Newsy

fever-310721_640.png

Ustawa z dnia 31 marca 2020r. dokonała zmiany także w zakresie rejestru przypadków zakażeń i zachorowań na chorobę zakaźną. Rejestr taki  mają obowiązek prowadzić wojewódzkie i powiatowe jednostki Sanepid’u oraz Główny Inspektor Sanitarny (art. 30 ust. 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych). Dodatkowo w tym zakresie obowiązuje Rozporządzenie Ministra Zdrowia z dnia 18 maja 2010r. w sprawie sposobu prowadzenia rejestru zakażeń i zachorowań na chorobę zakaźną oraz zgonów spowodowanych zakażeniem lub chorobą zakaźną, ich podejrzeń, przypadków stwierdzenia dodatniego wyniku badania laboratoryjnego oraz wzorów i terminów przekazywania raportów zawierających te informacje.

zakres danych w rejestrze

Rejestr chorób zakaźnych zawiera szczegółowe dane osoby zakażonej, chorej lub zmarłej z powodu choroby zakaźnej, a także osób narażonych na chorobę zakaźną lub podejrzanych o zakażenie lub chorobę zakaźną, tzn.:

1. imię i nazwisko;
2. datę urodzenia;
3. numer PESEL (gdy osobie nie nadano numeru – rodzaj i numer dokumentu potwierdzającego tożsamość);
4. płeć;
5. obywatelstwo;
6. dane o kraju pochodzenia;
7. adres miejsca zamieszkania;
8. informację o podejrzeniu lub rozpoznaniu choroby zakaźnej lub zakażenia lub ich wykluczeniu;
9. datę i przyczynę zgonu, jeżeli dotyczy;

Powyższy rejestr zawiera także dane mające znaczenie dla nadzoru epidemiologicznego oraz zapobiegania chorobom zakaźnym i zakażeniom i ich zwalczania, zgodnie z zasadami wiedzy medycznej, które, w zależności od rodzaju choroby lub zakażenia oraz okoliczności, obejmują:
a. charakterystykę podstawowych objawów klinicznych,
b. opis okoliczności wystąpienia zakażenia, zachorowania lub zgonu z powodu zakażenia lub choroby zakaźnej, ze szczególnym uwzględnieniem czynników ryzyka,
c. dane dotyczące przynależności do populacji kluczowych dla nadzoru epidemiologicznego nad danym zakażeniem lub chorobą zakaźną,
d. dane dotyczące postępowania diagnostycznego, wyniki badania klinicznego, badań dodatkowych i laboratoryjnych, charakterystykę fenotypową i genotypową biologicznego czynnika chorobotwórczego, w tym informacje o lekoopomości,
e. dane dotyczące schematu i wyników leczenia.

Administratorami powyższych danych gromadzonych w rejestrze są podmioty prowadzące rejestr chorób zakaźnych.

źródła informacji

  • w związku z dokonanym zgłoszeniem przez lekarza lub felczera w wyniku podejrzenia lub wystąpienia choroby zakaźnej > niezwłocznie, nie później jednak niż w ciągu 24 godzin od chwili powzięcia podejrzenia lub rozpoznania zakażenia, choroby zakaźnej lub zgonu z powodu zakażenia lub choroby zakaźnej;
  • na podstawie informacji przekazywanej przez diagnostę laboratoryjnego lub inną osobę uprawnioną do samodzielnego wykonywania czynności diagnostyki laboratoryjnej, w przypadku wykonania badania w kierunku biologicznego czynnika chorobotwórczego, co do którego istnieje obowiązek zgłoszenia go do rejestru > niezwłocznie, nie później jednak niż w ciągu 24 godzin od momentu uzyskania wyniku;
  • na podstawie danych o wynikach leczenia lub o wykluczeniu nosicielstwa u ozdrowieńca > od podmiotu leczniczego, w którym lekarz sprawuje opiekę medyczną nad osobą zakażoną lub chorą na chorobę zakaźną albo osobą podejrzaną o takie zakażenie lub zachorowanie, przekazuje do właściwego państwowego powiatowego inspektora sanitarnego;
  • uzyskane w ramach indywidualnego nadzoru epidemiologicznego;
  • dane udostępnione przez Narodowy Fundusz Zdrowia z rejestrów medycznych zawierających dane o udzielonych świadczeniach zdrowotnych oraz udostępnione z rejestrów medycznych prowadzonych w zakresie chorób zakaźnych i pasożytniczych( o których mowa w art. 19 ust. 1a pkt 14 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia).

przechowywanie i udostępnianie danych

Dane zgromadzone w rejestrach są przechowywane przez 50 lat, licząc od dnia dokonania wpisu tych danych do rejestru. Z kolei nazwiska i imiona, numery PESEL lub numery identyfikacyjne dokumentu tożsamości oraz dokładne adresy zamieszkania są usuwane z rejestru po upływie 10 lat, licząc od dnia dokonania wpisu tych danych do rejestru (§ 4 ww. rozporządzenia).

