RODO – Strona 2

Prawa pacjenta uzyskały rangę ustawową i jako katalog zostały wpisane do ustawy z dnia 8 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta. Usystematyzowano w ten sposób i nadano doniosłość prawną grupie uprawnień chroniących elementarne interesy pacjentów, które dotąd rozproszone były w różnych aktach normatywnych nieraz o dość niskiej randze.

W samym założeniu prawa pacjenta, podniesione do rangi ustawowej, miały i nadal mają na celu wzmocnienie pozycji pacjenta, który m.in. z uwagi na asymetrię wiedzy, skomplikowany i niezrozumiały system ochrony zdrowia wymaga prawnego zabezpieczenia swojej podmiotowości. Od tej pory sukcesywnie rozbudowuje się ta grupa praw i zdobywa coraz większe znaczenie w systemie prawa, co bezpośrednio przekłada się na bogatsze orzecznictwo i bardziej widoczne miejsce w doktrynie.

Katalog praw pacjenta składał się pierwotnie z 10 nazwanych i opisanych w przepisach ustawy praw, a obecnie mamy 11 zgrupowanych w poszczególnych rozdziałach uprawnień pacjentów. Wydawać by się mogło, że ilość tych prerogatyw nie zwiększa się nadmiernie. Jednakże największy rozwój w tej kwestii obserwujemy w regulacjach dotyczących sposobu realizacji tych praw. Wymusza to niejako postęp technologiczny, rozwój społeczeństwa informatycznego czy zmiana stosunków społecznych.
prawo do wglądu

Do grupy przepisów podlegających najczęstszej zmianie należą regulacje dotyczące prawa pacjenta do dokumentacji medycznej, zgrupowane w rozdziale 7 powołanej ustawy. Wśród przepisów szczegółowo określających zakres i sposoby realizacji tego prawa znajdziemy w art. 27 ust. 1 pkt. 1) prawo pacjenta do wglądu do dokumentacji medycznej – co nie budzi kontrowersji. Jednakże analizując ten przepis (w brzmieniu nadanym ustawą z dnia 23 marca 2017 r. o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw) zauważymy, że dokumentacja medyczna jest udostępniana do wglądu, „[…] w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych […] albo w siedzibie podmiotu udzielającego świadczeń [..]”. Przepis ten wszedł w życie z dniem 11 maja 2017 r. Próżno jednak szukać w uzasadnieniu jego wprowadzenia wskazania do czego de facto uprawnia i jak – zdaniem ustawodawcy – powinien być realizowany. Przez ponad 2 lata jego obowiązywania nie wypracowano sposobu wykonywania tego obowiązku przez podmioty udzielające świadczeń medycznych. W zasadzie jedyną praktyczną wskazówkę zawiera wskazany w samej treści ww. przepisu art. 27 ust. 1 pkt.1) obowiązek zapewnienia pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć. Druga wskazówka to wyłączenie spod tego obowiązku „medycznych czynności ratunkowych” (brak obowiązku po stronie SOR).

bazy danych w ochronie zdrowia

Pierwsze trudności interpretacyjne dotyczą pojęcia bazy danych, którego znaczenia ustawodawca nie określił. Wskazanie, że zakres owych „baz danych” odnosić ma się do ochrony zdrowia jest pojęciem zbyt szerokim. Kłopoty zaczynają się już z określeniem co to jest baza danych. W ustawie z dnia 27 lipca 2001 r. o ochronie baz danych, znajdujemy definicję ustawową, która określa iż: „baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości”. Jeśli dodamy do tego że pacjent ma prawo do uzyskania dostępu do wglądu do baz danych „w zakresie ochrony zdrowia” to rzeczywiście widać problem już w określeniu do jakich baz danych pacjent ma – choćby teoretyczne – prawo do wglądu. Można pokusić się o stwierdzenie, że do wszystkich, którymi dysponuje podmiot wykonujący świadczenia medyczne, gdyż wszelkie zbiory danych, jakie tworzy związane są z ochroną zdrowia, zatem mieszczą się w pojęciu bazy danych w zakresie ochrony zdrowia.

