Komentarz omawia rodzaje i zawartość dokumentacji medycznej, dopuszczalność przetwarzania danych osobowych oraz prawo pacjenta do dostępu do dokumentacji medycznej. W opracowaniu przedstawiono także środki zapewniające ochronę danych osobowych, politykę bezpieczeństwa danych osobowych, sankcje karne za naruszenie przepisów o ochronie danych osobowych, a także wymóg wprowadzenia znaków identyfikacyjnych dla personelu medycznego oraz pacjentów przewidziany ustawą o działalności leczniczej.

1. Rodzaje i zawartość dokumentacji medycznej
Dokumentacja medyczna jest zbiorem danych opisujących stan zdrowia pacjenta oraz zakres udzielanych mu świadczeń. W jej skład wchodzą wszelkiego rodzaju dokumenty zawierające informacje o pacjencie, które umożliwiają ustalenie jego tożsamości, oraz o jego schorzeniu i wykonywanych w związku z tym zabiegach diagnostycznych, leczniczych czy rehabilitacyjnych, a także relacje z badania podmiotowego czy przedmiotowego, zalecenia lekarskie, epikryzy, karty informacyjne, skierowania, zaświadczenia, orzeczenia, opinie, wydruki z badań obrazowych i klisze. Dokumentacja medyczna może być tworzona przez lekarzy i innych pracowników medycznych, np. diagnostów laboratoryjnych, pielęgniarki, położne itd.
Z rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. Nr 252, poz. 1697) – dalej r.d.m. – wynika, że dokumentację medyczną można podzielić na:
1. indywidualną – odnoszącą się do poszczególnych pacjentów korzystających ze świadczeń zdrowotnych, która dzieli się na:
wewnętrzną – przeznaczoną na potrzeby podmiotu udzielającego świadczeń zdrowotnych, np. historia zdrowia i choroby, karta indywidualnej opieki pielęgniarskiej, karta noworodka, karta wizyty patronażowej;
zewnętrzną – przeznaczoną na potrzeby pacjenta korzystającego ze świadczeń zdrowotnych udzielanych przez podmiot, np. skierowanie do szpitala lub innego podmiotu, zaświadczenie, orzeczenie, opinia lekarska, karta przebiegu ciąży, karta informacyjna z leczenia szpitalnego;
2. zbiorczą – odnoszącą się do ogółu pacjentów lub określonych grup pacjentów korzystających ze świadczeń zdrowotnych i występującą jedynie w zakładach opieki zdrowotnej (a więc nie prowadzą jej lekarze prowadzący indywidualną praktykę medyczną), np. księga główna przyjęć i wypisów, księga oddziału chorych, księga zabiegów, księga raportów pielęgniarskich, księga pracowni diagnostycznych.

Zawartość dokumentacji jest zróżnicowana w zależności od tego, czy jest sporządzana przez lekarza prowadzącego indywidualną (grupową) praktykę lekarską czy też wykonującego swój zawód w zakładzie opieki zdrowotnej. Generalnie jednak każda dokumentacja medyczna powinna zawierać zgodnie z art. 25 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.) – dalej u.p.p. – następujące elementy:
1. oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości:
a) nazwisko i imię (imiona);
b) data urodzenia;
c) oznaczenie płci;
d) adres miejsca zamieszkania;
e) numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość;
f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania;
2. oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych;
3. opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych;
4. datę sporządzenia.
Należy przyjąć, że brak któregokolwiek z wyżej wymienionych elementów powoduje, że dany nośnik informacji przestanie być uznawany za dokumentację medyczną, natomiast w dalszym ciągu zawierać będzie dane pacjenta podlegające ochronie na mocy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – dalej u.o.d.o. Także zawartość merytoryczna dokumentacji, a więc odnosząca się do opisu stanu zdrowia i choroby pacjenta, została szczegółowo określona w przepisach wykonawczych, z uwzględnieniem zawartości dla poszczególnych rodzajów dokumentacji. Przykładowo § 42 r.d.m. nakazuje zawierać w dokumentacji medycznej pacjenta informacje o:
1. przebytych chorobach;
2. chorobach przewlekłych;
3. pobytach w szpitalu;
4. zabiegach lub operacjach;
5. szczepieniach i stosowanych surowicach;
6. uczuleniach;
7. obciążeniach dziedzicznych.