Udostępnienie danych z rejestru podmiotom uprawionym, następuje nieodpłatnie, przez udostępnienie rejestru do wglądu, sporządzenie kopii poświadczonej za zgodność z oryginałem lub sporządzenie kopii w formie pliku elektronicznego (§ 5 ww. rozporządzenia). .

Co do zasady pacjent nie może sprzeciwić się zgłoszeniu podejrzenia lub wystąpienia zachorowania na chorobę zakaźną. Jedynie w przypadku zakażenia ludzkim wirusem niedoboru odporności (HIV) i zespołu nabytego niedoboru odporności (AIDS) pacjent może zastrzec dane umożliwiające jego identyfikację (możliwość taką daje art. 41, ust. 1 i 2 ww. ustawy) W takim przypadku zgłoszenie lub rejestr zawierają: 1) inicjały imienia i nazwiska lub hasło; 2) wiek; 3) płeć; 4) nazwę powiatu właściwego ze względu na miejsce zamieszkania; 5) rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz drogę zakażenia.

Anna Olesiuk
adwokat
———–
Autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła Wydział Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych; od kilku lat świadczy usługi doradztwa prawnego dla Okręgowej Izby Lekarskiej w Białymstoku;


hallway-867226_640.jpg

Kwestia dopuszczalności stosowania monitoringu pomieszczeń w podmiotach wykonujących działalność leczniczą została uregulowana w art. 23a ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Z przytoczonego przepisu wynika, że kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
1.    ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
2.   w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów,  w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych
– za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).

Nagrania obrazu uzyskane w wyniku monitoringu pomieszczeń ogólnodostępnych, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane. Nagrania te można przechowywać przez okres nie dłuższy niż 3 miesiące od dnia nagrania, a po jego upływie uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Ponadto informacja o monitoringu pomieszczeń oraz informacja o tym, kto jest administratorem danych osobowych, zgodnie z przepisami rozporządzeniu Parlamentu Europejskiego i Rady /UE/2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), musi zostać podana do wiadomości pacjentów przez jej wywieszenie w widoczny sposób w miejscu udzielania świadczeń zdrowotnych oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej w przypadku podmiotu obowiązanego do jego prowadzenia.

Stosowanie monitoringu, regulują także przepisy prawa pracy. Zastosowanie monitoringu na podstawie art. 22² Kodeksu pracy dotyczy kontroli lub bezpieczeństwa pracowników. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. W tym przypadku pracodawca może przechowywać nagrania z monitoringu przez okres 3 miesięcy, chyba że nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania

Tomasz Kozak
radca prawny
——–

Autor od kilku świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Olsztynie; od 2017r. wykładowca z zakresu prawa medycznego i prawa pracy oraz z zakresu ochrony danych medycznych; specjalizuje się w sprawach związanych z prawem medycznym, jak również w sprawach cywilnych i z zakresu prawa pracy; od 2018r. pełni funkcję Inspektora Ochrony Danych w kilku podmiotach leczniczych oraz w warmińsko-mazurskim samorządzie lekarskim; lider Instytutu – Specjaliści Prawa Ochrony Zdrowia


question-2519654_640.png

W przypadku wystawienia e-recepty pacjent otrzymuje informację o wystawionej recepcie, w tym 4-cyfrowy numer wygenerowany w momencie zapisu recepty przez system informacji w ochronie zdrowia, umożliwiający dostęp do recepty (art. 96b ust. 1 pkt. 2 i ust. 2 ustawy – Prawo farmaceutyczne):

  1. na podany adres email (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
  2. w postaci wiadomości tekstowej SMS na podany numer telefonu (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
  3. w postaci wydruku > w przypadku braku wskazania w systemie informacji w ochronie zdrowia numeru telefonu lub adresu email lub na żądanie pacjenta;

Pacjent ma prawo otrzymać 4-cyfrowy kod dostępu do e-recepty także w innej uzgodnionej postaci:   

– w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania

– w przypadku badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku

Ustawa nie zawiera przy tym wskazówki o jaką „inną uzgodnioną postać” chodzi, można zatem przyjąć, że będzie to także informacja przekazana w trakcie rozmowy telefonicznej. Nie istnieje żaden zakaz ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej > od razu zaznaczyć należy, że taką informację może przekazać jedynie lekarz – osoba wystawiająca receptę (art. 96b ust. 3 ustawy – Prawo farmaceutyczne).

