RODO – ISPOZ

Wychodząc naprzeciw potrzebom coraz liczniejszej grupy cudzoziemców, w szczególności obywateli Ukrainy, którzy chcą wykonywać zawód lekarza, lekarza dentysty, pielęgniarki czy położnej w Polsce, przygotowaliśmy poradnik przybliżający podstawowe zagadnienia prawne regulujące wykonywanie tych zawodów.

W założeniu poradnik ma stanowić podstawową pomoc dla osób mających wykształcenie medyczne zdobyte w innym kraju niż Polska, chcących wykonywać zawód lekarza lub pielęgniarki w ramach naszego systemu ochrony zdrowia. Znajomość przepisów i zasad udzielania świadczeń zdrowotnych jest niezbędna dla prawidłowego sprawowania opieki nad pacjentami, w czym, mamy nadzieję, pomocny okaże się poradnik

Opracowanie zawiera omówienie:

aspektów formalnych poprzedzających uzyskanie prawa wykonywania tych zawodów;
zasadnicze akty prawne;
kluczowe instytucje kształtujące system opieki zdrowotnej w naszym kraju;
najistotniejsze kwestie odnoszące się do udzielania świadczeń zdrowotnych ww. grupy personelu medycznego.
podstawowe zasady wykonywania zawodów lekarza, lekarza dentysty, pielęgniarki i położnej;
wzajemne korelacje wynikające z konieczności współpracy przedstawicieli tych zawodów w procesie udzielania świadczeń opieki zdrowotnej.

Poradnik został napisany prostym językiem – w dwóch wersjach językowych (także w języku ukraińskim) – dotychczas brak na rynku podobnej publikacji, ujmującę powyższe zagadnienia w tak usystematyzowany sposób.

Więcej informacji https://www.profinfo.pl/sklep/wykonywanie-zawodow-lekarza-i-pielegniarki-w-polsce-przez-medykow-z-ukrainy-poradnik-dwujezyczny,193122.html

Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył administracyjną karą pieniężną w wysokości ponad 85 tys. zł (decyzja z dnia 5 stycznia 2021r., DKE.561.11.2020) na placówkę medyczną:

za niewykonanie nakazu zawiadomienia pacjentów o naruszeniu ich danych osobowych
za brak przekazania im zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu .

Naruszenie polegało na nieuprawnionym skopiowaniu przez byłego pracownika danych osobowych 100 pacjentów z systemu informatycznego przychodni celem wykorzystania ich do marketingu własnych usług. Naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu.

W toku postępowania PUODO wezwał placówkę do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

Następnie PUODO wezwał placówkę m.in. do przedstawienia wykazu osób, którym przekazano ww. informacje o naruszeniu i zaleceń oraz informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii 10 przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Placówka w odpowiedzi wskazała, że nie jest w stanie takiej listy stworzyć, gdyż nie posiada wiedzy, których pacjentów dane zebrał ww. pracownik, zaś w placówce leczy się znacznie więcej osób, na skutek czego powiadomienie wszystkich o możliwości naruszenia ich danych osobowych było niewykonalne. Na skutek tego pacjenci nic nie wiedzieli o naruszeniu danych.

Zdaniem PUODO właściwe wywiązanie się z tego obowiązku pozwoliłoby pacjentom:

zrozumieć, na czym polegało naruszenie ochrony ich danych osobowych,
poznać możliwe konsekwencje zdarzenia;
dałoby szansę dowiedzieć się, jakie działania mogą podjąć w celu zminimalizowania ewentualnych negatywnych skutków.

Przypomnieć trzeba, że zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem – powinno zawierać co najmniej następujące informacje:
– imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
– opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
– opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

W jeszcze innej sprawie PUODO (decyzja z dnia 20 listopada 2018 r., ZWAD.405.29.2018) wskazał, że zawiadomienia przesłane do osób, których dane dotyczą, nie są prawidłowe, jeżeli nie zawierają dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie mogą być narażone osoby, których dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia.

