Żeby ułatwić podmiotom medycznym przygotowanie się do nowych obowiązków, powstał kodeks dla ochrony zdrowia. Doprecyzowuje on regulacje zawarte w unijnym rozporządzeniu o ochronie danych osobowych, czyli tzw. RODO.
Placówki medyczne wdrażające kodeks będą musiały dostosować się do wielu wymagań, jakie wprowadza RODO, a jakie uszczegóławia kodeks branżowy. Wśród tych wymagań znalazły się:
- prowadzenie wszelkiej komunikacji z pacjentem w zakresie realizacji jego praw związanych z przetwarzaniem danych osobowych w języku polskim (jeśli pacjent nie posługuje się tym językiem – w miarę możliwości należy zapewnić mu otrzymanie informacji w znanym mu języku);
- prowadzenie komunikacji w sposób zwięzły, przejrzysty, zrozumiały i prostym językiem dla odbiorcy;
- prowadzenie komunikacji w formie pisemnej, ustnej lub elektronicznej;
- prowadzenie komunikacji bez zbędnej zwłoki, udzielenie odpowiedzi nie później niż w ciągu miesiąca;
- udzielanie wszelkich informacji po uprzednim ustaleniu tożsamości pacjenta;
- zasada, że komunikacja jest wolna od opłat (wyjątkiem jest sytuacja, kiedy żądania pacjenta są nieuzasadnione lub nadmierne - chodzi o realizację żądań z art. 15-22 RODO - wtedy można określić cennik opłat za udostępnienie informacji). Za nadmierne żądanie informacji uważa się wystąpienie o ich uzyskanie częściej niż raz na 3 miesiące, jeżeli zakres żądanych informacji w placówce medycznej nie uległ zmianie, a także żądanie sztucznie podzielonych informacji czy też żądanie niestandardowego formatu odpowiedzi lub żądanie odpowiedzi w języku innym niż polski);
- odmowa żądania informacji może mieć miejsce, gdy może spowodować nieuprawnione ujawnienie tajemnicy przedsiębiorstwa, tajemnicy zawodowej lub danych osobowych innego pacjenta, a także gdy realizacja żądania spowodowałaby utrudnienie w działalności placówki medycznej;
- podmiot wykonujący działalność leczniczą zobowiązany jest do każdorazowego uzasadnienia i podania do wiadomości osoby zgłaszającej żądanie przyczyny pobrania dodatkowej opłaty lub odmowy podjęcia działań poprzez wskazanie dlaczego w jego ocenie żądania są ewidentnie nieuzasadnione lub nadmierne.
Pełen dostęp do dokumentacji
Dokumentacja medyczna pacjenta jest udostępniania na podstawie art. 26 i 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzeń wykonawczych do tej ustawy. Wyjątkiem jest udostępnienie danych na podstawie prawa pacjenta do dostępu do danych osobowych wynikającego z art. 15 RODO, zgodnie z którym osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
- a) cele przetwarzania;
- b) kategorie odnośnych danych osobowych;
- c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- f) informacje o prawie wniesienia skargi do organu nadzorczego;
- g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle.
Kodeks branżowy zezwala na udostępnianie danych osobowych pacjenta zawartych w dokumentacji medycznej również za pośrednictwem platform wymiany danych, pod warunkiem zapewnienia odpowiednich środków bezpieczeństwa.
Upoważnienie do dostępu
Upoważnienie do dostępu do dokumentacji medycznej może być udzielone w dowolnej formie. Upoważnienie złożone w jednym podmiocie wykonującym działalność leczniczą zachowuje moc w innym podmiocie, chyba że coś innego wynika z treści upoważnienia.
Upoważnienie musi zawierać co najmniej:
- jednoznaczną identyfikację pacjenta;
- jednoznaczną identyfikację osoby udzielającej upoważnienia;
- jednoznaczną identyfikację osoby, której udzielane jest upoważnienie, poprzez wskazanie co najmniej imienia i nazwiska tej osoby.
Weryfikacja pacjentów
Podmiot wykonujący działalność leczniczą zobowiązany jest do ustalenia tożsamości pacjenta, osoby udzielającej upoważnienia oraz osoby uzyskującej dostęp do dokumentacji medycznej na podstawie upoważnienia.
Kodeks szczegółowo reguluje zasady dokonywania weryfikacji tożsamości takich osób. Po pierwsze, placówka medyczna ma obowiązek zweryfikować tożsamość przed m.in.:
- utrwaleniem danych osobowych zebranych od pacjenta;
- spełnieniem obowiązków informacyjnych / udzieleniem odpowiedzi wynikających z RODO;
- udostępnieniem informacji zawartych w dokumentacji medycznej.