Przypomnieć należy także, że zabronione jest udzielanie jakichkolwiek danych dot. zdrowia osobom, których tożsamość nie jest znana takiej osobie uprawnionej lub tożsamość których nie została odpowiednio zweryfikowana. W swoi artykule Urząd Ochrony Danych Osobowych podpowiada, aby prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna nastąpiło np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd. (https://uodo.gov.pl/pl/138/1361).

 

Karol Kolankiewicz


adwokat, Prezes Zarządu ISPOZ, od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych;  


lung-cancer-disease-1200x940.jpg

Prawa pacjenta uzyskały rangę ustawową i jako katalog zostały wpisane do ustawy z dnia 8 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta. Usystematyzowano w ten sposób i nadano doniosłość prawną grupie uprawnień chroniących elementarne interesy pacjentów, które dotąd rozproszone były w różnych aktach normatywnych nieraz o dość niskiej randze.

W samym założeniu prawa pacjenta, podniesione do rangi ustawowej, miały i nadal mają na celu wzmocnienie pozycji pacjenta, który m.in. z uwagi na asymetrię wiedzy, skomplikowany i niezrozumiały system ochrony zdrowia wymaga prawnego zabezpieczenia swojej podmiotowości. Od tej pory sukcesywnie rozbudowuje się ta grupa praw i zdobywa coraz większe znaczenie w systemie prawa, co bezpośrednio przekłada się na bogatsze orzecznictwo i bardziej widoczne miejsce w doktrynie.

Katalog praw pacjenta składał się pierwotnie z 10 nazwanych i opisanych w przepisach ustawy praw, a obecnie mamy 11 zgrupowanych w poszczególnych rozdziałach uprawnień pacjentów. Wydawać by się mogło, że ilość tych prerogatyw nie zwiększa się nadmiernie. Jednakże największy rozwój w tej kwestii obserwujemy w regulacjach dotyczących sposobu realizacji tych praw. Wymusza to niejako postęp technologiczny, rozwój społeczeństwa informatycznego czy zmiana stosunków społecznych.
prawo do wglądu

Do grupy przepisów podlegających najczęstszej zmianie należą regulacje dotyczące prawa pacjenta do dokumentacji medycznej, zgrupowane w rozdziale 7 powołanej ustawy. Wśród przepisów szczegółowo określających zakres i sposoby realizacji tego prawa znajdziemy w art. 27 ust. 1 pkt. 1) prawo pacjenta do wglądu do dokumentacji medycznej – co nie budzi kontrowersji. Jednakże analizując ten przepis (w brzmieniu nadanym ustawą z dnia 23 marca 2017 r. o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw) zauważymy, że dokumentacja medyczna jest udostępniana do wglądu, „[…] w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych […] albo w siedzibie podmiotu udzielającego świadczeń [..]”. Przepis ten wszedł w życie z dniem 11 maja 2017 r. Próżno jednak szukać w uzasadnieniu jego wprowadzenia wskazania do czego de facto uprawnia i jak – zdaniem ustawodawcy – powinien być realizowany. Przez ponad 2 lata jego obowiązywania nie wypracowano sposobu wykonywania tego obowiązku przez podmioty udzielające świadczeń medycznych. W zasadzie jedyną praktyczną wskazówkę zawiera wskazany w samej treści ww. przepisu art. 27 ust. 1 pkt.1) obowiązek zapewnienia pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć. Druga wskazówka to wyłączenie spod tego obowiązku „medycznych czynności ratunkowych” (brak obowiązku po stronie SOR).