Karol Kolankiewicz
adwokat

———-
Karol Kolankiewicz jest adwokatem – członkiem Pomorskiej Izby Adwokackiej w Gdańsku; współzałożyciel Instytutu – Specjaliści Prawa Ochrony Zdrowia; od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; świadczy także usługi doradztwa prawnego dla podmiotów leczniczych; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych; autor licznych publikacji z zakresu prawa medycznego m.in. dla Pomorskiego Magazynu Lekarskiego, Wydawnictwa Wolters Kluwer Polska, czy Wydawnictwa Wiedza i Praktyka.

Ustawa z dnia 31 marca 2020r. dokonała zmiany także w zakresie rejestru przypadków zakażeń i zachorowań na chorobę zakaźną. Rejestr taki mają obowiązek prowadzić wojewódzkie i powiatowe jednostki Sanepid’u oraz Główny Inspektor Sanitarny (art. 30 ust. 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych). Dodatkowo w tym zakresie obowiązuje Rozporządzenie Ministra Zdrowia z dnia 18 maja 2010r. w sprawie sposobu prowadzenia rejestru zakażeń i zachorowań na chorobę zakaźną oraz zgonów spowodowanych zakażeniem lub chorobą zakaźną, ich podejrzeń, przypadków stwierdzenia dodatniego wyniku badania laboratoryjnego oraz wzorów i terminów przekazywania raportów zawierających te informacje.

zakres danych w rejestrze

Rejestr chorób zakaźnych zawiera szczegółowe dane osoby zakażonej, chorej lub zmarłej z powodu choroby zakaźnej, a także osób narażonych na chorobę zakaźną lub podejrzanych o zakażenie lub chorobę zakaźną, tzn.:

1. imię i nazwisko;
2. datę urodzenia;
3. numer PESEL (gdy osobie nie nadano numeru – rodzaj i numer dokumentu potwierdzającego tożsamość);
4. płeć;
5. obywatelstwo;
6. dane o kraju pochodzenia;
7. adres miejsca zamieszkania;
8. informację o podejrzeniu lub rozpoznaniu choroby zakaźnej lub zakażenia lub ich wykluczeniu;
9. datę i przyczynę zgonu, jeżeli dotyczy;

Powyższy rejestr zawiera także dane mające znaczenie dla nadzoru epidemiologicznego oraz zapobiegania chorobom zakaźnym i zakażeniom i ich zwalczania, zgodnie z zasadami wiedzy medycznej, które, w zależności od rodzaju choroby lub zakażenia oraz okoliczności, obejmują:
a. charakterystykę podstawowych objawów klinicznych,
b. opis okoliczności wystąpienia zakażenia, zachorowania lub zgonu z powodu zakażenia lub choroby zakaźnej, ze szczególnym uwzględnieniem czynników ryzyka,
c. dane dotyczące przynależności do populacji kluczowych dla nadzoru epidemiologicznego nad danym zakażeniem lub chorobą zakaźną,
d. dane dotyczące postępowania diagnostycznego, wyniki badania klinicznego, badań dodatkowych i laboratoryjnych, charakterystykę fenotypową i genotypową biologicznego czynnika chorobotwórczego, w tym informacje o lekoopomości,
e. dane dotyczące schematu i wyników leczenia.

Administratorami powyższych danych gromadzonych w rejestrze są podmioty prowadzące rejestr chorób zakaźnych.

