Natalia Materna*

 

Wprowadzenie

Elektroniczna dokumentacja medyczna (dalej: EDM) jest przejawem obecnie postępującej informatyzacji systemu ochrony zdrowia. Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia[1] nakłada na placówki ochrony zdrowia obowiązek prowadzenia elektronicznej dokumentacji medycznej od dnia 1 sierpnia 2014 r. Jednakże z projektu założeń do projektu ustawy zmieniającej ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta[2] wynika, iż Ministerstwo Zdrowia zamierza odłożyć w czasie powszechną informatyzację ochrony zdrowia.Niemniej prace legislacyjne nad późniejszym wdrożeniem sytemu do dziś nie wyszły poza fazę prac nad projektem założeń mimo, iż do wejścia w życie obowiązku prowadzenia dokumentacji medycznej w formie elektronicznej pozostały jedynie trzy miesiące. Dlatego też w dniu 30 kwietnia 2014 r. Prezes Naczelnej Rady Lekarskiej zwrócił się z prośbą do Ministra Zdrowia o niezwłoczne zintensyfikowanie prac legislacyjnych dotyczącychobowiązku prowadzenia dokumentacji medycznej w postaci elektronicznej[3].

 

Nie oznacza to jednakże, iż rozważania na temat ochrony danych osobowych związanych z elektronizacją dokumentacji medycznej można odłożyć w czasie, ponieważ projekt „Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych” (P1) postępuje i z każdym kwartałem implementowane są jej nowe elementy.

Nowe przepisy określają ramy prawne dla zastosowania technik informatycznych do rejestrowania i przechowywania danych o stanie zdrowia pacjenta i przebiegu leczenia.

Celem niniejszej publikacji jest podjęcie próby oceny ochrony danych osobowych pacjentów w świetle uregulowań prawnych dotyczących prowadzenia elektronicznej dokumentacji medycznej. Należy wspomnieć, iż z uwagi na obszerny zakres analizowanego zagadnienia, stworzenie wyczerpującego opracowania powyższego tematu w ramach artykułu nie jest możliwe. Autor ma na celu jednakże wyeksponowanie najważniejszych problemów związanych z ochroną danych osobowych.

1.     Dane sensytywne

Ochronę danych osobowych regulują przepisy ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.)[4]. Art. 27 ust. 1 u.o.d.o. definiuje pojęcie danych wrażliwych, które – z uwagi na to, iż dotyczą bezpośrednio sfer należących do prywatności czy nawet intymności osoby fizycznej[5] – podlegają szczególnej ochronie prawnej. Do kategorii danych wrażliwych należą dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym.

Ochronę danych osobowych, w tym danych dotyczących stanu zdrowia, regulują również: ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta[6] wraz z właściwymi rozporządzeniami resortowymi. Zgodnie z art. 13 niniejszej ustawy pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego. W celu realizacji prawa pacjenta do tajemnicy informacji z nim związanych osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Z punktu widzenia ochrony danych wrażliwych istotną rolę odgrywają również następujące akty normatywne: ustawa 
z dnia 5 grudnia 1996 r.
o zawodach lekarza i lekarza dentysty[7], ustawa z dnia 15 listopada 2011 r. o zawodach pielęgniarki
i położnej[8] oraz ustawa z dnia 20 lipca 1950 r. o zawodzie felczera[9].

2.     E-dokumentacja medyczna, jako zbiór danych zawierający dane sensytywne

Zgodnie z art. 2 pkt 6 ustawy o systemie informacji
w ochronie zdrowia z dnia 28 kwietnia 2011 r.
[10] elektroniczna dokumentacja medyczna to :

a) dokument elektroniczny umożliwiający usługobiorcy uzyskanie świadczenia opieki zdrowotnej określonego rodzaju, w przypadku usługodawcy będącego świadczeniodawcą, o którym mowa w art. 5 pkt 41 lit. d ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych[11], apteką ogólnodostępną lub punktem aptecznym,

b) dokumentacja medyczna, o której mowa w ustawie
o prawach pacjenta i Rzeczniku Praw Pacjenta[12], wytworzona
w postaci elektronicznej, zawierająca dane o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, w tym dokument elektroniczny umożliwiający usługobiorcy uzyskanie świadczenia opieki zdrowotnej określonego rodzaju, w przypadku usługodawcy innego niż wymieniony w lit. a.