bazy danych w ochronie zdrowia

Pierwsze trudności interpretacyjne dotyczą pojęcia bazy danych, którego znaczenia ustawodawca nie określił. Wskazanie, że zakres owych „baz danych” odnosić ma się do ochrony zdrowia jest pojęciem zbyt szerokim. Kłopoty zaczynają się już z określeniem co to jest baza danych. W ustawie z dnia 27 lipca 2001 r. o ochronie baz danych, znajdujemy definicję ustawową, która określa iż: „baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości”. Jeśli dodamy do tego że pacjent ma prawo do uzyskania dostępu do wglądu do baz danych „w zakresie ochrony zdrowia” to rzeczywiście widać problem już w określeniu do jakich baz danych pacjent ma – choćby teoretyczne – prawo do wglądu. Można pokusić się o stwierdzenie, że do wszystkich, którymi dysponuje podmiot wykonujący świadczenia medyczne, gdyż wszelkie zbiory danych, jakie tworzy związane są z ochroną zdrowia, zatem mieszczą się w pojęciu bazy danych w zakresie ochrony zdrowia.

Nie można także pominąć zapisów ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Zgodnie z treścią art. 3 ust. 1 ww. ustawy system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane nie tylko o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, ale także o usługodawcach i pracownikach medycznych, czy kontrahentach.

ochrona danych

W świetle zapisów RODO pojawia się kolejne pytanie, czy dopuszczalne lub wręcz obowiązkowe jest nadanie uprawnień takiemu pacjentowi do użytkowania czy wręcz przetwarzania danych. Nie powinno budzić wątpliwości, że możliwość zapoznania się z bazą danych, w tym jej przeglądanie z możliwością wykonania zdjęć, to już użytkowanie systemu wykorzystywanego do dokumentowania i rozliczania świadczeń, ale także stanowi czynność przetwarzania w rozumieniu przepisów RODO.

problemy techniczne / organizacyjne

Kolejne trudności piętrzą się przy próbie technicznego i organizacyjnego sprostania temu obowiązkowi. Wydaje się, że należy udostępnić dane w taki sposób, aby pacjent miał dostęp tylko do swoich danych, np. aby przy przeglądaniu terminarza oddziału lub poradni albo kolejki oczekujących na świadczenia, miał możliwość wglądu jedynie do danych, które go dotyczą. Rozsądnym rozwiązaniem wydaje się przyjęcie, że wyznaczony pracownik pracuje na urządzeniu umożliwiającym wgląd do baz danych, a pacjent ma prawo tylko patrzeć, tak aby miała możliwość zrobić zdjęcia lub notatki. Nie jest wykluczone przyjęcie innego rozwiązania, tzn. że pacjent samodzielnie przeprowadza czynność zapoznania się z bazą danych (np. siada przy komputerze i samodzielnie obsługuje program) pod nadzorem wyznaczonego pracownika. Jest to jednak rozwiązanie obarczone realnym ryzykiem, że pacjent choćby przypadkowo uzyska dostęp do innych baz danych, czy dokona zmian w danym programie, a nawet przeprowadzi operację usunięcia jakichś danych. Wiązałoby się to wówczas z odpowiedzialnością placówki za naruszenie bezpieczeństwa utraconych lub zmodyfikowanych danych.

Wydaje się, że pacjenci nie wnioskują zbyt często o skorzystanie z uprawnienia wynikającego z tego przepisu. Nie zmienia to faktu, że istnieje zapis dający pacjentowi prawo, dla którego nie określono sposobu realizacji. Nadto jego realizacja – w przypadku próby literalnej interpretacji tego prawa – może spowodować naruszenie wielu innych przepisów.

Ustawowa ranga praw pacjenta i ich szczegółowe określenie ma, co do zasady, służyć ochronie żywotnych interesów pacjenta. Nie bardzo wiadomo jakiż to interes zabezpieczać ma uprawnienie wynikające z omawianego przepisu. Umiejscowienie w rozdziale 7 ww. ustawy może wskazywać, że chodzi w praktyce o umożliwienie pacjentowi przeglądania dokumentacji medycznej prowadzonej w formie elektronicznej. Jeśli tak, to zapis jest wyjątkowo niefortunny, a jeśli ustawodawca miał na myśli coś innego, to z całą pewnością wymaga on wykreślenia w takiej formie i wprowadzenia przepisu w brzmieniu jasnym i zrozumiałym, zgodnie z zasadą clara non sunt interpretanda.