źródła informacji

w związku z dokonanym zgłoszeniem przez lekarza lub felczera w wyniku podejrzenia lub wystąpienia choroby zakaźnej > niezwłocznie, nie później jednak niż w ciągu 24 godzin od chwili powzięcia podejrzenia lub rozpoznania zakażenia, choroby zakaźnej lub zgonu z powodu zakażenia lub choroby zakaźnej;
na podstawie informacji przekazywanej przez diagnostę laboratoryjnego lub inną osobę uprawnioną do samodzielnego wykonywania czynności diagnostyki laboratoryjnej, w przypadku wykonania badania w kierunku biologicznego czynnika chorobotwórczego, co do którego istnieje obowiązek zgłoszenia go do rejestru > niezwłocznie, nie później jednak niż w ciągu 24 godzin od momentu uzyskania wyniku;
na podstawie danych o wynikach leczenia lub o wykluczeniu nosicielstwa u ozdrowieńca > od podmiotu leczniczego, w którym lekarz sprawuje opiekę medyczną nad osobą zakażoną lub chorą na chorobę zakaźną albo osobą podejrzaną o takie zakażenie lub zachorowanie, przekazuje do właściwego państwowego powiatowego inspektora sanitarnego;
uzyskane w ramach indywidualnego nadzoru epidemiologicznego;
dane udostępnione przez Narodowy Fundusz Zdrowia z rejestrów medycznych zawierających dane o udzielonych świadczeniach zdrowotnych oraz udostępnione z rejestrów medycznych prowadzonych w zakresie chorób zakaźnych i pasożytniczych( o których mowa w art. 19 ust. 1a pkt 14 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia).

przechowywanie i udostępnianie danych

Dane zgromadzone w rejestrach są przechowywane przez 50 lat, licząc od dnia dokonania wpisu tych danych do rejestru. Z kolei nazwiska i imiona, numery PESEL lub numery identyfikacyjne dokumentu tożsamości oraz dokładne adresy zamieszkania są usuwane z rejestru po upływie 10 lat, licząc od dnia dokonania wpisu tych danych do rejestru (§ 4 ww. rozporządzenia).

Udostępnienie danych z rejestru podmiotom uprawionym, następuje nieodpłatnie, przez udostępnienie rejestru do wglądu, sporządzenie kopii poświadczonej za zgodność z oryginałem lub sporządzenie kopii w formie pliku elektronicznego (§ 5 ww. rozporządzenia). .

Co do zasady pacjent nie może sprzeciwić się zgłoszeniu podejrzenia lub wystąpienia zachorowania na chorobę zakaźną. Jedynie w przypadku zakażenia ludzkim wirusem niedoboru odporności (HIV) i zespołu nabytego niedoboru odporności (AIDS) pacjent może zastrzec dane umożliwiające jego identyfikację (możliwość taką daje art. 41, ust. 1 i 2 ww. ustawy) W takim przypadku zgłoszenie lub rejestr zawierają: 1) inicjały imienia i nazwiska lub hasło; 2) wiek; 3) płeć; 4) nazwę powiatu właściwego ze względu na miejsce zamieszkania; 5) rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz drogę zakażenia.

Anna Olesiuk
adwokat
———–
Autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła Wydział Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych; od kilku lat świadczy usługi doradztwa prawnego dla Okręgowej Izby Lekarskiej w Białymstoku;

Kwestia dopuszczalności stosowania monitoringu pomieszczeń w podmiotach wykonujących działalność leczniczą została uregulowana w art. 23a ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Z przytoczonego przepisu wynika, że kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
1. ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
2. w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych
– za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).

Nagrania obrazu uzyskane w wyniku monitoringu pomieszczeń ogólnodostępnych, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane. Nagrania te można przechowywać przez okres nie dłuższy niż 3 miesiące od dnia nagrania, a po jego upływie uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Ponadto informacja o monitoringu pomieszczeń oraz informacja o tym, kto jest administratorem danych osobowych, zgodnie z przepisami rozporządzeniu Parlamentu Europejskiego i Rady /UE/2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), musi zostać podana do wiadomości pacjentów przez jej wywieszenie w widoczny sposób w miejscu udzielania świadczeń zdrowotnych oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej w przypadku podmiotu obowiązanego do jego prowadzenia.

