Medium link

Prawo pacjenta do kopii danych osobowych - komunikat dla podmiotów wykonujących działalność leczniczą

Dokument .pdf ze strny www.rpp.gov.pl

Warszawa, dnia 21.06.2018 r.

BIURO RZECZNIKA PRAW PACJENTA
DEPARTAMENT PRAWNY
Prawo pacjenta do kopii danych osobowych


komunikat dla podmiotów wykonujących działalność leczniczą

 

     W związku z licznymi zapytaniami przedstawicieli podmiotów leczniczych dotyczącymi stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizy cznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) w zakresie obowiązku udostępnienia kopii danych osobowych, poniżej przedstawione zostało stanowisko Rzecznika Praw Pacjenta dotyczące poruszanej problematyki.

     Na wstępie należy wyjaśnić, co należy rozumieć pod pojęciem danych osobowych. Zgodnie z definicją wskazaną w art. 4 pkt 1 RODO „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer i dentyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. RODO w art. 4 pkt 15 definiuje również pojęcie „danych dotyczących zdrowia”, przez które należy rozumieć dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej ujawniające informacje o stanie jej zdrowia. Warto dodać, że z treści motywu 35 RODO wynika, że: „do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (9); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro”.

     Nośnikiem danych osobowych pacjenta jest w szczególności dokumentacja medyczna. Nie można bowiem sporządzić dokumentacji medycznej bez danych osobowych pacjenta. Zgodnie z art. 25 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna zawiera m.in: oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości: nazwisko i imię (imiona), datę urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, jeżeli został nadany, w przypadku noworodka numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL rodzaj i numer dokumentu potwierdzającego tożsamość oraz opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych. Tym samym każda strona dokumentacji medycznej musi zawierać ww. dane.

      Poszczególne rodzaje dokumentacji medycznej określono w rozporządzeniu Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania, zwanym dalej „rozporządzeniem”. Przykładem dokumentacji medycznej jest m.in. historia choroby, którą podmiot leczniczy prowadzący szpital jest obowiązany sporządzić i prowadzić. Historia choroby zawiera pogrupowane informacje dotyczące: przyjęcia pacjenta do szpitala; przebiegu hospitalizacji i wypisania pacjenta ze szpitala oraz rozpoznania onkologicznego ustalonego po wypisaniu pacjenta ze szpitala, na podstawie wyniku badania diagnostycznego, który nie był znany w dniu wypisu ze szpitala (§ 14 rozporządzenia). Do historii choroby dołącza się dokumenty
dodatkowe, w szczególności: wyniki badań diagnostycznych wraz z opisem, jeżeli nie zostały wpisane w historii choroby. Innym przykładem dokumentacji medycznej indywidualnej wewnętrznej przeznaczonej na potrzeby podmiotu udzielającego świadczeń zdrowotnych, jest m.in. karta noworodka. Prawodawca w § 23 rozporządzenia określił, co powinna zawierać
ww. karta, wskazując w szczególności na dane dotyczące matki noworodka: imię i nazwisko, adres zamieszkania, wiek, numer PESEL matki, a w przypadku braku numeru PESEL rodzaj i numer dokumentu potwierdzającego tożsamość matki, grupę krwi oraz czynnik Rh.

     Wszystkie powyższe dane stanowiące jedną całość mieszczą się w pojęciu danych osobowych, gdyż pozwalają na identyfikację pacjenta.

