Newsy

AdobeStock_55746932.png

Prawo do poszanowania intymności i godności w szczególności w czasie udzielania świadczeń zdrowotnych jest jednym z podstawowych praw pacjenta wynikającym z art. 20 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta z dnia 6 listopada 2008r.

Pojęcie intymności i godności pacjenta jest bardzo szerokie. Godność człowieka, godność pacjenta wstępnie można ująć jako subiektywne przekonanie jednostki o jej autentycznej wartości jako człowieka, bez względu na to, czy jest zdrowa czy chora.

Prawo do poszanowania godności i intymności ma umocowanie w Konstytucji Rzeczypospolitej Polskiej i jest podniesione do praw podstawowych. Konstytucja RP już w preambule stwierdza istnienie przyrodzonej godności człowieka, charakteryzując ją w art. 30, jako przyrodzone, niezbywalne i nienaruszalne „źródło wolności i praw człowieka i obywatela”. Jest to jedyna konstytucyjna wartość, która nie może być ograniczona i jedna z klauzul generalnych stanowiących podstawę interpretacyjną całego systemu prawa. Godność człowieka jest podstawowym prawem podmiotowym jednostki. Dodatkowo godność jest dobrem osobistym chronionym przez prawo cywilne – w art. 23 Kodeksu Cywilnego.

godność – intymność 

Na poszanowanie godności człowieka składa się szereg wartości. Z punktu praw pacjenta na poszanowanie godności składa się prawo do intymności, a wyrazem tego prawa jest takie działanie podmiotu udzielającego świadczeń zdrowotnych, które tej sfery nie narusza. A contrario – przekroczeniem jest wprowadzenie takiego systemu monitorowania pacjentów, który przekracza granice wyznaczone przepisami prawa. Prawo pacjenta do ochrony intymności i godności obejmuje przyznanie mu prawa do poinformowania o monitoringu i do tego, że ma prawo do wyrażenia lub odmowy wyrażenia zgody na monitorowanie. Wskazanie, że prawo pacjenta do intymności i godności jest zapewnione przez to, że nie można zidentyfikować osoby pacjenta nie jest tutaj wystarczające. Poinformowanie pacjenta należy zaliczyć do elementarnego wymogu zachowania intymności i godności człowieka.

Sąd Najwyższy w wyroku z dnia 13 września 2019r. (VII SA/Wa 1545/19) potwierdził, że „intymność pacjenta, czyli bliskość, odnosić należy do wszelkich uczuć i działań związanych z udzielaniem świadczeń opieki zdrowotnej. Na tak pojmowaną intymność składa się: dbanie o dobro pacjenta, szacunek dla pacjenta, zrozumienie jego sytuacji, wymiana intymnych informacji, uważanie pacjenta za podmiot o najwyższej wartości. Intymność odnosi się zarówno do samej osoby pacjenta – do sfery jego życia wyłącznie osobistego, poufnego, jak i do relacji z innymi osobami, opartych na serdeczności i zażyłości. Naruszenie intymności pozostaje w związku z poczuciem wstydu. Strefa intymności jednostki ludzkiej powinna być poddana szczególnej ochronie, w myśl której tylko dana jednostka może rozporządzać tą wrażliwą sferą uczuć. Dlatego za słuszną należy uznać tezę, że jeżeli przepisy szczególne nie stanowią inaczej, to jedyną możliwość wkroczenia w sferę intymności człowieka daje wyrażenie zgody przez uprawnionego”.
W ww. wyroku SN wskazał także, że nie ma żadnego znaczenia to, czy kamery zainstalowane w miejscu udzielania pacjentom świadczeń zdrowotnych dokonują rejestracji obrazu w sposób umożliwiający, bądź nie, ich identyfikację, ani to też to, czy zapis z monitoringu jest rejestrowany. Samo umieszczenie funkcjonujących kamer w takich miejscach może wywoływać dyskomfort i poczucie wstydu u pacjentów, zaś świadomość możliwej obserwacji przez inne osoby prowadzi do naruszenia ich sfery intymnej. Jedyną więc możliwością naruszenia zgodnego z prawem tak pojmowanej intymności jest zgoda pacjenta, podjęta w sposób swobodny i dobrowolny, a nie „wymuszona” przez zaistniałą sytuację.