W myśl art. 7 pkt 1 u.o.d.o. elektroniczną dokumentację medyczną należy zakwalifikować jako zbiór danych[13], ponieważ posiada strukturę, zawiera zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. Elektroniczna dokumentacja medyczna zawiera zestaw danych o charakterze zwykłym, tj.: imię, nazwisko, datę urodzenia oraz dane osobowe o charakterze wrażliwym: dane o stanie zdrowia[14].

Należy wskazać, iż zgodnie z art. 43 ust. 1 pkt. 5 u.o.d.o. administratorzy zbioru danych dotyczących osób korzystających z ich usług medycznych są zwolnieni z obowiązku rejestracji
w
ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych, prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. Jednakże na zakładach opieki zdrowotnej ciąży obowiązek rejestracji w przypadku, gdy przetwarzają dane osobowe, które nie są danymi osób korzystających z usług medycznych, np. w sytuacji prowadzenia zbioru danych w postaci rejestru skarg i wniosków[15].

3.     Znaczenie dokumentacji medycznej

„Dokumentacja jest źródłem wiedzy przydatnej zwłaszcza do oceny stanu zdrowia pacjenta, oceny postępowania pracownika medycznego w związku z procesem diagnostyczno-terapeutycznym oraz do oceny organizacji udzielania świadczeń zdrowotnych przez danego świadczeniodawcę”[16].

Ponadto dokumentacja medyczna stanowi istotne źródło informacji dla takich podmiotów, jak m.in. Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia czy Główny Urząd Statystyczny. Poza tym, iż odgrywa ogromną rolę w procesie diagnozowania i leczenia pacjenta, jest także istotnym środkiem dowodowym w postępowaniu cywilnym i w postępowaniu karnym. Z uwagi na walor dowodowy dokumentację medyczną określa się często mianem „niemego świadka”[17].

Na gruncie prawa cywilnego dokumentacja medyczna, jako środek dowodowy ma szczególne znaczenie w postępowaniach dotyczących odpowiedzialności deliktowej oraz odpowiedzialności kontraktowej, a także w sprawach o ustalanie ojcostwa
i w sprawach o unieważnienie testamentu. Dokumentacja medyczna ma również istotne znaczenie w postępowaniu karnym, zwłaszcza w postępowaniach dotyczących przestępstw przeciwko życiu i zdrowiu, przeciwko bezpieczeństwu w komunikacji,
a także przestępstw przeciwko wolności seksualnej[18]. Dokumentacja medyczna jest również cennym środkiem dowodowym
w postępowaniu z zakresu prawa pracy i ubezpieczeń społecznych, jak również w postępowaniu w przedmiocie odpowiedzialności zawodowej personelu medycznego.

4.     Przetwarzanie danych osobowych pacjenta

Zgodnie z art. 7 pkt 2 u.o.d.o. przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych.

Zakłady opieki zdrowotnej przetwarzają dane osobowe pacjentów m.in. poprzez prowadzenie, sporządzanie, udostępnianie niszczenie, gromadzenie oraz wykorzystywanie dokumentacji medycznej[19].

Należy podkreślić, iż katalog operacji wykonywanych na danych osobowych zamieszczony wart. 7 pkt 2 u.o.d.o. nie jest katalogiem zamkniętym. W konsekwencji wykonywanie jakiejkolwiek operacji na danych osobowych, nawet innej niż wymieniona w tym przepisie, powinno być uznane za przetwarzanie danych osobowych, co implikuje stosowanie regulacji zawartej
w u.o.d.o.[20] W literaturze przedmiotu wskazuje się również, że samo czytanie danych osobowych przez administratora danych lub jego pracownika stanowi już przetwarzanie danych w rozumieniu u.o.d.o.[21]

Generalną zasadą, wynikającą z art. 27 ust. 1 u.o.d.o. jest zakaz przetwarzania wrażliwych danych osobowych. Jednakże
w tym samym artykule w ustępie 2 ustanowiono wyjątki od tej zasady. Wystąpienie choć jednej z przesłanek z art. 27 ust. 2 u.o.d.o. dopuszcza możliwość przetwarzania danych osobowych.