Nie można także pominąć zapisów ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Zgodnie z treścią art. 3 ust. 1 ww. ustawy system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane nie tylko o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, ale także o usługodawcach i pracownikach medycznych, czy kontrahentach.

ochrona danych

W świetle zapisów RODO pojawia się kolejne pytanie, czy dopuszczalne lub wręcz obowiązkowe jest nadanie uprawnień takiemu pacjentowi do użytkowania czy wręcz przetwarzania danych. Nie powinno budzić wątpliwości, że możliwość zapoznania się z bazą danych, w tym jej przeglądanie z możliwością wykonania zdjęć, to już użytkowanie systemu wykorzystywanego do dokumentowania i rozliczania świadczeń, ale także stanowi czynność przetwarzania w rozumieniu przepisów RODO.

problemy techniczne / organizacyjne

Kolejne trudności piętrzą się przy próbie technicznego i organizacyjnego sprostania temu obowiązkowi. Wydaje się, że należy udostępnić dane w taki sposób, aby pacjent miał dostęp tylko do swoich danych, np. aby przy przeglądaniu terminarza oddziału lub poradni albo kolejki oczekujących na świadczenia, miał możliwość wglądu jedynie do danych, które go dotyczą. Rozsądnym rozwiązaniem wydaje się przyjęcie, że wyznaczony pracownik pracuje na urządzeniu umożliwiającym wgląd do baz danych, a pacjent ma prawo tylko patrzeć, tak aby miała możliwość zrobić zdjęcia lub notatki. Nie jest wykluczone przyjęcie innego rozwiązania, tzn. że pacjent samodzielnie przeprowadza czynność zapoznania się z bazą danych (np. siada przy komputerze i samodzielnie obsługuje program) pod nadzorem wyznaczonego pracownika. Jest to jednak rozwiązanie obarczone realnym ryzykiem, że pacjent choćby przypadkowo uzyska dostęp do innych baz danych, czy dokona zmian w danym programie, a nawet przeprowadzi operację usunięcia jakichś danych. Wiązałoby się to wówczas z odpowiedzialnością placówki za naruszenie bezpieczeństwa utraconych lub zmodyfikowanych danych.

Wydaje się, że pacjenci nie wnioskują zbyt często o skorzystanie z uprawnienia wynikającego z tego przepisu. Nie zmienia to faktu, że istnieje zapis dający pacjentowi prawo, dla którego nie określono sposobu realizacji. Nadto jego realizacja – w przypadku próby literalnej interpretacji tego prawa – może spowodować naruszenie wielu innych przepisów.

Ustawowa ranga praw pacjenta i ich szczegółowe określenie ma, co do zasady, służyć ochronie żywotnych interesów pacjenta. Nie bardzo wiadomo jakiż to interes zabezpieczać ma uprawnienie wynikające z omawianego przepisu. Umiejscowienie w rozdziale 7 ww. ustawy może wskazywać, że chodzi w praktyce o umożliwienie pacjentowi przeglądania dokumentacji medycznej prowadzonej w formie elektronicznej. Jeśli tak, to zapis jest wyjątkowo niefortunny, a jeśli ustawodawca miał na myśli coś innego, to z całą pewnością wymaga on wykreślenia w takiej formie i wprowadzenia przepisu w brzmieniu jasnym i zrozumiałym, zgodnie z zasadą clara non sunt interpretanda.

odpowiedzią regulamin organizacyjny

Innym możliwym rozwiązaniem (przy przyjęciu założenia, że udostępnianie dokumentacji medycznej jest związane z organizacją udzielania świadczeń) jest uregulowanie prawa dostępu do baz danych w regulaminie organizacyjnym podmiotu leczniczego. Zgodnie z treścią art. 23 ust. 1 ustawy z dnia 15 kwietnia 2011r. o działalności leczniczej „sprawy dotyczące sposobu i warunków udzielania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą, nieuregulowane w ustawie lub statucie, określa regulamin organizacyjny ustalony przez kierownika”. Regulamin organizacyjny jest aktem wewnętrznym i powinien regulować m.in. organizację i zadania poszczególnych jednostek lub komórek organizacyjnych zakładu leczniczego oraz warunki współdziałania tych jednostek lub komórek dla zapewnienia sprawnego i efektywnego funkcjonowania podmiotu pod względem diagnostyczno-leczniczym, pielęgnacyjnym, rehabilitacyjnym i administracyjno-gospodarczym.
Pora na zmianę tego martwego w gruncie rzeczy przepisu lub co najmniej jego doprecyzowanie, kolejny ruch jest po stronie twórców przepisu, jeśli chcą szczycić się zapomnianym nieco mianem racjonalnego ustawodawcy.