     Przepisy RODO nałożyły na administratorów danych, którymi są również podmioty udzielające świadczeń zdrowotnych, nowe obowiązki. Jednym z tych obowiązków jest obowiązek dostarczania kopii danych osobie, której te dane dotyczą. Zgodnie z art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

     Przyjmując zatem prezentowane wyżej stanowisko, pierwsza kopia dokumentacji medycznej jest bezpłatna. Przy czym za kolejne kopie uznaje się w szczególności dokumentację medyczną w zakresie, w jakim była uprzednio udostępniona. Jeżeli dokumentacja medyczna udostępniona była już w tym trybie za dany okres, a wniosek o udostępnienie dokumentacji medycznej dotyczy okresu późniejszego, który nie był uprzednio objęty wnioskiem powinna być udostępniona bezpłatnie. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

     Jeżeli dane osobowe przetwarzane są w prowadzonej dokumentacji medycznej, to dostarczenie kopii tych danych nie może być dokonane bez udostępnienia tej dokumentacji. Operacje wykonywane na danych osobowych pacjentów odbywają się w szczególności w ramach sporządzania i prowadzenia dokumentacji medycznej. Nie można zatem rozdzielić nośnika danych od samych danych. Ponadto nie można ograniczać prawa z art. 15 ust. 3 RODO, a żądanie wydania kopii danych osobowych przetwarzanych w dokumentacji medycznej powinno powodować powstanie obowiązku udostępnienia pacjentowi wszystkich stron tej dokumentacji.

     Wątpliwości może budzić używanie odmiennych pojęć przez prawodawcę unijnego krajowego. W art. 15 ust. 3 RODO użyto słowa „dostarcza” kopie danych, a prawodawca krajowy w art. 26 ust. 1 i art. 27 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta 4 posługuje się pojęciem: „udostępnia”. Skutek wykonania obowiązku, który spoczywa na danym podmiocie leczniczym, jest ten sam pacjent uzyskuje dokumentację medyczną stając się jej posiadaczem. Naczelny Sąd Administracyjny w pojęciu „udostępnienie”, o którym mowa w art. 27 ww. ustawy upatruje również czynności związanych z przesłaniem dokumentacji medycznej za pośrednictwem operatora. Przesłanie dokumentacji medycznej to nic innego jak jej dostarczenie za pośrednictwem osób trzecich. Zachowując obowiązek zabezpieczenia danych przed dostępem osób nieuprawnionych, dokumentacja medyczna może być zatem wysłana na adres wskazany przez uprawnionego wnioskodawcę.

     Wobec powyższego jeżeli wniosek pacjenta dotyczy żądania dostarczenia przez podmiot leczniczy kopii danych osobowych, sprowadza się do żądania dostarczenia kopii danych przetwarzanej w dokumentacji medycznej. Pacjent może we wniosku wyraźnie wskazać, iż żąda kopii dokumentacji medycznej w trybie art. 15 ust. 3 RODO. Do realizacji takiego żądania nie mogą mieć zastosowania tylko przepisy RODO, gdyż przedmiotem czynność podmiotu leczniczego jest dokumentacja medyczna. Znajdą więc w szczególności zastosowanie zarówno przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz przepisy rozporządzenia.

     Stosowanie przepisów prawa krajowego w zakresie dostępu do dokumentacji medycznej nie narusza wspólnotowego charakteru przepisów RODO. Nie można powiedzieć, że ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenie są niezgodne z RODO. Nie prowadzą również do zmiany znaczenia RODO. Celem wprowadzenia prawa do kopii danych było umożliwienie osobom, których dane dotyczą, większej kontroli nad tymi danymi. Nie stoi w sprzeczności z tym celem zastosowanie w procedurze dostępu do danych osobowych przetwarzanych w dokumentacji medycznej przepisów ww. ustawy oraz rozporządzenia.

     Jednakże w sytuacji kiedy z art. 15 ust. 3 RODO wynika, że pierwsza kopia danych jest dostarczana bezpłatnie nie mogą znaleźć zastosowania przepisy ww. ustawy w zakresie pobierania opłat za udostępnienie dokumentacji medycznej. Pozostawałoby to w jawnej sprzeczności z ww. przepisem RODO, który stanowi, że dopiero za kolejne kopie tych danych można pobrać opłatę.