Stosowanie monitoringu, regulują także przepisy prawa pracy. Zastosowanie monitoringu na podstawie art. 22² Kodeksu pracy dotyczy kontroli lub bezpieczeństwa pracowników. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. W tym przypadku pracodawca może przechowywać nagrania z monitoringu przez okres 3 miesięcy, chyba że nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania

Tomasz Kozak
radca prawny
——–

Autor od kilku świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Olsztynie; od 2017r. wykładowca z zakresu prawa medycznego i prawa pracy oraz z zakresu ochrony danych medycznych; specjalizuje się w sprawach związanych z prawem medycznym, jak również w sprawach cywilnych i z zakresu prawa pracy; od 2018r. pełni funkcję Inspektora Ochrony Danych w kilku podmiotach leczniczych oraz w warmińsko-mazurskim samorządzie lekarskim; lider Instytutu – Specjaliści Prawa Ochrony Zdrowia

W przypadku wystawienia e-recepty pacjent otrzymuje informację o wystawionej recepcie, w tym 4-cyfrowy numer wygenerowany w momencie zapisu recepty przez system informacji w ochronie zdrowia, umożliwiający dostęp do recepty (art. 96b ust. 1 pkt. 2 i ust. 2 ustawy – Prawo farmaceutyczne):

na podany adres email (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
w postaci wiadomości tekstowej SMS na podany numer telefonu (jeżeli został wskazany w systemie informacji w ochronie zdrowia);
w postaci wydruku > w przypadku braku wskazania w systemie informacji w ochronie zdrowia numeru telefonu lub adresu email lub na żądanie pacjenta;

Pacjent ma prawo otrzymać 4-cyfrowy kod dostępu do e-recepty także w innej uzgodnionej postaci:

– w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania

– w przypadku badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku

Ustawa nie zawiera przy tym wskazówki o jaką „inną uzgodnioną postać” chodzi, można zatem przyjąć, że będzie to także informacja przekazana w trakcie rozmowy telefonicznej. Nie istnieje żaden zakaz ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej > od razu zaznaczyć należy, że taką informację może przekazać jedynie lekarz – osoba wystawiająca receptę (art. 96b ust. 3 ustawy – Prawo farmaceutyczne).

Przypomnieć należy także, że zabronione jest udzielanie jakichkolwiek danych dot. zdrowia osobom, których tożsamość nie jest znana takiej osobie uprawnionej lub tożsamość których nie została odpowiednio zweryfikowana. W swoi artykule Urząd Ochrony Danych Osobowych podpowiada, aby prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna nastąpiło np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd. (https://uodo.gov.pl/pl/138/1361).

Karol Kolankiewicz

adwokat, Prezes Zarządu ISPOZ, od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych;

Prawa pacjenta uzyskały rangę ustawową i jako katalog zostały wpisane do ustawy z dnia 8 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta. Usystematyzowano w ten sposób i nadano doniosłość prawną grupie uprawnień chroniących elementarne interesy pacjentów, które dotąd rozproszone były w różnych aktach normatywnych nieraz o dość niskiej randze.

W samym założeniu prawa pacjenta, podniesione do rangi ustawowej, miały i nadal mają na celu wzmocnienie pozycji pacjenta, który m.in. z uwagi na asymetrię wiedzy, skomplikowany i niezrozumiały system ochrony zdrowia wymaga prawnego zabezpieczenia swojej podmiotowości. Od tej pory sukcesywnie rozbudowuje się ta grupa praw i zdobywa coraz większe znaczenie w systemie prawa, co bezpośrednio przekłada się na bogatsze orzecznictwo i bardziej widoczne miejsce w doktrynie.

Katalog praw pacjenta składał się pierwotnie z 10 nazwanych i opisanych w przepisach ustawy praw, a obecnie mamy 11 zgrupowanych w poszczególnych rozdziałach uprawnień pacjentów. Wydawać by się mogło, że ilość tych prerogatyw nie zwiększa się nadmiernie. Jednakże największy rozwój w tej kwestii obserwujemy w regulacjach dotyczących sposobu realizacji tych praw. Wymusza to niejako postęp technologiczny, rozwój społeczeństwa informatycznego czy zmiana stosunków społecznych.
prawo do wglądu