2. Dopuszczalność przetwarzania danych osobowych
Powyższe uwagi były niezbędne do wykazania, że dokumentacja medyczna zawiera dwa rodzaje danych osobowych: identyfikujące – związane z możliwością ustalenia tożsamości pacjenta, oraz medyczne – dotyczące stanu zdrowia pacjenta, rodzajów przeprowadzonych zabiegów czy operacji oraz udzielonych świadczeń medycznych. W zależności od tego, z którym rodzajem danych mamy do czynienia, ustawa o ochronie danych osobowych przewiduje odmienne przesłanki umożliwiające ich przetwarzanie. Zgodnie z art. 23 u.o.d.o. przetwarzanie identyfikujących danych osobowych jest dopuszczalne m.in. wtedy, gdy:
1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; przedmiotowa zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania;
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, np. marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Artykuł 27 u.o.d.o. w ust. 1 ustanawia zakaz przetwarzania tzw. wrażliwych danych osobowych: „Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”. Powyżej przedstawiony zakaz nie jest zakazem bezwzględnym; ustawa dopuszcza możliwość przetwarzania powyższych danych osobowych w następujących wypadkach:
1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,;
3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
4. przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
5. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
6. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Komentowany przepis określający podstawy prawne dla przetwarzania tzw. danych wrażliwych (zwanych też często danymi sensytywnymi) jest skonstruowany w sposób odmienny niż art. 23 u.o.d.o., określający przesłanki legalizujące przetwarzanie tzw. danych zwykłych (niewrażliwych). Przepis art. 27 ust. 1 u.o.d.o. ustanawia bowiem generalny zakaz przetwarzania danych osobowych, które mogą być uznane za dane wrażliwe, natomiast ust. 2 tego przepisu określa sytuacje, w których zakaz ten został przez ustawodawcę wyłączony. Analogicznie jak w przypadku art. 23 ust. 1 u.o.d.o., każda z przesłanek ma charakter autonomiczny i niezależny, a wskazana konstrukcja przesądza o zakazie prowadzenie ich wykładni rozszerzającej. Artykuł 27 ust. 1 u.o.d.o. definiuje pojęcie danych wrażliwych jako dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Katalog tych informacji ma charakter zamknięty – ich wyliczenie ma charakter wyczerpujący. Jak wskazuje się w literaturze, kryterium wyróżnienia tych informacji jako danych objętych szczególną ochroną należy upatrywać w okoliczności, że dotyczą one bezpośrednio sfer należących do prywatności czy nawet intymności osoby fizycznej, jak również w znacznie większym poczuciu zagrożenia oraz niebezpieczeństwie wywołania na różnych polach (zatrudnienie, ubezpieczenie, opieka zdrowotna itd.) decyzji dyskryminujących.

Przesłanka przetwarzania danych jest ograniczona zarówno przedmiotowo (cel przetwarzania) jak i podmiotowo (administratorzy danych). Do przetwarzania danych wrażliwych może dochodzić wyłącznie w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów. Uprawnienie do przetwarzania danych wrażliwych zostało jednak zastrzeżone wyłącznie dla osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych oraz zarządzaniem udzielaniem usług medycznych. Obejmuje ono zarówno lekarzy, stomatologów, pielęgniarki, położne, rehabilitantów, techników medycznych, laborantów. Ponadto pojęciem tym objęci będą również aptekarze i farmaceuci, gdyż zgodnie z wyrokiem Trybunału Konstytucyjnego z dnia 19 lutego 2002 r., sygn. akt U. 3/01, termin „usługi medyczne”, o którym mowa w art. 27 ust. 2 pkt 7 u.o.d.o., obejmuje m.in. zaopatrywanie pacjentów w leki.
Pewne wątpliwości może budzić sformułowanie dotyczące osób zawodowo zajmujących się usługami „zarządzania udzielaniem usług medycznych”. Uznać należy, że ustawodawcy może chodzić o część administracyjną związaną z leczeniem lub świadczeniem usług medycznych również wykonywaną zawodowo. Na tle tego przepisu podkreśla się, że chodzi tu przede wszystkim o przetwarzanie danych przez Narodowy Fundusz Zdrowia oraz np. przez rejestracje pacjentów prowadzone na potrzeby określonych badań lub też na potrzeby określonych zabiegów, które mogą być prowadzone przez osoby, które nie trudnią się zawodowo (zgodnie z wykształceniem lub uprawnieniami) leczeniem lub usługami medycznymi (np. rejestratorka, informatyk), a w ramach których może dochodzić do przetwarzania danych wrażliwych (np. umieszczonych w kartach pacjentów lub skierowaniach).

