokumentacje udostępnia się na zewnątrz zakładu w formie kopii, wyciągów bądź odpisów, chyba, że uprawniony organ żąda udostępnienia oryginałów tej dokumentacji[9].

Ponadto zakłady opieki zdrowotnej są zobowiązane na podstawie § 6 ust. 1 pkt 5 rozporządzenia Rady Ministrów z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy[10], wydać opinię lekarską dotyczącą wypadku, a tym samym udostępnić dane związane z leczeniem osób poszkodowanych w wypadku przy pracy. Zgodnie z ww. przepisem niezwłocznie po otrzymaniu wiadomości o wypadku zespół powypadkowy jest obowiązany przystąpić do ustalenia okoliczności i przyczyn wypadku, a w szczególności zasięgnąć opinii lekarza, a w razie potrzeby opinii innych specjalistów, w zakresie niezbędnym do oceny rodzaju i skutków wypadku. Jednocześnie administrator danych, decydujący o środkach i celach ich przetwarzania, powinien rozważyć za każdym razem, w sposób indywidualny, czy udostępnienie, w szczególności takich danych jak dane o stanie zdrowia, może nastąpić i czy istnieją ku temu podstawy prawne.

Stosownie do treści art. 27 ust. 1 Uodo, dane o stanie zdrowia, zawarte w dokumentacji medycznej, należą do kategorii danych „wrażliwych”, czyli szczególnie chronionych, których przetwarzanie poddane jest szczególnym rygorom, także w zakresie zabezpieczenia tego rodzaju danych. Komisja Europejska wielokrotnie zwracała uwagę, że „nieupoważnione ujawnienie stanu zdrowia lub diagnozy mogłoby mieć negatywny wpływ na osobiste i zawodowe życie jednostki”[11]. Ponadto Europejski Trybunał Praw Człowieka położył szczególny nacisk na poufność danych o stanie zdrowia: „poszanowanie poufności danych na temat zdrowia jest ważną zasadą w systemach prawnych wszystkich umawiających się stron konwencji. Kluczowe znaczenie ma nie tylko poszanowanie poczucia prywatności pacjenta, ale również ochrona jego zaufania do zawodów związanych ze służbą zdrowia oraz ogólnie do usług zdrowotnych”[12]. Zgodnie natomiast z treścią art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Powołany przepis ustawy o ochronie danych osobowych wprowadza zasadę adekwatności środków technicznych i organizacyjnych służących ochronie przetwarzanych danych. Zasada ta oznacza, iż obowiązkiem administratora danych jest dokonanie analizy kategorii przetwarzanych danych osobowych oraz rozpoznania zagrożeń dla przetwarzanych przez niego danych. Należy wziąć przede wszystkim pod uwagę metody przetwarzania danych – forma papierowa, systemy teleinformatyczne, jak również znaczenie przetwarzanych danych dla osób nieuprawnionych do dostępu do tych danych. Zgodnie z § 45 rozporządzenia w sprawie dokumentacji medycznej, kierownik zakładu jest odpowiedzialny za stworzenie warunków organizacyjnych i technicznych przechowywania dokumentacji zapewniających jej poufność, zabezpieczających przed dostępem osób nieupoważnionych, zniszczeniem lub zgubieniem oraz umożliwiających jej wykorzystanie bez zbędnej zwłoki. W świetle powyższego, środki organizacyjne i techniczne zastosowane do zabezpieczenia danych „wrażliwych”, jakimi są dane o stanie zdrowia, winny być bardziej zaawansowane niż w przypadku zabezpieczenia danych „zwykłych”.



[1] Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. Powoływanej dalej jako Uodo lub ustawa.

[2] Dz. U. z 2007 r. Nr 14, poz. 89 z późn. zm. Powoływana dalej jako ustawa o zakładach opieki zdrowotnej.

[3] Dz. U. z 2008 r. Nr 136,  poz. 857 z późn. zm. Powoływana dalej jako ustawa o zawodach lekarza i lekarza dentysty.

[4] Dz. U. Nr 247, poz. 1819 z późn. zm. Powoływanego dalej jako rozporządzenie w sprawie dokumentacji medycznej.

[5] § 2 ust. 1 rozporządzenia w sprawie dokumentacji medycznej.

[6] § 48 rozporządzenia w sprawie dokumentacji medycznej.

[7] § 49 rozporządzenia w sprawie dokumentacji medycznej.

[8] Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 września 2005 r. dotycząca przetwarzania danych osobowych po zakończeniu świadczenia usług medycznych; GI-DEC-310/05, s. 4.

[9] Tamże, s. 4.

[10] Dz. U. z 2009 r. Nr 105, poz. 870.

[11] Komisja Europejska, Zalecenie Komisji z dnia 2 lipca 2008 r. w sprawie transgranicznej interoperacyjności systemów elektronicznych kart zdrowia, notyfikowana jako dokument nr C(2008)3282 (Dz. U. L 190 z 18 lipca 2008 r., s. 0037 – 0043).

[12] Wyrok Europejskiego Trybunału Praw Człowieka z dnia 17 lipca 2008 r. I vs. Finland (sprawa nr 20511/03), pkt 38.

Eliza Źródło artykułu: http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/przetwarzanie-danych-osobowych-zawartych-w-dokumentacji-medycznej/
Autor:

  • authorOpublikowany przez:
  • writerOpublikowany: Grudzień 22, 2011
  • liveOpublikowane artykuły: 85

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

3 706 Spam Comments Blocked so far by Spam Free Wordpress

HTML tags are not allowed.



Wyślij Komentarz