W myśl art. 27 ust. 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne gdy wystąpi choć jedna z następujących przesłanek:

1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą,
i stwarza pełne gwarancje ich ochrony;

3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;

4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością
i zapewnione są pełne gwarancje ochrony przetwarzanych danych;

5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;

9) jest to niezbędne do prowadzenia badań naukowych,
w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;

10) przetwarzanie danych jest prowadzone przez stronę
w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Istotne z punktu widzenia ochrony danych osobowych pacjenta jest ustalenie kręgu osób, o których mowa w art. 27 ust. 2 pkt. 7 u.o.d.o. (osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych). W literaturze przedmiotu wskazuje się, iż do takich osób należy zaliczyć lekarzy, pielęgniarki, cały personel pomocniczy, rehabilitantów, aptekarzy, osoby, które zarządzają udzielaniem usług medycznych[22], czyli osoby wykonujące rozmaite funkcje sekretarskie, funkcje związane z ewidencją pacjentów, prowadzeniem statystyki, archiwizacją dokumentów medycznych.

Należy wskazać, iż pojęcie „przetwarzania dokumentacji medycznej”, użyte w rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania[23] nie posiada definicji legalnej. Należy więc przyjąć, iż w myśl ustawy o ochronie danych osobowych przetwarzaniem dokumentacji medycznej będzie przetwarzanie danych osobowych zawartych w dokumentacji, będącej zbiorem danych osobowych pacjenta[24].

Zgodnie z art. 1 u.o.d.o. każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie
i trybie określonym ustawą. W myśl art. 26 u.o.d.o. administratorzy danych osobowych powinni dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności są obowiązani zapewnić, aby dane te były:

1)przetwarzane zgodnie z prawem;

2)zbierane dla oznaczonych, zgodnych z prawem celów
i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;

3)merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Artykuł 3 ust. 2 u.o.d.o. wskazuje, iż przepisy stosuje się m.in. do:

1) podmiotów niepublicznych realizujących zadania publiczne;

2) osób fizycznych i osób prawnych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, jeśli mają siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terenie RP.

Do pierwszej kategorii wymienionych wyżej podmiotów zalicza się m.in. niepubliczne podmioty lecznicze. Drugą kategorię stanowią m.in. samodzielne publiczne zakłady opieki zdrowotnej oraz indywidualne i grupowe praktyki lekarskie, pielęgniarskie i położnicze.Przetwarzanie danych osobowych przez wszystkie podmioty udzielające świadczeń zdrowotnych podlega zatem regulacjom zawartym w ustawie o ochronie danych osobowych[25]. W myśl art. 7 pkt 4 u.o.d.o. – świadczeniodawcy
są administratorami danych osobowych.

5.     Powierzenie przetwarzania danych osobowych zawartych w elektronicznej dokumentacji medycznej

Dostęp do dokumentacji medycznej przez inny podmiot, niż sam pacjent ma ścisły związek z prawem pacjenta do ochrony dotyczących go danych sensytywnych[26]. Aby zdefiniować pojęcie „powierzenia przetwarzania danych” należy odnieść się do art. 17 dyrektywy 95/46 oraz art. 31 u.o.d.o. W prawie europejskim powierzenie przetwarzania rozumiane jest jako przetwarzanie danych w imieniu administratora[27]. Zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE, przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocyktórych przetwarzający podlega administratorowi. Dla celów dowodowych powierzenieprzetwarzania danych powinno być sporządzone na piśmie lub w innej równorzędnej formie.Powierzenie przetwarzania danych reguluje również art. 31 u.o.d.o., zgodnie z którym podstawąpowierzenia może być tylko umowa, a podmiot, któremu dane powierzono, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.

Powierzenie może dotyczyć tylko określonych w umowie czynności związanych z przetwarzaniem danych.Administrator powierzając dane innemu podmiotowi nie traci nad nimi kontroli. Tym różni się powierzenie od udostępnienia danych osobowych, które również jest formą ujawnienia danych.Jednakże
w przypadku udostępnienia administrator danych nie posiada uprawnienia do decydowania o celach i środkach przetwarzania udostępnionych danych. Oznacza to, że mimo iż administrator nadal będzie w posiadaniu danych, które udostępnił innemu podmiotowi, nie będzie miał faktycznej kontroli nad nimi.