     Kolejnym problemem, jaki może napotkać podmiot udzielający świadczeń zdrowotnych przy realizacji obowiązku określonego w art. 15 ust. 3 RODO, jest czas w jakim kopia tych danych ma być dostarczona. Zgodnie z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki a w każdym razie w terminie miesiąca od otrzymania żądania udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15 - 22. Niemniej jednak przepis ten dotyczy tylko kwestii informacyjnej o działaniach podjętych w związku z żądaniem m.in. dostarczenia kopii danych osobowych. RODO nie wskazuje zatem terminu, w którym ww. podmiot, będący administratorem danych, realizuje obowiązek wynikający z art. 15 ust. 3 RODO. W zakresie kopii danych przetwarzanych w dokumentacji medycznej znajdzie więc zastosowanie przepis § 78 ust. 1 rozporządzenia. Zgodnie z tym przepisem podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację pod
miotom i organom uprawnionym bez zbędnej zwłoki. Jego zastosowanie przy realizacji prawa, o którym mowa w art. 15 ust. 3 RODO nie prowadzi do naruszenia praw i wolności innych osób. Ponadto art. 12 ust. 3 RODO jak również § 78 ust. 1 rozporządzenia używają tych samych pojęć odnoszących się do czasu: „bez zbędnej zwłoki”.

     W wyroku z dnia 22 lipca 2016 r. Naczelny Sąd Administracyjny wskazał, że „nie można przyjąć, że nałożenie obowiązku udostępnienia dokumentacji medycznej „bez zbędnej zwłoki” dopuszcza zwło
kę w działaniu. Dopuszczenie zwłoki z przyczyn braku dostatecznej organizacji podmiotu leczniczego wykonania obowiązku wobec pacjentów, którym udzielone są świadczenia, jest nie do przyjęcia. Przesłankę „bez zbędnej zwłoki” należy odnieść tylko do potrzeby podjęcia czynności przygotowania dokumentacji medycznej, której przygotowanie nie jest związane z podjęciem złożonych czynności, jako że podmiot udzielający świadczeń ma obowiązki przechowywania dokumentacji. W zasadzie bez zbędnej zwłoki związane jest z obowiązkiem udostępniania tej dokumentacji niezwłocznie (...).”
Żądanie wydania kopii dokumentacji medycznej powinno być zrealizowane niezwłocznie, co oznacza, że czynności z tym związane powinny być rozpoczęte natychmiast po wpłynięciu wniosku zawierającego to żądanie. Niezwłoczne podjęcie czynności mających na celu wykonanie kopii tej dokumentacji stanowi więc podstawę do uznania, że postępowanie podmiotu leczniczego jest zgodne z
przepisami prawa.

     Sformułowana w art. 5 ust. 1 lit a RODO zasada przejrzystoś ci wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o prawach wynikających z RODO.

     Administrator powinien ułatwiać osobom, których dane dotyczą, wykonanie praw przysługujących im na mocy artykułów 15 - 22 RODO, poprzez wdrożenie procedur ułatwiających ich wykonywanie, w tym zapewnić możliwość wnoszenia odpowiedn ich żądań. Zatem podmioty wykonujące działalność leczniczą jako administratorzy danych, powinny informować pacjentów o ich prawach, w szczególności o prawie do bezpłatnego otrzymania pierwszej kopii swoich danych, w tym dokumentacji medycznej.

     Jeżeli administrator nie spełni żądania dostarczenia kopii danych zawartej w dokumentacji medycznej, Pacjentowi przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz skorzystania ze środków ochrony prawnej przed sądem (art. 12 ust. 4 RODO). W przypadku kiedy podmiot leczniczy między innymi dopuszcza się zwłoki w udostępnianiu dokumentacji medycznej, pacjentowi przysługuje możliwość zgłoszenia sprawy do Rzecznika Praw Pacjenta.

     Powyższe jest opinią Rzecznika Praw Pacjenta, nie zaś legalną interpretacją stanu prawnego.

 

Początek strony