Powyższe prowadzi do obowiązku poinformowania pacjenta o zamiarze monitorowania w taki sposób, aby mógł świadomie wyrażać zgodę bądź sprzeciw – podczas udzielania świadczeń zdrowotnych. Warto także pamiętać, że nagrania monitoringu stanowią pewien zbiór danych osobowych, w tym również utrwalony przez monitoring wizerunek, co podlega ochronie prawnej. Jednak dla niniejszego opracowania najważniejszą kwestią jest fakt, że kamery nie mogą obejmować pacjentów – bez ich zgody – w pomieszczeniach, w których udzielane są świadczenia zdrowotne, w trakcie udzielania pacjentom tych świadczeń.

legalny monitoring 

Stosowanie monitoringu wizyjnego w placówkach medycznych wynika przede wszystkim z obowiązku zapewnienia bezpieczeństwa pacjentom, personelowi medycznemu oraz każdej osobie, która wchodzi na teren placówki. Jednak z uwagi na prawa pacjenta monitoring wizyjny może stanowić niekiedy naruszenie przepisów, bo nie jest dopuszczalny w każdym pomieszczeniu, a na administratorów danych nałożono szereg obowiązków w związku z jego stosowaniem. Monitoring wizyjny należy bez wątpienia uznać za formę, która w sposób bardzo intensywny narusza prawo do prywatności. Warto więc pamiętać, że monitoring wizyjny może być wykorzystywany wyłącznie zgodnie z przepisami prawa oraz w ściśle określonych celach.
monitoring w placówce

Zgodnie z treścią art. 23 a ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej kierownik podmiotu leczniczego może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring):
1. ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń;
2. w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 29 czerwca 2015r. (VII SA/Wa 787/15) stwierdził, że umieszczenie w gabinetach lekarskich w przychodni kamer jest działaniem podmiotu leczniczego o charakterze zorganizowanym i celowym, o którym mowa w art. 59 ust. 1 pkt 1 ustawy o prawach pacjenta, naruszającym zbiorowe prawa pacjentów do poszanowania intymności i godności, o których mowa w art. 20 ust. 1 ww. ustawy.

W tym zakresie Naczelny Sąd Administracyjny w wyroku z dnia 25 lutego 2020r. (II OSK 3837/19). wskazał, że „na poszanowanie godności człowieka składa się szereg wartości. Z punktu praw pacjenta na poszanowanie godności składa się prawo do intymności. Wyrazem tego prawa do poszanowania intymności jest takie działanie podmiotu udzielającego świadczeń zdrowotnych, które tej sfery nie narusza. Przekroczeniem jest wprowadzenie takiego systemu monitorowania pacjentów, który przekracza granice wyznaczone przepisami prawa. Prawo pacjenta do ochrony intymności i godności obejmuje przyznanie mu prawa do poinformowania o monitoringu i do tego, że ma prawo do wyrażenia lub odmowy wyrażenia zgody na monitorowanie. Nie można uznać za zasadne argumentacji, że prawo pacjenta do intymności i godności jest zapewnione przez to, że nie można zidentyfikować osoby pacjenta. Poinformowanie pacjenta i uzyskanie zgody należy zaliczyć do elementarnego wymogu zachowania intymności i godności człowieka”.