Anna Karkut Karol Kolankiewicz

menedżer służby zdrowia, prawnik adwokat, Prezes Zarządu ISPOZ

Lider ISPOZ

Po ponad rocznym okresie obowiązywania regulacji RODO Najwyższa Izba Kontroli (dalej NIK) opracowała raport z działań w zakresie ochrony danych osobowych pacjentów dot. podmiotów leczniczych będących szpitalami. Raport NIK wykazał, iż w większości placówek nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym, w szczególności nieprawidłowości wystąpiły w zakresie przechowywania papierowej dokumentacji medycznej i jej udostępniania, jak również zagwarantowania pacjentom prawa do prywatności w trakcie rejestracji lub na salach szpitalnych.

dokumentacja medyczna

Niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej doprowadziło do tak poważnych naruszeń ochrony danych osobowych, że w 6 przypadkach było konieczne powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Taka sytuacja miała miejsce w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. gdzie jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni. Kolejny przypadek naruszeń odnotowano w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie, gdzie z kolei mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono.

Stwierdzono nieprawidłowe udostępnianie dokumentacji medycznej osobom innym niż pacjent. Okazało się, iż w 2 skontrolowanych placówkach kopie dokumentacji medycznej otrzymały osoby nieupoważnione przez pacjenta, co jest także niezgodne z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta. Poważne przypadki naruszeń w tym zakresie wystąpiły min.: w Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku, gdzie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta oraz w SP ZOZ w Augustowie w 3 przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym samym szpitalu wystąpiły nieprawidłowości w zakresie udostępniania dokumentacji medycznej za pośrednictwem poczty elektronicznej.

W dalszej kolejności NIK stwierdził nieprawidłowości w 7 kontrolowanych szpitalach w zakresie upoważnienia do przetwarzania danych osobowych osób, które nie udzielają pacjentom świadczeń zdrowotnych, takich jak salowe i sanitariusze. Osoby te nie powinny mieć dostępu do wrażliwych danych osobowych jak historia choroby bądź przebieg leczenia pacjenta.

prawo do prywatności

Kontrola NIK wykazała, że aż 37 % badanych szpitali nie zagwarantowała pacjentom w sposób właściwy prawa do prywatności w trakcie rejestracji. Powodem tego było niewystarczające oddzielnie stref pacjentów rejestrujących się od pacjentów oczekujących, w wyniku czego osoby postronne mogły słyszeć treści rozmów pacjentów o ich stanie zdrowia z personelem szpitala.

Nieco lepiej kształtuje się ochrona danych osobowych pacjentów na opaskach identyfikacyjnych, jednak jedynie w 54% skontrolowanych szpitali informacje umieszczone na rzeczonych opaskach były zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby nieupoważnione.

Jak wynika z raportu kontrolnego NIK w większości szpitali funkcjonowały rozwiązania chroniące dane osobowe pacjentów umieszczane na kartach gorączkowych przy łózkach pacjentów.

systemy informatyczne

NIK miał również zastrzeżenia w tej części – aż 75% szpitali nie wdrożyło wystarczających i odpowiednich środków ochrony danych osobowych i medycznych pacjentów przechowywanych w postaci elektronicznej.

Kolejnym niepokojącym zjawiskiem okazywało się przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek. Jednak skala tego zjawiska była niewielka, gdyż dotyczyła tylko 3% zgłoszeń serwisowych.