Polski ustawodawca nie określił precyzyjnie kryterium oceny gwarancji ochrony danych osobowych, o których mowa w art. 27 ust. 2 pkt 7. Jak słusznie wskazuje M. Kamiński, za takie kryterium można przyjąć podleganie osób przetwarzających takie dane obowiązkowi zachowania tajemnicy zawodowej[28]. Jednakże poza personelem medycznym trudno znaleźć grupę zawodową, która podlegałaby równorzędnemu obowiązkowi wynikającemu z przepisów powszechnie obowiązujących. Personel administracyjny placówek leczniczych, informatycy obsługujący system e-dokumentacji czy osoby rejestrujące nie podlegają obowiązkowi zachowania tajemnicy zawodowej wynikającemu
z przepisów powszechnie obowiązujących.

Wątpliwości budzi fakt, iż według ustawy administratorzy nie są obowiązani zgłaszać GIODO informacji na temat podmiotów, którym administratorzy powierzyli przetwarzanie danych osobowych pacjentów. Aby GIODO mógł dokonać kontroli podmiotów, którym powierzono przetwarzanie danych osobowych pacjenta, musi najpierw dysponować wiedzą o tym, że określony podmiot takie dane przetwarza.

Ponadto podmiot, któremu powierzono przetwarzanie danych osobowych nie ma obowiązku rejestracji zbiorów, ponieważ obowiązek taki spoczywa, zgodnie z art. 40 u.o.d.o., na administratorze. Nadto, jak wspomniano wcześniej, w myśl art. 43 ust. 1 pkt 5, placówki lecznicze zwolnione są z obowiązku rejestracji zbiorów danych osób korzystających. Na podstawie powyższych uwag wydaje się, iż powierzenie przetwarzania danych może rodzić w praktyce wiele trudności.

Istotny jest również fakt, iż podmioty zewnętrzne, którym zakład opieki zdrowotnej powierzył przetwarzanie danych nie są związane tajemnicą zawodową. Należy więc rozważyć, jak wobec tego kształtuje się możliwość powierzenia przetwarzania danych osobowych takim osobom[29]?

Co do zasady u.o.d.o. przewiduje możliwość powierzenia ich przetwarzania wyspecjalizowanym podmiotom. Jednakże poważne wątpliwości może budzić przetwarzanie danych objętych zakresem ustawowych tajemnic wynikających z przepisów dotyczących wykonywania zawodów medycznych. Według obowiązujących regulacji prawnychzlecanie przez administratorów danych osobowych pacjentów informatycznej obsługi przetwarzania tych danych innym, wyspecjalizowanym w tym zakresie podmiotom, jest niemożliwe.

Wynika to z wzajemnego stosunku przepisów ustawy
o ochronie danych osobowych i ustaw szczególnych
dotyczących wykonywania zawodów medycznych, które należy oceniać
w kontekście art. 5 u.o.d.o. Zgodnie z powyższym artykułem, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. W tym miejscu należy wskazać na wynikające z art. 13 i art. 14 ustawy
z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta tajemnice zawodowe[30]
. W artykule 14 ust. 2 niniejszej ustawy wskazano w formie katalogu zamkniętego wyjątki od obowiązku zachowania w tajemnicy informacji związanych
z pacjentem. Ustawodawca nie przewidział w powyższym przepisie „obsługi procesu przetwarzania danych w systemach informatycznych czy specjalistycznego sprzętu rejestrującego dane osobowe na rzecz podmiotów świadczących usługi zdrowotne”[31]. Ponadto w art. 26 analizowanej ustawy wskazano w sposób przedmiotowo–podmiotowy przypadki dopuszczalnego udostępniania dokumentacji medycznej[32]. Poza nimi udostępnianie dokumentacji medycznej jest zabronione. W analizowanej ustawie nie został też wskazany wyjątek dopuszczający powierzenie przetwarzania danych ani w przepisach dotyczących tajemnicy zawodowej ani w przepisach regulujących udostępnianie dokumentacji medycznej. Takie milczenie ustawodawcy w przedmiocie outsourcingu przesądza o niedopuszczalności ujawnienia poufnych danych w tym celu[33]. Jedyną podstawą umożliwiającą udostępnianie danych jest upoważnienie pacjenta, opierające się na oświadczeniu o zwolnieniu z obowiązku tajemnicy[34].
Jednakże należy wskazać, iż powierzenie przetwarzania danych osobowych pacjenta może nastąpić za jego zgodą (art. 27 ust. 2 pkt 1 u.o.d.o.). W takiej sytuacji zakład opieki zdrowotnej byłby zobowiązany do odebrania od każdego nowego pacjenta zgody na powierzenie innemu podmiotowi przetwarzania danych dotyczących jego stanu zdrowia. Wątpliwości budzi jednak przetwarzanie danych osobowych osób leczonych w przeszłości, których dane znajdują się już w archiwum placówki[35]. Kolejne trudności pojawiłby się w przypadku, gdyby chociaż jeden z pacjentów odmówił złożenia oświadczenia o wyrażeniu zgody na przetwarzanie jego danych przez inny podmiot. Mogłoby to utrudnić funkcjonowanie całego sytemu e-dokumentacji, opartego na powierzeniu przetwarzania danych innemu podmiotowi.