Warto przytoczyć także orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 grudnia 2016r. (VII SA/Wa 2109/16) wskazujące, że „instalowanie kamer w pomieszczeniach enumeratywnie nie wymienionych w rozporządzeniach Ministerstwa Zdrowia z dnia 26 czerwca 2012 r. w sprawie szczegółowych wymagań jakimi powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą oraz w rozporządzeniu z dnia 20 grudnia 2012 r. w sprawie standardów postępowania medycznego w dziedzinie anestezjologii i intensywnej terapii dla podmiotów wykonujących działalność leczniczą, a jedynie na zasadach ogólnych, powinno być dokonywane z poszanowaniem godności i intymności pacjentów. Naruszenie sfery dobra osobistego, jakim niewątpliwie jest intymność każdego człowieka, może być dokonane jedynie za jego zgodą. Zgoda na wkroczenie w sferę intymności poprzez rejestrowanie obrazu i dźwięku podczas udzielania świadczeń medycznych powinna być wyrażona w sytuacji swobodnej oraz dobrowolnie.

odpowiedzialność prawna

Prawa pacjenta, w tym prawo do poszanowania intymności, są na tyle ważne w polskim systemie prawnym, że lekarz (klinika, przychodnia) może ponosić odpowiedzialność cywilną za ich naruszenie nawet wtedy, gdy pacjent nie poniósł żadnej szkody. Wystarczy sam fakt naruszenia choćby jednego z tych praw i już mamy podstawę do dochodzenia przez pacjenta prawa do zadośćuczynienia za ich naruszenie.

Tak wypowiedział się między innymi Sąd Okręgowy w Łodzi w dniu 12 maja 2014 r. – zadośćuczynienie powinno być zasądzone, choćby pacjent nie poniósł żadnej szkody majątkowej. Zadośćuczynienie za naruszenie praw pacjenta nie jest bowiem zależne od tego, czy jednocześnie wystąpiła szkoda majątkowa na jego osobie, a więc czy doznał uszkodzenia ciała lub rozstroju zdrowia dającego podstawę do odszkodowania. Co ważne – zadośćuczynienie, a raczej jego wysokość, jaka może być zasądzona, nie jest ograniczone przepisami prawa. Dodatkowo – jeśli szkoda nie została poniesiona ubezpieczyciel nie musi wypłacać odszkodowania, zwłaszcza w sytuacji, gdy naruszenie praw pacjenta było zawinione. Dlatego nie należy myśleć, że ubezpieczenie gwarantuje lekarzowi całkowite bezpieczeństwo.

Marta Handzlik-Rosuł

———–
Marta Handzlik-Rosuł jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego, obecnie aplikantka adwokacka; specjalizuje się w prawie oświatowym i prawie pracy, a od niedawna także w prawie medycznym. Jest praktykującym prawnikiem z wieloletnim doświadczeniem zawodowym i byłym pracownikiem Ministerstwa Edukacji Narodowej, a także autorką książki „Finanse w oświacie. Prawo oświatowe w pytaniach i odpowiedziach” oraz licznych artykułów, aktualności i komentarzy.


attention-303861_640.png

Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył administracyjną karą pieniężną w wysokości ponad 85 tys. zł (decyzja z dnia 5 stycznia 2021r., DKE.561.11.2020) na placówkę medyczną:

  • za niewykonanie nakazu zawiadomienia pacjentów o naruszeniu ich danych osobowych
  • za brak przekazania im zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu .

Naruszenie polegało na nieuprawnionym skopiowaniu przez byłego pracownika danych osobowych 100 pacjentów z systemu informatycznego przychodni celem wykorzystania ich do marketingu własnych usług. Naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu.

W toku postępowania PUODO wezwał placówkę do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

Następnie PUODO wezwał placówkę m.in. do przedstawienia wykazu osób, którym przekazano ww. informacje o naruszeniu i zaleceń oraz informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii 10 przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Placówka w odpowiedzi wskazała, że nie jest w stanie takiej listy stworzyć, gdyż nie posiada wiedzy, których pacjentów dane zebrał ww. pracownik, zaś w placówce leczy się znacznie więcej osób, na skutek czego powiadomienie wszystkich o możliwości naruszenia ich danych osobowych było niewykonalne. Na skutek tego pacjenci nic nie wiedzieli o naruszeniu danych.

Zdaniem PUODO właściwe wywiązanie się z tego obowiązku pozwoliłoby pacjentom:

  • zrozumieć, na czym polegało naruszenie ochrony ich danych osobowych,
  • poznać możliwe konsekwencje zdarzenia
  • dałoby szansę dowiedzieć się, jakie działania mogą podjąć w celu zminimalizowania ewentualnych negatywnych skutków.