W raporcie kontrolnym wskazano także na nieprawidłowości w odbieraniu uprawnień do systemów informatycznych w odniesieniu do osób, które odeszły z pracy. Byłym pracownikom nie odbierano uprawnień a jedynie odbierano dostęp do systemów informatycznych, co zdaniem NIK było działaniem niewystarczającym. Taka sytuacja miała miejsce w Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie (dotyczyło 30 byłych pracowników), w Specjalistycznym Psychiatrycznym ZOZ w Suwałkach (dotyczyło 15 byłych pracowników). Z kolei w Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu.

Problemem okazało się niewłaściwe stosowanie ochrony antywirusowej posiadanych komputerów – jako szczególnie naganne NIK ocenił posługiwanie się przez pracowników tymi samymi loginami i hasłami dostępu do systemów informatycznych, a nawet stwierdził brak konieczności logowania się do komputera.

Z raportu wynika, iż zawiódł także system szkoleń. Kontrola wykazał, iż rutyna i utarte schematy personelu miały znaczący wpływ na brak zmiany podejścia do zagadnień związanych z ochroną danych osobowych pacjentów.

Anna Olesiuk
adwokat

———–

autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła studia prawnicze na Wydziale Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych;

Kamery i inne urządzenia rejestrujące nasz wizerunek, głos i śledzące np. trasę przemieszczania się otaczają nas ze wszystkich stron. Powszechne ich użycie powoduje, że zmniejsza się w sposób znaczny i w szybkim tempie nasze poczucie intymności i często możemy odbierać to jako naruszenie pewnej bariery prywatności i upublicznienie sfery zarezerwowanej tylko do relacji osobistych, a nawet poufnych.

Monitoring jest bardzo inwazyjną formą przetwarzania danych osobowych, dlatego też stosowanie urządzeń rejestrujących obraz i dźwięk obwarowane jest przepisami, które mają chronić nas przed nadmierną ingerencją w obszar naszej intymności i prywatności. Regulują to przepisy ogólne (RODO) i prawo krajowe. Na ten temat zostały wydane m.in. wytyczne Europejskiej Rady Ochrony Danych (EROD), jak również wyjaśnienia Prezesa Urzędu Ochrony Danych Osobowych.

Miejscem, gdzie sfera prywatności powinna podlegać najściślejszej ochronie są placówki, w których realizowane są usługi zdrowotne. Dla kierowników podmiotów udzielających świadczeń opieki zdrowotnej, którzy w dominującej większości są również administratorami danych osobowych, niezwykle istotna jest odpowiedź na pytanie, jak wykorzystywać monitoring wizyjny zgodnie z prawem.

Pomocny w tym względzie może być wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13.09.2019 r. sygn. VII SA/Wa 1545/19. Orzeczenie to wyraźnie definiuje termin „zbiorowe prawa pacjentów” i wskazuje potencjalne zachowania lub zaniechania, które mogą stanowić o zakwalifikowaniu sposobu postępowania, jako praktyki naruszającej zbiorowe prawa pacjentów. Sąd podzielił zdanie Rzecznika Praw Pacjenta (RPP) i uznał za niedopuszczalne praktyki polegające na udzielaniu świadczeń zdrowotnych w salach operacyjnych i zabiegowych, na których zainstalowane są urządzenia monitoringu wizyjnego (kamery), bez informowania o tym fakcie pacjentów i pobierania od nich zgody na monitorowanie. Sąd uznała takie praktyki za naruszające zbiorowe prawo pacjentów do poszanowania intymności i godności.

Co istotnego wynika z tego orzeczenia dla zarządzających placówkami medycznymi?