Ponadto obowiązek zachowania w tajemnicy danych związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu wynika również m.in. z przepisów ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty, ustawy z dnia 15 listopada 2011 r. o zawodach pielęgniarki i położnej oraz ustawy z dnia 20 lipca 1950 r. o zawodzie felczera.

Należy podkreślić, iż aby powierzenie danych osobowych przez administratorów przetwarzających dane pacjentów innym wyspecjalizowanym w tym zakresie podmiotom było zgodne z prawem, niezbędne jest istnienie przepisu rangi ustawowej wprost zezwalającego na takie postępowanie.

Warto wskazać, iż podobne relacje zachodzące pomiędzy przepisami ustawy o ochronie danych osobowych a innymi regulacjami sektorowymi wprowadzającymi tajemnice zawodowe mają miejsce w ustawie dnia 29 sierpnia 1997 r. Prawo bankowe[36], ustawie z dnia 22 maja 2003 r. o działalności ubezpieczeniowej[37] oraz w ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne[38]. Przepisy powyższych ustaw przewidują przekazanie danych niezbędnych do prowadzenia odpowiednio: działalności bankowej, ubezpieczeniowej czy telekomunikacyjnej innym podmiotom przez podmioty prowadzące wyżej wymienione rodzaje działalności oraz rozciągają na powyższe podmioty współpracujące obowiązek zachowania ustawowej tajemnicy[39].

W związku z tym należy wskazać, iż w przypadku powierzenia przetwarzania danych pacjenta niezbędne jest wprowadzenie dodatkowego przepisu rozciągającego obowiązek zachowania powyższej tajemnicy na podmioty, którym te dane są powierzane. Należy również zgodzić się ze stanowiskiem GIODO,
iż prawidłowo skonstruowana podstawa prawna do powierzenia danych pacjenta objętych tajemnicą zawodową powinna w sposób wyraźny określać krąg podmiotów uprawnionych do dostępu do informacji objętych tajemnicą, a także cel i zakres tego udostępnienia[40].

Tylko w taki sposób można zagwarantować ochronę danych osobowych pacjentów i zachowanie w tajemnicy informacji uzyskiwanych w związku z wykonywaniem zawodu medycznego.

Zakończenie

Reasumując, elektronizacja dokumentacji medycznej oznacza nowe możliwości, ale niesie również za sobą poważne zagrożenia. Powszechną praktyką podmiotów świadczących usługi medyczne może okazać się zlecanie przetwarzania danych osobowych pacjentów podmiotom wyspecjalizowanym w przetwarzaniu danych mimo braku podstaw prawnych, co może budzić uzasadnione wątpliwości, w aspekcie ochrony danych sensytywnych pacjentów.

W praktyce oznacza to bowiem, że informacje o pacjentach, takie jak przebyte choroby, dane o nałogach, a nawet informacje o kodzie genetycznym i życiu seksualnym będą przechowywane na serwerach poza siedzibą placówki medycznej.

Z drugiej strony warto podkreślić, iż prowadzenie dokumentacji medycznej w formie elektronicznej pod wieloma względami ma przewagę nad tradycyjną metodą papierową. Niewątpliwym atutem e-dokumentacji medycznej jest czytelność jej wpisów, a także eliminacja problemów związanych z magazynowaniem dokumentacji.