Przypomnieć trzeba, że zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem – powinno zawierać co najmniej następujące informacje:
– imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
– opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
– opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

W jeszcze innej sprawie PUODO (decyzja z dnia 20 listopada 2018 r., ZWAD.405.29.2018) wskazał, że zawiadomienia przesłane do osób, których dane dotyczą, nie są prawidłowe, jeżeli nie zawierają dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie mogą być narażone osoby, których dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia.

Karol Kolankiewicz
adwokat

———-
Karol Kolankiewicz jest adwokatem – członkiem Pomorskiej Izby Adwokackiej w Gdańsku; współzałożyciel Instytutu – Specjaliści Prawa Ochrony Zdrowia; od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; świadczy także usługi doradztwa prawnego dla podmiotów leczniczych; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych; autor licznych publikacji z zakresu prawa medycznego m.in. dla Pomorskiego Magazynu Lekarskiego, Wydawnictwa Wolters Kluwer Polska, czy Wydawnictwa Wiedza i Praktyka.


fever-310721_640.png

Ustawa z dnia 31 marca 2020r. dokonała zmiany także w zakresie rejestru przypadków zakażeń i zachorowań na chorobę zakaźną. Rejestr taki  mają obowiązek prowadzić wojewódzkie i powiatowe jednostki Sanepid’u oraz Główny Inspektor Sanitarny (art. 30 ust. 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych). Dodatkowo w tym zakresie obowiązuje Rozporządzenie Ministra Zdrowia z dnia 18 maja 2010r. w sprawie sposobu prowadzenia rejestru zakażeń i zachorowań na chorobę zakaźną oraz zgonów spowodowanych zakażeniem lub chorobą zakaźną, ich podejrzeń, przypadków stwierdzenia dodatniego wyniku badania laboratoryjnego oraz wzorów i terminów przekazywania raportów zawierających te informacje.

zakres danych w rejestrze

Rejestr chorób zakaźnych zawiera szczegółowe dane osoby zakażonej, chorej lub zmarłej z powodu choroby zakaźnej, a także osób narażonych na chorobę zakaźną lub podejrzanych o zakażenie lub chorobę zakaźną, tzn.:

1. imię i nazwisko;
2. datę urodzenia;
3. numer PESEL (gdy osobie nie nadano numeru – rodzaj i numer dokumentu potwierdzającego tożsamość);
4. płeć;
5. obywatelstwo;
6. dane o kraju pochodzenia;
7. adres miejsca zamieszkania;
8. informację o podejrzeniu lub rozpoznaniu choroby zakaźnej lub zakażenia lub ich wykluczeniu;
9. datę i przyczynę zgonu, jeżeli dotyczy;

Powyższy rejestr zawiera także dane mające znaczenie dla nadzoru epidemiologicznego oraz zapobiegania chorobom zakaźnym i zakażeniom i ich zwalczania, zgodnie z zasadami wiedzy medycznej, które, w zależności od rodzaju choroby lub zakażenia oraz okoliczności, obejmują:
a. charakterystykę podstawowych objawów klinicznych,
b. opis okoliczności wystąpienia zakażenia, zachorowania lub zgonu z powodu zakażenia lub choroby zakaźnej, ze szczególnym uwzględnieniem czynników ryzyka,
c. dane dotyczące przynależności do populacji kluczowych dla nadzoru epidemiologicznego nad danym zakażeniem lub chorobą zakaźną,
d. dane dotyczące postępowania diagnostycznego, wyniki badania klinicznego, badań dodatkowych i laboratoryjnych, charakterystykę fenotypową i genotypową biologicznego czynnika chorobotwórczego, w tym informacje o lekoopomości,
e. dane dotyczące schematu i wyników leczenia.

Administratorami powyższych danych gromadzonych w rejestrze są podmioty prowadzące rejestr chorób zakaźnych.