odpowiedzią regulamin organizacyjny

Innym możliwym rozwiązaniem (przy przyjęciu założenia, że udostępnianie dokumentacji medycznej jest związane z organizacją udzielania świadczeń) jest uregulowanie prawa dostępu do baz danych w regulaminie organizacyjnym podmiotu leczniczego. Zgodnie z treścią art. 23 ust. 1 ustawy z dnia 15 kwietnia 2011r. o działalności leczniczej „sprawy dotyczące sposobu i warunków udzielania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą, nieuregulowane w ustawie lub statucie, określa regulamin organizacyjny ustalony przez kierownika”. Regulamin organizacyjny jest aktem wewnętrznym i powinien regulować m.in. organizację i zadania poszczególnych jednostek lub komórek organizacyjnych zakładu leczniczego oraz warunki współdziałania tych jednostek lub komórek dla zapewnienia sprawnego i efektywnego funkcjonowania podmiotu pod względem diagnostyczno-leczniczym, pielęgnacyjnym, rehabilitacyjnym i administracyjno-gospodarczym.
Pora na zmianę tego martwego w gruncie rzeczy przepisu lub co najmniej jego doprecyzowanie, kolejny ruch jest po stronie twórców przepisu, jeśli chcą szczycić się zapomnianym nieco mianem racjonalnego ustawodawcy.

                                               Anna Karkut                                                                    Karol Kolankiewicz

                                                  menedżer służby zdrowia, prawnik                                adwokat, Prezes Zarządu ISPOZ

                                                  Lider ISPOZ                          


heartbeat-163709_640.jpg

Po ponad rocznym okresie obowiązywania regulacji RODO Najwyższa Izba Kontroli (dalej NIK) opracowała  raport z działań w zakresie ochrony danych osobowych pacjentów dot. podmiotów leczniczych będących szpitalami. Raport NIK wykazał, iż w większości placówek nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym, w szczególności nieprawidłowości wystąpiły w zakresie przechowywania papierowej dokumentacji medycznej i jej udostępniania, jak również  zagwarantowania pacjentom prawa do prywatności w trakcie rejestracji lub na salach szpitalnych.

dokumentacja medyczna

Niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej doprowadziło do tak poważnych naruszeń ochrony danych osobowych, że w 6 przypadkach było konieczne powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Taka sytuacja miała miejsce w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. gdzie jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni. Kolejny przypadek naruszeń odnotowano w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie, gdzie z kolei mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono.

Stwierdzono nieprawidłowe udostępnianie dokumentacji medycznej osobom innym niż pacjent. Okazało się, iż w 2 skontrolowanych placówkach kopie dokumentacji medycznej otrzymały osoby nieupoważnione przez pacjenta, co jest także niezgodne z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta. Poważne przypadki naruszeń w tym zakresie wystąpiły min.: w Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku, gdzie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta oraz w SP ZOZ w Augustowie w 3 przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym samym szpitalu wystąpiły nieprawidłowości w zakresie udostępniania dokumentacji medycznej za pośrednictwem poczty elektronicznej.

W dalszej kolejności NIK stwierdził nieprawidłowości w 7 kontrolowanych szpitalach w zakresie upoważnienia do przetwarzania danych osobowych osób, które nie udzielają pacjentom świadczeń zdrowotnych, takich jak salowe i sanitariusze. Osoby te nie powinny mieć dostępu do wrażliwych danych osobowych jak historia choroby bądź przebieg leczenia pacjenta.

prawo do prywatności

Kontrola NIK wykazała, że aż 37 % badanych szpitali nie zagwarantowała pacjentom w sposób właściwy prawa do prywatności w trakcie rejestracji. Powodem tego było niewystarczające oddzielnie stref pacjentów rejestrujących się od pacjentów oczekujących, w wyniku czego osoby postronne mogły słyszeć treści rozmów pacjentów o ich stanie zdrowia z personelem szpitala.

Nieco lepiej kształtuje się ochrona danych osobowych pacjentów na opaskach identyfikacyjnych, jednak jedynie w 54% skontrolowanych szpitali informacje umieszczone na rzeczonych opaskach były zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby nieupoważnione.

Jak wynika z raportu kontrolnego NIK w większości szpitali funkcjonowały rozwiązania chroniące dane osobowe pacjentów umieszczane na kartach gorączkowych przy łózkach pacjentów.

systemy informatyczne

NIK miał również zastrzeżenia w tej części – aż 75% szpitali nie wdrożyło wystarczających i odpowiednich środków ochrony danych osobowych i medycznych pacjentów przechowywanych w postaci elektronicznej.