Do grupy przepisów podlegających najczęstszej zmianie należą regulacje dotyczące prawa pacjenta do dokumentacji medycznej, zgrupowane w rozdziale 7 powołanej ustawy. Wśród przepisów szczegółowo określających zakres i sposoby realizacji tego prawa znajdziemy w art. 27 ust. 1 pkt. 1) prawo pacjenta do wglądu do dokumentacji medycznej – co nie budzi kontrowersji. Jednakże analizując ten przepis (w brzmieniu nadanym ustawą z dnia 23 marca 2017 r. o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw) zauważymy, że dokumentacja medyczna jest udostępniana do wglądu, „[…] w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych […] albo w siedzibie podmiotu udzielającego świadczeń [..]”. Przepis ten wszedł w życie z dniem 11 maja 2017 r. Próżno jednak szukać w uzasadnieniu jego wprowadzenia wskazania do czego de facto uprawnia i jak – zdaniem ustawodawcy – powinien być realizowany. Przez ponad 2 lata jego obowiązywania nie wypracowano sposobu wykonywania tego obowiązku przez podmioty udzielające świadczeń medycznych. W zasadzie jedyną praktyczną wskazówkę zawiera wskazany w samej treści ww. przepisu art. 27 ust. 1 pkt.1) obowiązek zapewnienia pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć. Druga wskazówka to wyłączenie spod tego obowiązku „medycznych czynności ratunkowych” (brak obowiązku po stronie SOR).

bazy danych w ochronie zdrowia

Pierwsze trudności interpretacyjne dotyczą pojęcia bazy danych, którego znaczenia ustawodawca nie określił. Wskazanie, że zakres owych „baz danych” odnosić ma się do ochrony zdrowia jest pojęciem zbyt szerokim. Kłopoty zaczynają się już z określeniem co to jest baza danych. W ustawie z dnia 27 lipca 2001 r. o ochronie baz danych, znajdujemy definicję ustawową, która określa iż: „baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości”. Jeśli dodamy do tego że pacjent ma prawo do uzyskania dostępu do wglądu do baz danych „w zakresie ochrony zdrowia” to rzeczywiście widać problem już w określeniu do jakich baz danych pacjent ma – choćby teoretyczne – prawo do wglądu. Można pokusić się o stwierdzenie, że do wszystkich, którymi dysponuje podmiot wykonujący świadczenia medyczne, gdyż wszelkie zbiory danych, jakie tworzy związane są z ochroną zdrowia, zatem mieszczą się w pojęciu bazy danych w zakresie ochrony zdrowia.

Nie można także pominąć zapisów ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Zgodnie z treścią art. 3 ust. 1 ww. ustawy system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane nie tylko o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, ale także o usługodawcach i pracownikach medycznych, czy kontrahentach.

ochrona danych

W świetle zapisów RODO pojawia się kolejne pytanie, czy dopuszczalne lub wręcz obowiązkowe jest nadanie uprawnień takiemu pacjentowi do użytkowania czy wręcz przetwarzania danych. Nie powinno budzić wątpliwości, że możliwość zapoznania się z bazą danych, w tym jej przeglądanie z możliwością wykonania zdjęć, to już użytkowanie systemu wykorzystywanego do dokumentowania i rozliczania świadczeń, ale także stanowi czynność przetwarzania w rozumieniu przepisów RODO.

problemy techniczne / organizacyjne

Kolejne trudności piętrzą się przy próbie technicznego i organizacyjnego sprostania temu obowiązkowi. Wydaje się, że należy udostępnić dane w taki sposób, aby pacjent miał dostęp tylko do swoich danych, np. aby przy przeglądaniu terminarza oddziału lub poradni albo kolejki oczekujących na świadczenia, miał możliwość wglądu jedynie do danych, które go dotyczą. Rozsądnym rozwiązaniem wydaje się przyjęcie, że wyznaczony pracownik pracuje na urządzeniu umożliwiającym wgląd do baz danych, a pacjent ma prawo tylko patrzeć, tak aby miała możliwość zrobić zdjęcia lub notatki. Nie jest wykluczone przyjęcie innego rozwiązania, tzn. że pacjent samodzielnie przeprowadza czynność zapoznania się z bazą danych (np. siada przy komputerze i samodzielnie obsługuje program) pod nadzorem wyznaczonego pracownika. Jest to jednak rozwiązanie obarczone realnym ryzykiem, że pacjent choćby przypadkowo uzyska dostęp do innych baz danych, czy dokona zmian w danym programie, a nawet przeprowadzi operację usunięcia jakichś danych. Wiązałoby się to wówczas z odpowiedzialnością placówki za naruszenie bezpieczeństwa utraconych lub zmodyfikowanych danych.