źródła informacji

  • w związku z dokonanym zgłoszeniem przez lekarza lub felczera w wyniku podejrzenia lub wystąpienia choroby zakaźnej > niezwłocznie, nie później jednak niż w ciągu 24 godzin od chwili powzięcia podejrzenia lub rozpoznania zakażenia, choroby zakaźnej lub zgonu z powodu zakażenia lub choroby zakaźnej;
  • na podstawie informacji przekazywanej przez diagnostę laboratoryjnego lub inną osobę uprawnioną do samodzielnego wykonywania czynności diagnostyki laboratoryjnej, w przypadku wykonania badania w kierunku biologicznego czynnika chorobotwórczego, co do którego istnieje obowiązek zgłoszenia go do rejestru > niezwłocznie, nie później jednak niż w ciągu 24 godzin od momentu uzyskania wyniku;
  • na podstawie danych o wynikach leczenia lub o wykluczeniu nosicielstwa u ozdrowieńca > od podmiotu leczniczego, w którym lekarz sprawuje opiekę medyczną nad osobą zakażoną lub chorą na chorobę zakaźną albo osobą podejrzaną o takie zakażenie lub zachorowanie, przekazuje do właściwego państwowego powiatowego inspektora sanitarnego;
  • uzyskane w ramach indywidualnego nadzoru epidemiologicznego;
  • dane udostępnione przez Narodowy Fundusz Zdrowia z rejestrów medycznych zawierających dane o udzielonych świadczeniach zdrowotnych oraz udostępnione z rejestrów medycznych prowadzonych w zakresie chorób zakaźnych i pasożytniczych( o których mowa w art. 19 ust. 1a pkt 14 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia).

przechowywanie i udostępnianie danych

Dane zgromadzone w rejestrach są przechowywane przez 50 lat, licząc od dnia dokonania wpisu tych danych do rejestru. Z kolei nazwiska i imiona, numery PESEL lub numery identyfikacyjne dokumentu tożsamości oraz dokładne adresy zamieszkania są usuwane z rejestru po upływie 10 lat, licząc od dnia dokonania wpisu tych danych do rejestru (§ 4 ww. rozporządzenia).

Udostępnienie danych z rejestru podmiotom uprawionym, następuje nieodpłatnie, przez udostępnienie rejestru do wglądu, sporządzenie kopii poświadczonej za zgodność z oryginałem lub sporządzenie kopii w formie pliku elektronicznego (§ 5 ww. rozporządzenia). .

Co do zasady pacjent nie może sprzeciwić się zgłoszeniu podejrzenia lub wystąpienia zachorowania na chorobę zakaźną. Jedynie w przypadku zakażenia ludzkim wirusem niedoboru odporności (HIV) i zespołu nabytego niedoboru odporności (AIDS) pacjent może zastrzec dane umożliwiające jego identyfikację (możliwość taką daje art. 41, ust. 1 i 2 ww. ustawy) W takim przypadku zgłoszenie lub rejestr zawierają: 1) inicjały imienia i nazwiska lub hasło; 2) wiek; 3) płeć; 4) nazwę powiatu właściwego ze względu na miejsce zamieszkania; 5) rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz drogę zakażenia.

Anna Olesiuk
adwokat
———–
Autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła Wydział Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych; od kilku lat świadczy usługi doradztwa prawnego dla Okręgowej Izby Lekarskiej w Białymstoku;


hallway-867226_640.jpg

Kwestia dopuszczalności stosowania monitoringu pomieszczeń w podmiotach wykonujących działalność leczniczą została uregulowana w art. 23a ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Z przytoczonego przepisu wynika, że kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
1.    ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
2.   w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów,  w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych
– za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).

Nagrania obrazu uzyskane w wyniku monitoringu pomieszczeń ogólnodostępnych, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane. Nagrania te można przechowywać przez okres nie dłuższy niż 3 miesiące od dnia nagrania, a po jego upływie uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Ponadto informacja o monitoringu pomieszczeń oraz informacja o tym, kto jest administratorem danych osobowych, zgodnie z przepisami rozporządzeniu Parlamentu Europejskiego i Rady /UE/2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), musi zostać podana do wiadomości pacjentów przez jej wywieszenie w widoczny sposób w miejscu udzielania świadczeń zdrowotnych oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej w przypadku podmiotu obowiązanego do jego prowadzenia.