Jednakże w przypadku prowadzenia elektronicznej dokumentacji należy pamiętać o ochronie danych na każdym etapie istnienia bazy danych, włączając etap usuwania danych z systemu. Niewątpliwie nieodwracalne usunięcie danych z nośnika elektronicznego sprawia więcej trudności niż samo zniszczenie dokumentacji papierowej. Oznacza to, iż w przypadku dokumentacji elektronicznej samo zakończenie okresu przetwarzania danych jest bardzo istotnym momentem. 

Należy mieć na względzie, że centralny system informacji medycznej będzie największym zbiorem danych osobowych
w Polsce. Będzie zbiorem większym nawet od zbioru PESEL. Doświadczenie z wdrażania i funkcjonowania znacznie mniejszego systemu eWUŚ (system elektronicznej Weryfikacji Uprawnień Świadczeniobiorców) pokazuje, iż należy dołożyć szczególnej staranności przy tworzeniu odpowiednich regulacji prawnych gwarantujących zabezpieczenie sensytywnych danych osobowych. 

 

Bibliografia

Źródła Prawa

·         Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. 2014, poz. 17).

·         Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002, Nr 101, poz. 926 z późn. zm.).

·         Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta
i Rzeczniku Praw Pacjenta (Dz. U. 2012, poz. 159).

·         Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. Nr 113, poz. 657).

·         Ustawa z dnia 20 lipca 1950 r. o zawodzie felczera (Dz. U. 2012, poz. 1133).

·         Ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. 2011, Nr 277, poz. 1634).

·         Ustawa z dnia 15 listopada 2011 r. o zawodach pielęgniarki i położnej (Dz. U. Nr 174, poz. 1039).

·         Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. 2008, Nr 164, poz. 1027 z późn. zm.).

·         Ustawa dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2012, poz. 1376).

·         Ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. 2013, poz. 950).

·         Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. 2014, poz. 243).

Literatura

·         Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz, wyd.V., Warszawa 2011.

·         Bieliński A., Drozdowska U., Prowadzenie dokumentacji medycznej w formie elektronicznej na podstawie rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r.
w kontekście prawa pacjenta do ochrony danych medycznych
, e-Biuletyn 2007, nr 4.

·         Kamiński M., Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej, „Prawo Mediów Elektronicznych” 8 (2008), Dodatek do Monitora Prawniczego Nr 16 (2008).

·         Kordel K., Prowadzenie dokumentacji medycznej – implikacje dowodowe, „Prawo i Medycyna” 3 (2006), s. 100-110.

·         Krasucki A., Outsourcing danych osobowych w działalności przedsiębiorstw,Warszawa 2010.

·         Pochopień P. (red.) Dokumentacja medyczna, Warszawa 2012.

·         Sibiga G., Outsourcing informatyczny a ochrona poufności informacji,w: X-lecie CBKE. Księga pamiątkowa z okazji dziesięciolecia Centrum Badań Problemów Prawnych
i Ekonomicznych Komunikacji Elektronicznej i Studenckiego Koła Naukowego – Blok Prawa Komputerowego
,red. E. Galewska, S. Kotecka, Wrocław 2012.

Inne

·         Projekt założeń do projektu ustawy o zmianie ustawy
o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw 
z dnia 11 lipca 2013 r.

·         List Prezesa Naczelnej Rady Lekarskiej Macieja Hamankiewicza do Ministra Zdrowia z dnia 30.04.2014 r.

·         Wystąpienie GIODO z dnia 23 sierpnia 2011 r. do Ministra Zdrowia, DOLiS – 035-2464/11/MM.

 

Digital Medical Documentation
vs. Personal Data Protection

Summary

The article presents selected problems concerning digital medical documentation and protection of personal data.

Digital medical documentation is a manifestation of computerization of health system. The Act of 28 April 2011 on system of information in health care requires health care facilities
to maintain digital medical documentation from 1 August 2014.

Computerization of medical documentation means new opportunities but also poses a serious threat to the patients. Outsourcing of processing of personal data of patients could became a common practice of health care institutions despite of lack of legal grounds. The Personal Data Protection Act allows generally outsourcing of processing of personal data. The situation is different for statutory secrecy, when outsourcing involves access to confidential information for services providers. Personal data
of patients are covered by the professional secrecy of medical professions.