Wydaje się, że pacjenci nie wnioskują zbyt często o skorzystanie z uprawnienia wynikającego z tego przepisu. Nie zmienia to faktu, że istnieje zapis dający pacjentowi prawo, dla którego nie określono sposobu realizacji. Nadto jego realizacja – w przypadku próby literalnej interpretacji tego prawa – może spowodować naruszenie wielu innych przepisów.

Ustawowa ranga praw pacjenta i ich szczegółowe określenie ma, co do zasady, służyć ochronie żywotnych interesów pacjenta. Nie bardzo wiadomo jakiż to interes zabezpieczać ma uprawnienie wynikające z omawianego przepisu. Umiejscowienie w rozdziale 7 ww. ustawy może wskazywać, że chodzi w praktyce o umożliwienie pacjentowi przeglądania dokumentacji medycznej prowadzonej w formie elektronicznej. Jeśli tak, to zapis jest wyjątkowo niefortunny, a jeśli ustawodawca miał na myśli coś innego, to z całą pewnością wymaga on wykreślenia w takiej formie i wprowadzenia przepisu w brzmieniu jasnym i zrozumiałym, zgodnie z zasadą clara non sunt interpretanda.

odpowiedzią regulamin organizacyjny

Innym możliwym rozwiązaniem (przy przyjęciu założenia, że udostępnianie dokumentacji medycznej jest związane z organizacją udzielania świadczeń) jest uregulowanie prawa dostępu do baz danych w regulaminie organizacyjnym podmiotu leczniczego. Zgodnie z treścią art. 23 ust. 1 ustawy z dnia 15 kwietnia 2011r. o działalności leczniczej „sprawy dotyczące sposobu i warunków udzielania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą, nieuregulowane w ustawie lub statucie, określa regulamin organizacyjny ustalony przez kierownika”. Regulamin organizacyjny jest aktem wewnętrznym i powinien regulować m.in. organizację i zadania poszczególnych jednostek lub komórek organizacyjnych zakładu leczniczego oraz warunki współdziałania tych jednostek lub komórek dla zapewnienia sprawnego i efektywnego funkcjonowania podmiotu pod względem diagnostyczno-leczniczym, pielęgnacyjnym, rehabilitacyjnym i administracyjno-gospodarczym.
Pora na zmianę tego martwego w gruncie rzeczy przepisu lub co najmniej jego doprecyzowanie, kolejny ruch jest po stronie twórców przepisu, jeśli chcą szczycić się zapomnianym nieco mianem racjonalnego ustawodawcy.

Anna Karkut Karol Kolankiewicz

menedżer służby zdrowia, prawnik adwokat, Prezes Zarządu ISPOZ

Lider ISPOZ

Older Posts

Newsy

Poradnik dla lekarzy i pielęgniarek z Ukrainy

Pierwsza kara pieniężna dla placówki zdrowotnej za naruszenie ochrony danych osobowych

Rejestr chorób zakaźnych – podstawowe informacje

Monitoring pomieszczeń w podmiotach wykonujących działalność leczniczą

Czy przez telefon można podać pacjentowi 4-cyfrowy kod dostępu do e-recepty?

Wgląd do baz danych – „martwe” prawo pacjenta ??

Tagi

Najnowsze artykuły

Jak szybko ma być wydana dokumentacja medyczna na prośbę pacjenta?

Zgoda na leczenie i inne oświadczenia pacjenta. Wzory pism z omówieniem

Kiedy pacjent upoważnia inną osobę do informacji o swoim zdrowiu

Szukaj na stronie