Po pierwsze, Sąd określił zakres znaczeniowy terminu „zbiorowe prawa pacjentów”. Do tej pory występował istotny kłopot interpretacyjny, jak rozumieć to pojęcie. Wobec braku definicji legalnej
i przy zastrzeżeniu przepisu ustawy z dnia 6 listopada 2008r. o prawach pacjenta i Rzeczniku Praw Pacjenta zawartym w art. 53 ust. 1 zd. 2. iż: „Nie jest zbiorowym prawem pacjentów suma praw indywidualnych”, w uzasadnieniu wyroku wywiedziono, że: „Ustawodawca objął ochroną prawa aktualnych i potencjalnych pacjentów, traktowanych jako zbiorowość, ustanawiając tym samym odrębny przedmiot ochrony, niezależny od indywidualnych praw podmiotowych”. To istotna konkluzja mogąca mieć znaczenie dla kierunku orzecznictwa w zakresie ochrony zbiorowych praw pacjentów.
W tym konkretnym przypadku uznano, że objęcie monitoringiem wszystkich pacjentów, którym udzielano świadczeń w salach operacyjnych i zabiegowych, gdzie stosowano monitoring, bez pobierania zgody od pacjentów w tym zakresie, a nawet bez informowania ich o tym, stanowi naruszenie prawa do intymności „nieoznaczonej z góry większej liczby pacjentów”.

Po drugie, w przedmiotowym orzeczeniu wskazano praktyczne przesłanki jakie muszą charakteryzować przyjętą w podmiocie leczniczym praktykę, aby można było ją zakwalifikować jako postępowanie naruszające zbiorowe prawa pacjentów. Postępowanie to musi być bezprawne (sprzeczne z prawem) oraz zorganizowane, a nadto cechować je powinna powtarzalność, wskazująca na stałość przyjętej metody postępowania (nie może ono być incydentalne). Bez trudu można wykazać, że opisane wyżej stosowanie monitoringu spełniało te kryteria. Bezprawność – nawet niezamierzona – skutkująca naruszeniem prawa pacjentów do intymności, działanie zorganizowane wyrażające się
w zaplanowaniu, zainstalowaniu i funkcjonowaniu systemu monitoringu w określonym czasie, czyli powtarzalne, mające znamiona procesu stałego – to cechy postępowania podmiotu leczniczego pozwalające uznać, że stosowane praktyka narusza zbiorowe prawa pacjentów.

Po trzecie, na kanwie tego orzeczenia można określić warunki zgodnego z prawem stosowania monitoringu w pomieszczeniach podmiotów wykonujących działalność leczniczą. Co do zasady, możliwość stosowania kamer została dopuszczona w pomieszczeniach wskazanych w przepisach rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą
i są to pomieszczenia:

– zespołu porodowego,

– oddziału dziecięcego,

– oddziału psychiatrycznego,

– stacji dializ.

Ponadto rozporządzenie Ministra Zdrowia z dnia 16 grudnia 2016 r. w sprawie standardu organizacyjnego opieki zdrowotnej w dziedzinie anestezjologii i intensywnej terapii dopuszcza możliwość obserwacji bezpośredniej przy użyciu kamer na:

– oddziałach anestezjologii i intensywnej terapii,

– oddziałach anestezjologii.

To są w zasadzie wszystkie pomieszczenia, w których udzielane są świadczenia zdrowotne, w jakich przepisy dopuszczają stosowanie kamer.

Oczywistym jest, że o stosowanym monitoringu należy powiadomić wszystkich, którzy mogą znaleźć się w strefie jego oddziaływania. Co istotne, informacja nie może ograniczać się tylko do ikon (piktogramów) ale powinna być widoczna, czytelna, napisana językiem prostym, zrozumiałym
i zawierać najważniejsze dane: kto jest administratorem danych, cel monitoringu, jego zasięg i odesłanie – informację o miejscu lub sposobie uzyskania wszelkich szczegółowych informacji w tym zakresie.

W regulacjach wewnętrznych administratorzy danych winni opisać system działania monitoringu, jego cel, zasięg, sposób i zakres rejestracji danych, czas przechowywania zapisu, osoby upoważnione do dostępu do tych danych itp.

Na marginesie należy zaznaczyć, że nie budzi wątpliwości zasadność stosowania monitoringu w ciągach komunikacyjnych, czy innych ogólnodostępnych obszarach np. wejście, recepcja. Przepisy pozwalają na takie wykorzystanie tej technologii, która w miejscach ogólnodostępnych, nie tylko nie narusza praw pacjentów ale może znacząco poprawić bezpieczeństwo personelu i pacjentów.