Kolejnym niepokojącym zjawiskiem okazywało się przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek. Jednak skala tego zjawiska była niewielka, gdyż dotyczyła tylko 3% zgłoszeń serwisowych.

W raporcie kontrolnym wskazano także na nieprawidłowości w odbieraniu uprawnień do systemów informatycznych  w odniesieniu do osób, które odeszły z pracy. Byłym pracownikom nie odbierano uprawnień a jedynie odbierano dostęp do systemów informatycznych, co zdaniem NIK było działaniem niewystarczającym. Taka sytuacja miała miejsce w Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie (dotyczyło 30 byłych pracowników), w Specjalistycznym Psychiatrycznym ZOZ w Suwałkach (dotyczyło 15 byłych pracowników). Z kolei w Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu.

Problemem okazało się niewłaściwe stosowanie ochrony antywirusowej posiadanych komputerów – jako szczególnie naganne NIK ocenił posługiwanie się przez pracowników tymi samymi loginami i hasłami dostępu do systemów informatycznych, a nawet stwierdził brak konieczności logowania się do komputera.

Z raportu wynika, iż zawiódł także system szkoleń. Kontrola wykazał, iż rutyna i utarte schematy personelu miały znaczący wpływ na brak  zmiany podejścia do zagadnień związanych z ochroną danych osobowych pacjentów.

    

                                                                                                                                                                  Anna Olesiuk
                                                                                                                                                                             adwokat

———–

autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła studia prawnicze na Wydziale Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych;


detective-1424831_640.png

Kamery i inne urządzenia rejestrujące nasz wizerunek, głos i śledzące np. trasę przemieszczania się otaczają nas ze wszystkich stron. Powszechne ich użycie powoduje, że zmniejsza się w sposób znaczny i w szybkim tempie nasze poczucie intymności i często możemy odbierać to jako naruszenie pewnej bariery prywatności i upublicznienie sfery zarezerwowanej tylko do relacji osobistych, a nawet poufnych.

Monitoring jest bardzo inwazyjną formą przetwarzania danych osobowych, dlatego też stosowanie urządzeń rejestrujących obraz i dźwięk obwarowane jest przepisami, które mają chronić nas przed nadmierną ingerencją w obszar naszej intymności i prywatności. Regulują to przepisy ogólne (RODO) i prawo krajowe. Na ten temat zostały wydane m.in. wytyczne Europejskiej Rady Ochrony Danych (EROD), jak również wyjaśnienia Prezesa Urzędu Ochrony Danych Osobowych.

Miejscem, gdzie sfera prywatności powinna podlegać najściślejszej ochronie są placówki, w których realizowane są usługi zdrowotne. Dla kierowników podmiotów udzielających świadczeń opieki zdrowotnej, którzy w dominującej większości są również administratorami danych osobowych, niezwykle istotna jest odpowiedź na pytanie, jak wykorzystywać monitoring wizyjny zgodnie z prawem.

Pomocny w tym względzie może być wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13.09.2019 r. sygn. VII SA/Wa 1545/19.  Orzeczenie to wyraźnie definiuje termin „zbiorowe prawa pacjentów” i wskazuje potencjalne zachowania lub zaniechania, które mogą stanowić o zakwalifikowaniu sposobu postępowania, jako praktyki naruszającej zbiorowe prawa pacjentów. Sąd podzielił zdanie Rzecznika Praw Pacjenta (RPP) i uznał za niedopuszczalne praktyki polegające na udzielaniu świadczeń zdrowotnych w salach operacyjnych i zabiegowych, na których zainstalowane są urządzenia monitoringu wizyjnego (kamery), bez informowania o tym fakcie pacjentów i pobierania od nich zgody na monitorowanie. Sąd uznała takie praktyki za naruszające zbiorowe prawo pacjentów do poszanowania intymności i godności.

Co istotnego wynika z tego orzeczenia dla zarządzających placówkami medycznymi?