This may plant a justifiable doubts regarding the protection of sensitive data of patients.

In practice, it means that personal data of patient such
as medical history, information on addictions, and even information about the genetic code and the sexual life will be stored on servers outside the seat of health care institutions.

Słowa kluczowe: dane sensytywne, ochrona prawna, pacjent, tajemnice zawodowe.

Key words: sensible data, legal protection, patient, professional secrecy.



*Mgr Natalia Materna, doktorant, Katedra Prawa Technologii Informacyjnych
i Komunikacji Instytutu Administracji KUL; e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

[1]   Dz. U. Nr 113, poz. 657.

[3]  List Prezesa Naczelnej Rady Lekarskiej Macieja Hamankiewicza do Ministra Zdrowia
z dnia 30.04.2014 r.:  www.nil.org.pl/__data/assets/pdf_file/0009/95184/dokumentacja-elektroniczna-list-do-Ministra-Zdrowia-30.04.14.pdf [dostęp : 8.05.2014 r.].

[4]   Dz. U. 2002, Nr 101, poz. 926 z późn. zm.

[5]  J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 27 ustawy o ochronie danych osobowych, dostępny w SIP Legalis.

[6]  Dz. U. 2012, poz. 159.

[7]  Dz. U. 2011, Nr 277, poz. 1634.

[9]  Dz. U. 2012, poz. 1133.

[10] Dz. U. 2011, Nr 113, poz. 657.

[11] Dz. U. 2008, Nr 164, poz. 1027 z późn. zm.

[12] Dz. U. 2009, Nr 52, poz. 417 i Nr 76, poz. 641; Dz. U. 2010, Nr 96, poz. 620.

[13] Art. 7 u.o.d.o.: zbiorem danych jest każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

[14] P. Pochopień (red.), Dokumentacja medyczna, Warszawa 2012, dostępny w SIP LEX
nr 149835.

[15] Tamże.

[16]  Tamże.

[17] K. Kordel, Prowadzenie dokumentacji medycznej – implikacje dowodowe, „Prawo
i Medycyna” 3 (2006), s. 134.

[18]Pochopień (red.), Dokumentacja medyczna.

[19] Tamże.

[20] Por. J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 7 ustawy o ochronie danych osobowych, LEX 2011. Autorzy wskazują także inne przykładowe wykonywane operacje, mających za przedmiot dane osobowe, które należy uznać za przetwarzanie danych: „Terminem tym objęte są takie działania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.

[21] Tamże.

[22] Tamże, s. 534.

[23] Dz. U. 2014. poz. 177.

[24] Pochopień (red.), Dokumentacja medyczna.

[25] Tamże.

[26] A. Bieliński, U. Drozdowska, Prowadzenie dokumentacji medycznej w formie elektronicznej na podstawie rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w kontekście prawa pacjenta do ochrony danych medycznych, e-Biuletyn 2007, nr 4, s. 6.

[27] M. Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej, „Prawo Mediów Elektronicznych” 8 (2008), Dodatek do Monitora Prawniczego Nr 16 (2008), dostępny w SIP Legalis.

[28] Tamże.

[29] Tamże.

[30]Dz. U. 2012, poz. 159.

[31] G. Sibiga, Outsourcing informatyczny a ochrona poufności informacji, w: X-lecie CBKE. Księga pamiątkowa z okazji dziesięciolecia Centrum Badań Problemów Prawnych
i Ekonomicznych Komunikacji Elektronicznej i Studenckiego Koła Naukowego – Blok Prawa Komputerowego
, red. E. Galewska, S. Kotecka, Wrocław 2012, s. 186.

[32] Tamże.

[33] A. Krasucki, Outsourcing danych osobowych w działalności przedsiębiorstw, Warszawa 2010, s. 126-127.

[34] Sibiga, Outsourcing informatyczny a ochrona poufności informacji, s. 186.

[35] Kamiński, Powierzenie przetwarzania osobowych danych medycznych.

[36] Dz. U. 2012, poz. 1376.

[37] Dz. U. 2013, poz. 950.

[38] Dz. U. 2014, poz. 243.

[39] Wystąpienie GIODO z dnia 23 sierpnia 2011 r. do Ministra Zdrowia, DOLiS – 035-2464/11/MM.

[40] Tamże.