Anna Karkut

menedżer jednostek opieki zdrowotnej, prawnik

lider Instytutu – Specjaliści Prawa Ochrony Zdrowia

Przypomniał o tym Prezes Urzędu Ochrony Danych Osobowych w decyzji z dnia 12 kwietnia 2019r. nr ZSZZS.440.659.2018 dot. przekazania danych o stanie zdrowia w związku z ochroną zdrowia psychicznego, na skutek skargi osoby, co do której małżonek wystąpił do Sądu Rejonowego z wnioskiem o umieszczenie w szpitalu psychiatrycznym bez jej zgody.

Prezes UODO w ww. decyzji odmówił uwzględnienia wniosku Skarżącej, w szczególności w zakresie zakazu udostępniania jej danych osobowych podmiotom nieuprawnionym i wprowadzenia całkowitego zakazu przetwarzania jej danych osobowych. W treści skargi Skarżąca wskazała, że Zespół udostępnił informacje na temat stanu zdrowia, tj. wydał zaświadczenie zawierające jej dane osobowe, jak również informacje z przebiegu badania lekarskiego oraz wnioski lekarskie, osobie do tego nieuprawnionej, tzn. jej mężowi. Prezes UODO uznał, że zgodne z prawem było udostępnienie orzeczenia lekarza psychiatry mężowi Skarżącej, który był osobą uprawnioną do złożenia wniosku do właściwego sądu o umieszczenie Skarżącej w szpitalu psychiatrycznym bez jej zgody w trybie przewidzianym ww. ustawą o ochronie zdrowia psychicznego.

Z ustalonego stanu faktycznego wynikało, że w lutym 2018 r. Skarżąca została przywieziona do Zespołu przez pogotowie ratunkowe w asyście Policji, gdzie była konsultowana na izbie przyjęć. Z uwagi na brak zaistnienia przesłanek określonych w art. 23 ust. 1 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego nie została przyjęta do Zespołu, ponieważ nie wyraziła na to zgody. Zespół wydał jej mężowi zaświadczenie, że Skarżąca wymaga leczenia psychiatrycznego, w celu wdrożenia procedury o przyjęcie Skarżącej do szpitala psychiatrycznego na jego wniosek. Małżonek Skarżącej wystąpił do Sądu Rejonowego z wnioskiem o umieszczenie Skarżącej w szpitalu psychiatrycznym bez jej zgody.

Prezes UODO w ww. decyzji przypomniał, że przetwarzanie danych szczególnie chronionych, w tym danych o stanie zdrowia (także przed wejściem w życie RODO) było i jest dopuszczalne w sytuacji, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarzał pełne gwarancje ich ochrony. Takim przepisem szczególnym jest art. 29 ust. 1 pkt 1 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego. Zgodnie z jego treścią do szpitala psychiatrycznego może być przyjęta bez zgody, osoba chora psychicznie, której dotychczasowe zachowanie wskazuje na to, że nieprzyjęcie do szpitala spowoduje znaczne pogorszenie stanu jej zdrowia psychicznego. Na mocy ust. 2 ww. przepisu o potrzebie przyjęcia do szpitala psychiatrycznego takiej osoby bez jej zgody orzeka sąd opiekuńczy miejsca zamieszkania tej osoby m.in. na wniosek jej małżonka. Do takiego wniosku, dołącza się orzeczenie lekarza psychiatry szczegółowo uzasadniające potrzebę leczenia w szpitalu psychiatrycznym. Orzeczenie lekarz psychiatra wydaje na uzasadnione żądanie osoby lub organu uprawnionego do zgłoszenia wniosku o wszczęcie postępowania (art. 30 ust. 1 ustawy o ochronie zdrowia psychicznego).

Prezes UODO przypomniał, że sformułowany aktualnie w art. 9 ust. 2 RODO katalog okoliczności legalizujących proces przetwarzania danych o stanie zdrowia obejmuje m.in. sytuację, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego (art. 9 ust. 2 lit. h) RODO) lub też gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 9 ust. 2 lit. c) RODO).