Po pierwsze, Sąd  określił zakres znaczeniowy terminu „zbiorowe prawa pacjentów”. Do tej pory występował istotny kłopot interpretacyjny, jak rozumieć to pojęcie.  Wobec braku definicji legalnej
i przy zastrzeżeniu przepisu ustawy z dnia 6 listopada 2008r. o prawach pacjenta i Rzeczniku Praw Pacjenta zawartym w art. 53 ust. 1 zd. 2. iż: „Nie jest zbiorowym prawem pacjentów suma praw indywidualnych”, w uzasadnieniu wyroku wywiedziono, że: „Ustawodawca objął ochroną prawa aktualnych i potencjalnych pacjentów, traktowanych jako zbiorowość, ustanawiając tym samym odrębny przedmiot ochrony, niezależny od indywidualnych praw podmiotowych”. To istotna konkluzja mogąca mieć znaczenie dla kierunku orzecznictwa w zakresie ochrony zbiorowych praw pacjentów.
W tym konkretnym przypadku uznano, że objęcie monitoringiem wszystkich pacjentów, którym udzielano świadczeń w salach operacyjnych i zabiegowych, gdzie stosowano monitoring, bez pobierania zgody od pacjentów w tym zakresie, a nawet bez informowania ich o tym, stanowi naruszenie prawa do intymności „nieoznaczonej z góry większej liczby pacjentów”.

Po drugie, w przedmiotowym orzeczeniu wskazano praktyczne przesłanki jakie muszą charakteryzować przyjętą w podmiocie leczniczym praktykę, aby można było ją zakwalifikować jako postępowanie naruszające zbiorowe prawa pacjentów. Postępowanie to musi być bezprawne (sprzeczne z prawem) oraz zorganizowane, a nadto cechować je powinna powtarzalność, wskazująca na stałość przyjętej metody postępowania (nie może ono być incydentalne). Bez trudu można wykazać, że opisane wyżej stosowanie monitoringu spełniało te kryteria. Bezprawność – nawet niezamierzona – skutkująca naruszeniem prawa pacjentów do intymności, działanie zorganizowane wyrażające się
w zaplanowaniu, zainstalowaniu i funkcjonowaniu systemu monitoringu w określonym czasie, czyli powtarzalne, mające znamiona procesu stałego – to cechy postępowania podmiotu leczniczego pozwalające uznać, że stosowane praktyka narusza zbiorowe prawa pacjentów.

Po trzecie, na kanwie tego orzeczenia można określić warunki zgodnego z prawem stosowania monitoringu w pomieszczeniach podmiotów wykonujących działalność leczniczą. Co do zasady, możliwość  stosowania kamer została dopuszczona w pomieszczeniach wskazanych w przepisach rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą
i są to pomieszczenia:

– zespołu porodowego,

– oddziału dziecięcego,

– oddziału psychiatrycznego,

– stacji dializ.

Ponadto rozporządzenie Ministra Zdrowia z dnia 16 grudnia 2016 r. w sprawie standardu organizacyjnego opieki zdrowotnej w dziedzinie anestezjologii i intensywnej terapii dopuszcza możliwość obserwacji bezpośredniej przy użyciu kamer na:

– oddziałach  anestezjologii i intensywnej terapii,

– oddziałach anestezjologii.

To są w zasadzie wszystkie pomieszczenia, w których udzielane są świadczenia zdrowotne, w jakich przepisy dopuszczają stosowanie kamer.

Oczywistym jest, że o stosowanym monitoringu należy powiadomić wszystkich, którzy mogą znaleźć się w strefie jego oddziaływania. Co istotne, informacja nie może ograniczać się tylko do ikon (piktogramów) ale powinna być widoczna, czytelna, napisana językiem prostym, zrozumiałym
i zawierać najważniejsze dane: kto jest administratorem danych, cel monitoringu, jego zasięg i odesłanie – informację o miejscu lub sposobie uzyskania wszelkich szczegółowych informacji w tym zakresie.

W regulacjach wewnętrznych administratorzy danych winni opisać system działania monitoringu, jego cel, zasięg, sposób i zakres rejestracji danych, czas przechowywania zapisu, osoby upoważnione do dostępu do tych danych itp.

Na marginesie należy zaznaczyć, że nie budzi wątpliwości zasadność stosowania monitoringu w ciągach komunikacyjnych, czy innych ogólnodostępnych obszarach np. wejście, recepcja. Przepisy pozwalają na takie wykorzystanie tej technologii, która w miejscach ogólnodostępnych, nie tylko nie narusza praw pacjentów ale może znacząco poprawić bezpieczeństwo personelu i pacjentów.

 

                                                                                         Anna Karkut

                                                                                             menedżer jednostek opieki zdrowotnej, prawnik

                                                                                              lider Instytutu – Specjaliści Prawa Ochrony Zdrowia


ISPOZ 2017. Wszystkie prawa zastrzeżone.