Weryfikacja polega na kontroli okazanego przez pacjenta dokumentu potwierdzającego tożsamość – musi on mieć co najmniej zdjęcie, imię i nazwisko, PESEL lub inny numer identyfikujący jednoznacznie pacjenta (takim dokumentem będzie dowód osobisty, paszport, prawo jazdy, legitymacja studencka).
Placówka medyczna może utrwalić informację o dokonaniu weryfikacji tożsamości (o dacie i przedstawionym dokumencie). Jeśli pacjent nie zgłasza się osobiście, tylko na odległość lub gdy placówka ma wątpliwości co do tożsamości pacjenta, może ona żądać od pacjenta dodatkowych informacji lub dodatkowych działań potwierdzających tożsamość (np. podanie dodatkowych danych osobowych, przedstawienie innego dokumentu), w takiej sytuacji placówka medyczna jest uprawniona do adekwatnego wymagania szerszego zakresu danych niż wymagany przepisami prawa w zakresie prowadzenia dokumentacji medycznej.
Ekspert: weryfikacja zawsze osobiście
Maciej Łokaj, radca prawny podkreśla, że placówki medyczne przetwarzają szczególnie wrażliwe dane, jakimi są dane medyczne pacjentów. - Kwestia weryfikacji tożsamości osób żądających dostępu do tychże danych nabiera wręcz kluczowego charakteru – mówi Maciej Łokaj. - W mojej opinii, zagadnienie to winno posiadać osobny podrozdział we wdrażanych w jednostkach ochrony zdrowia politykach ochrony danych osobowych. Zgadzam się niewątpliwie z tym, że samo żądanie dostępu do danych zwłaszcza zawartych w dokumentacji medycznej ma de facto drugorzędny charakter, pod bezwzględnie spełnionym warunkiem ustalenia i potwierdzenia tożsamości żądającego.
Zdaniem Łokaja weryfikacja tożsamości, winna zawsze odbywać się osobiście, tak aby pracownik jednostki ochrony zdrowia miał możliwość potwierdzenia faktu, iż ma do czynienia z daną osobą w zestawieniu z jej dokumentem tożsamości. - W przypadku zaistnienia jakichkolwiek wątpliwości, pracownik ma pełne prawo odmówić realizacji określonego żądania – podkreśla radca prawny.
Jeśli tożsamość pacjenta zostanie zweryfikowana i potwierdzona, pacjent nie ma co do zasady obowiązku składania swojego żądania, np. dotyczącego dostępu do dokumentacji medycznej, na piśmie. Może to zrobić w dowolnej formie. Łokaj przypomina orzeczenie NSA (sygn. II OSK 1134/16), które wydane zostało w tym zakresie nieco „przy okazji”, ale spowodowało wiele zasadnych wątpliwości po stronie placówek medycznych.
- O ile udostępnianie dokumentacji medycznej samemu pacjentowi, którego tożsamość została potwierdzona, np. na podstawie ustnego żądania jest już stosowana w jednostkach ochrony zdrowia, o tyle dowolność formy upoważnienia nadal wywołuje pewien opór – mówi Łokaj. - Faktem jest, że bazowanie przez placówki medyczne wyłącznie na upoważnieniach pisemnych nie znajduje wyraźnego potwierdzenia w przepisach ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, nie mniej jest stosowane głównie ze względu na możliwe ograniczenie ryzyka po stronie placówki medycznej udostępnienia danych medycznych osobie niepowołanej oraz znanego z praktyki przysłowiowego „śladu w dokumentach”.
Zdaniem radcy prawnego, z punktu widzenia zagadnienia ochrony danych osobowych, rozważania dotyczące ryzyka jednostki ochrony zdrowia pozostają w mocy. Dodatkowo pojawia się tutaj kwestia odpowiedzialności względem pacjenta oraz odpowiedzialności karnej i administracyjnej (kary finansowe) za przetwarzanie (a udostępnienie to forma przetwarzania) danych wrażliwych w sposób niezgodny z przepisami. Według mnie samo orzeczenie NSA sankcjonujące dowolną formę żądania, a tym samym również upoważnienia należy ocenić jako krok w bardzo dobrym kierunku – w założeniu uławiający działalność placówek z jednej strony i dostęp do danych pacjentom z drugiej.
- Wydaje się, jednak, że sąd pominął tutaj kilka innych aspektów, funkcjonujących w praktyce działania jednostek ochrony zdrowia, wskazanych wcześniej. Oznacza to, moim zdaniem, że pisemne wnioski oraz upoważnienia nadal będą funkcjonować, co zapewni placówkom możliwość wykazania przestrzegania regulacji RODO i nowej polskiej ustawy o ochronie danych osobowych (zasada rozliczalności) i nie narazi na dodatkowe konsekwencje prawne. Pod warunkiem oczywiście, że nie wpłynie na ograniczenie dostępu do danych osobowych dla zainteresowanych osób fizycznych – podkreśla radca prawny.