3. Prawo pacjenta do dostępu do dokumentacji medycznej
Zgodnie z art. 23 u.p.p. pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych. Należy o tym pamiętać, ponieważ podmiot udzielający świadczeń zdrowotnych ma obowiązek udostępnić dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej przez pacjenta, a także osobie upoważnionej za życia pacjenta do wglądu w dokumentację medyczną po śmierci pacjenta. Bardzo ważnym zagadnieniem, głównie pod kątem odpowiedzialności karnej za udostępnianie danych osobowych podmiotom nieupoważnionym, jest krąg podmiotów uprawnionych do uzyskania danych osobowych pacjentów zakładów opieki zdrowotnej. Artykuł 26 ust. 3 u.p.p. określa zamknięty krąg podmiotów, którym zakład opieki zdrowotnej udzielający świadczeń zdrowotnych ma prawo udostępnić dokumentację medyczną swojego pacjenta:
1. podmioty udzielające świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
2. organy władzy publicznej, Narodowy Fundusz Zdrowia, organy samorządu zawodów medycznych oraz konsultanci krajowi i wojewódzcy, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności kontroli i nadzoru;
3. minister właściwy do spraw zdrowia, sądy, w tym sądy dyscyplinarne, prokuratury, lekarze sądowi i rzecznicy odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem;
4. uprawnione na mocy odrębnych ustaw organy i instytucje, jeżeli badanie zostało przeprowadzone na ich wniosek;
5. organy rentowe oraz zespoły do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem;
6. podmioty prowadzące rejestry usług medycznych, w zakresie niezbędnym do prowadzenia rejestrów;
7. zakłady ubezpieczeń, za zgodą pacjenta;
8. lekarz, pielęgniarka lub położna, w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym do jej przeprowadzenia.

Ostatnia nowelizacja przedmiotowej ustawy wprowadziła możliwość udostępnienia dokumentacji medycznej także szkole wyższej lub instytutowi badawczemu do wykorzystania w celach naukowych, bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy. Powyżej wymieniony katalog jest na chwilę obecną katalogiem zamkniętym, a to oznacza, że udostępnienie danych osobowych przez placówkę medyczną jakiemukolwiek podmiotowi spoza tego katalogu pociągać za sobą może odpowiedzialność karną za udostępnienie danych osobom nieuprawnionym.
Na podstawie § 79 r.d.m. w przypadku, gdy udostępnienie dokumentacji nie jest możliwe, odmowa powinna zostać dokonana w formie pisemnej wraz z podaniem przyczyny odmowy. Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 7 maja 2008 r., sygn. akt I OSK 998/07, osoba, której dotyczą dane osobowe, nie powinna być w żaden sposób ograniczona w dostępie do tych danych i w dysponowaniu nimi. Jest to zatem uprawnienie podmiotu, którego dane osobowe są przetwarzane przez administratora danych osobowych, z którego wynika jednak także równoległe zwolnienie od odpowiedzialności administratora danych osobowych za niewłaściwe ich wykorzystywanie lub zabezpieczenie przez samego zainteresowanego. W związku z powyższym placówka udzielająca świadczeń zdrowotnych, która zgodnie z obowiązującymi przepisami udostępniła pacjentowi jego dokumentację medyczną, nie ponosi odpowiedzialności za wykorzystanie tych danych przez samego pacjenta.
(...)

Anna Podciechowska
Katarzyna Fortak-Karasińska