Stosowanie monitoringu, regulują także przepisy prawa pracy. Zastosowanie monitoringu na podstawie art. 22² Kodeksu pracy dotyczy kontroli lub bezpieczeństwa pracowników. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. W tym przypadku pracodawca może przechowywać nagrania z monitoringu przez okres 3 miesięcy, chyba że nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania

Tomasz Kozak
radca prawny
——–

Autor od kilku świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Olsztynie; od 2017r. wykładowca z zakresu prawa medycznego i prawa pracy oraz z zakresu ochrony danych medycznych; specjalizuje się w sprawach związanych z prawem medycznym, jak również w sprawach cywilnych i z zakresu prawa pracy; od 2018r. pełni funkcję Inspektora Ochrony Danych w kilku podmiotach leczniczych oraz w warmińsko-mazurskim samorządzie lekarskim; lider Instytutu – Specjaliści Prawa Ochrony Zdrowia


question-2519654_640.png

W przypadku wystawienia e-recepty pacjent otrzymuje informację o wystawionej recepcie, w tym 4-cyfrowy numer wygenerowany w momencie zapisu recepty przez system informacji w ochronie zdrowia, umożliwiający dostęp do recepty (art. 96b ust. 1 pkt. 2 i ust. 2 ustawy – Prawo farmaceutyczne):

  1. na podany adres email (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
  2. w postaci wiadomości tekstowej SMS na podany numer telefonu (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
  3. w postaci wydruku > w przypadku braku wskazania w systemie informacji w ochronie zdrowia numeru telefonu lub adresu email lub na żądanie pacjenta;

Pacjent ma prawo otrzymać 4-cyfrowy kod dostępu do e-recepty także w innej uzgodnionej postaci:   

– w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania

– w przypadku badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku

Ustawa nie zawiera przy tym wskazówki o jaką „inną uzgodnioną postać” chodzi, można zatem przyjąć, że będzie to także informacja przekazana w trakcie rozmowy telefonicznej. Nie istnieje żaden zakaz ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej > od razu zaznaczyć należy, że taką informację może przekazać jedynie lekarz – osoba wystawiająca receptę (art. 96b ust. 3 ustawy – Prawo farmaceutyczne).

Przypomnieć należy także, że zabronione jest udzielanie jakichkolwiek danych dot. zdrowia osobom, których tożsamość nie jest znana takiej osobie uprawnionej lub tożsamość których nie została odpowiednio zweryfikowana. W swoi artykule Urząd Ochrony Danych Osobowych podpowiada, aby prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna nastąpiło np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd. (https://uodo.gov.pl/pl/138/1361).

 

Karol Kolankiewicz


adwokat, Prezes Zarządu ISPOZ, od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych;  


lung-cancer-disease-1200x940.jpg

Prawa pacjenta uzyskały rangę ustawową i jako katalog zostały wpisane do ustawy z dnia 8 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta. Usystematyzowano w ten sposób i nadano doniosłość prawną grupie uprawnień chroniących elementarne interesy pacjentów, które dotąd rozproszone były w różnych aktach normatywnych nieraz o dość niskiej randze.

W samym założeniu prawa pacjenta, podniesione do rangi ustawowej, miały i nadal mają na celu wzmocnienie pozycji pacjenta, który m.in. z uwagi na asymetrię wiedzy, skomplikowany i niezrozumiały system ochrony zdrowia wymaga prawnego zabezpieczenia swojej podmiotowości. Od tej pory sukcesywnie rozbudowuje się ta grupa praw i zdobywa coraz większe znaczenie w systemie prawa, co bezpośrednio przekłada się na bogatsze orzecznictwo i bardziej widoczne miejsce w doktrynie.