W uzasadnieniu nadto Prezes UODO wskazał, że Zespół przetwarza dane osobowe Skarżącej zawarte w dokumentacji medycznej, tj. dane identyfikacyjne oraz informacje o stanie zdrowia w celach archiwalnych. Uzasadniając odmowę uwzględnienia wniosku Skarżącej w zakresie całkowitego zakazu przetwarzania jej danych osobowych Prezes UODO wskazał na przepis art. 24 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta, zgodnie z którym podmiot udzielający świadczeń zdrowotnych jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w przedmiotowej ustawie oraz w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, a także zapewnić ochronę danych zawartych w tej dokumentacji. Stosownie zaś do treści art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna podlega przechowywaniu przez podmiot udzielający świadczeń zdrowotnych przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu i przez ten okres żadne dane, nie mogą być z niej usunięte. W myśl bowiem § 4 ust. 3 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania wpis dokonany w dokumentacji nie może być z niej usunięty, jedynie wówczas, gdy został dokonany błędnie, skreśla się go i zamieszcza adnotację o przyczynie błędu oraz datę i oznaczenie osoby dokonującej adnotacji, zgodnie z § 10 ust. 1 pkt 3.

Leszek Kubicz Beata Urbańska

radca prawny radca prawny

Leszek Kubicz od wielu lat zajmuje się problematyką prawa medycznego i systemu ochrony zdrowia w Polsce. Odbył aplikację radcowską w latach 2002 – 2005; od marca 2006r. radca prawny, wykonujący zawód w formie własnej kancelarii założonej w kwietniu 2006 r. Autor kilkunastu analiz, komentarzy i wzorów pism z dziedziny prawa medycznego i innych gałęzi prawa. Prowadzi szkolenia zawodowych z problematyki prawa medycznego i wykonywania zawodów medycznych (https://fermus-kubicz.eu/).

W dniu 19 września 2019r. w Gdańsku podczas Forum Menedżerów Służby Zdrowia przedstawiciele Instytutu- Specjaliści Prawa Ochrony Zdrowia przeprowadzili w Gdańsku dwa szkolenia: pierwsze dot. ochrony danych osobowych w ochronie zdrowia (adw. Karol Kolankiewicz), zaś drugi wykład był poświęcony ochronie dóbr osobistych pracowników ochrony zdrowia (adw. Łukasz Płaza i adw. Krzysztof Izdebski).

Zachęcam do zapoznania się z ich treścią w zakładce ” Materiały szkoleniowe”.

adwokat Karol Kolankiewicz

Od dnia 12 lipca 2019r. zaczyna obowiązywać ustawa z dnia 22 listopada 2018 r. o dokumentach publicznych. Ustawa ustala 3 kategorie dokumentów publicznych. Do kategorii pierwszej – najistotniejszej z punktu widzenia bezpieczeństwa państwa – zaliczone zostały m.in. dokumenty tożsamości, tzn. dowód osobisty, paszport, czy prawo jazdy. Do tej najważniejszej kategorii zaliczone zostały także dokumenty istotne dla lekarzy, tzn. prawo wykonywania zawodu lekarza i prawo wykonywania zawodu lekarza dentysty (art. 5 ust. 2 ww. ustawy).

Newer Posts

Older Posts

Newsy

Wgląd do baz danych – „martwe” prawo pacjenta ??

Alarmujący raport NIK dot. stosowania RODO w szpitalach

Prawo do prywatności a monitoring wizyjny w placówkach opieki zdrowotnej

Zgoda nie jest jedyną podstawą przetwarzania danych

ISPOZ na Forum Menedżerów Służby Zdrowia w Gdańsku

Ostrożnie z kserowaniem dowodu osobistego i prawa wykonywania zawodu lekarza od dnia 12 lipca 2019r.!!

Tagi

Najnowsze artykuły

Nasz Lider laureatem Nagrody Pro Bono Societatis Medicorum Pomeraniae

Zmiany u przedsiębiorców w 2025 roku

Kiedy przysługuje obrońca z urzędu przed sądem lekarskim ?

Szukaj na stronie