Katalog praw pacjenta składał się pierwotnie z 10 nazwanych i opisanych w przepisach ustawy praw, a obecnie mamy 11 zgrupowanych w poszczególnych rozdziałach uprawnień pacjentów. Wydawać by się mogło, że ilość tych prerogatyw nie zwiększa się nadmiernie. Jednakże największy rozwój w tej kwestii obserwujemy w regulacjach dotyczących sposobu realizacji tych praw. Wymusza to niejako postęp technologiczny, rozwój społeczeństwa informatycznego czy zmiana stosunków społecznych.
prawo do wglądu

Do grupy przepisów podlegających najczęstszej zmianie należą regulacje dotyczące prawa pacjenta do dokumentacji medycznej, zgrupowane w rozdziale 7 powołanej ustawy. Wśród przepisów szczegółowo określających zakres i sposoby realizacji tego prawa znajdziemy w art. 27 ust. 1 pkt. 1) prawo pacjenta do wglądu do dokumentacji medycznej – co nie budzi kontrowersji. Jednakże analizując ten przepis (w brzmieniu nadanym ustawą z dnia 23 marca 2017 r. o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw) zauważymy, że dokumentacja medyczna jest udostępniana do wglądu, „[…] w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych […] albo w siedzibie podmiotu udzielającego świadczeń [..]”. Przepis ten wszedł w życie z dniem 11 maja 2017 r. Próżno jednak szukać w uzasadnieniu jego wprowadzenia wskazania do czego de facto uprawnia i jak – zdaniem ustawodawcy – powinien być realizowany. Przez ponad 2 lata jego obowiązywania nie wypracowano sposobu wykonywania tego obowiązku przez podmioty udzielające świadczeń medycznych. W zasadzie jedyną praktyczną wskazówkę zawiera wskazany w samej treści ww. przepisu art. 27 ust. 1 pkt.1) obowiązek zapewnienia pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć. Druga wskazówka to wyłączenie spod tego obowiązku „medycznych czynności ratunkowych” (brak obowiązku po stronie SOR).

bazy danych w ochronie zdrowia

Pierwsze trudności interpretacyjne dotyczą pojęcia bazy danych, którego znaczenia ustawodawca nie określił. Wskazanie, że zakres owych „baz danych” odnosić ma się do ochrony zdrowia jest pojęciem zbyt szerokim. Kłopoty zaczynają się już z określeniem co to jest baza danych. W ustawie z dnia 27 lipca 2001 r. o ochronie baz danych, znajdujemy definicję ustawową, która określa iż: „baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości”. Jeśli dodamy do tego że pacjent ma prawo do uzyskania dostępu do wglądu do baz danych „w zakresie ochrony zdrowia” to rzeczywiście widać problem już w określeniu do jakich baz danych pacjent ma – choćby teoretyczne – prawo do wglądu. Można pokusić się o stwierdzenie, że do wszystkich, którymi dysponuje podmiot wykonujący świadczenia medyczne, gdyż wszelkie zbiory danych, jakie tworzy związane są z ochroną zdrowia, zatem mieszczą się w pojęciu bazy danych w zakresie ochrony zdrowia.

Nie można także pominąć zapisów ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Zgodnie z treścią art. 3 ust. 1 ww. ustawy system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane nie tylko o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, ale także o usługodawcach i pracownikach medycznych, czy kontrahentach.

ochrona danych

W świetle zapisów RODO pojawia się kolejne pytanie, czy dopuszczalne lub wręcz obowiązkowe jest nadanie uprawnień takiemu pacjentowi do użytkowania czy wręcz przetwarzania danych. Nie powinno budzić wątpliwości, że możliwość zapoznania się z bazą danych, w tym jej przeglądanie z możliwością wykonania zdjęć, to już użytkowanie systemu wykorzystywanego do dokumentowania i rozliczania świadczeń, ale także stanowi czynność przetwarzania w rozumieniu przepisów RODO.

problemy techniczne / organizacyjne

Kolejne trudności piętrzą się przy próbie technicznego i organizacyjnego sprostania temu obowiązkowi. Wydaje się, że należy udostępnić dane w taki sposób, aby pacjent miał dostęp tylko do swoich danych, np. aby przy przeglądaniu terminarza oddziału lub poradni albo kolejki oczekujących na świadczenia, miał możliwość wglądu jedynie do danych, które go dotyczą. Rozsądnym rozwiązaniem wydaje się przyjęcie, że wyznaczony pracownik pracuje na urządzeniu umożliwiającym wgląd do baz danych, a pacjent ma prawo tylko patrzeć, tak aby miała możliwość zrobić zdjęcia lub notatki. Nie jest wykluczone przyjęcie innego rozwiązania, tzn. że pacjent samodzielnie przeprowadza czynność zapoznania się z bazą danych (np. siada przy komputerze i samodzielnie obsługuje program) pod nadzorem wyznaczonego pracownika. Jest to jednak rozwiązanie obarczone realnym ryzykiem, że pacjent choćby przypadkowo uzyska dostęp do innych baz danych, czy dokona zmian w danym programie, a nawet przeprowadzi operację usunięcia jakichś danych. Wiązałoby się to wówczas z odpowiedzialnością placówki za naruszenie bezpieczeństwa utraconych lub zmodyfikowanych danych.

Wydaje się, że pacjenci nie wnioskują zbyt często o skorzystanie z uprawnienia wynikającego z tego przepisu. Nie zmienia to faktu, że istnieje zapis dający pacjentowi prawo, dla którego nie określono sposobu realizacji. Nadto jego realizacja – w przypadku próby literalnej interpretacji tego prawa – może spowodować naruszenie wielu innych przepisów.

Ustawowa ranga praw pacjenta i ich szczegółowe określenie ma, co do zasady, służyć ochronie żywotnych interesów pacjenta. Nie bardzo wiadomo jakiż to interes zabezpieczać ma uprawnienie wynikające z omawianego przepisu. Umiejscowienie w rozdziale 7 ww. ustawy może wskazywać, że chodzi w praktyce o umożliwienie pacjentowi przeglądania dokumentacji medycznej prowadzonej w formie elektronicznej. Jeśli tak, to zapis jest wyjątkowo niefortunny, a jeśli ustawodawca miał na myśli coś innego, to z całą pewnością wymaga on wykreślenia w takiej formie i wprowadzenia przepisu w brzmieniu jasnym i zrozumiałym, zgodnie z zasadą clara non sunt interpretanda.

odpowiedzią regulamin organizacyjny

Innym możliwym rozwiązaniem (przy przyjęciu założenia, że udostępnianie dokumentacji medycznej jest związane z organizacją udzielania świadczeń) jest uregulowanie prawa dostępu do baz danych w regulaminie organizacyjnym podmiotu leczniczego. Zgodnie z treścią art. 23 ust. 1 ustawy z dnia 15 kwietnia 2011r. o działalności leczniczej „sprawy dotyczące sposobu i warunków udzielania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą, nieuregulowane w ustawie lub statucie, określa regulamin organizacyjny ustalony przez kierownika”. Regulamin organizacyjny jest aktem wewnętrznym i powinien regulować m.in. organizację i zadania poszczególnych jednostek lub komórek organizacyjnych zakładu leczniczego oraz warunki współdziałania tych jednostek lub komórek dla zapewnienia sprawnego i efektywnego funkcjonowania podmiotu pod względem diagnostyczno-leczniczym, pielęgnacyjnym, rehabilitacyjnym i administracyjno-gospodarczym.
Pora na zmianę tego martwego w gruncie rzeczy przepisu lub co najmniej jego doprecyzowanie, kolejny ruch jest po stronie twórców przepisu, jeśli chcą szczycić się zapomnianym nieco mianem racjonalnego ustawodawcy.

                                               Anna Karkut                                                                    Karol Kolankiewicz

                                                  menedżer służby zdrowia, prawnik                                adwokat, Prezes Zarządu ISPOZ

                                                  Lider ISPOZ                          


ISPOZ 2017. Wszystkie prawa zastrzeżone.