Zgodnie z art. 107 obowiązującej do 24 maja 2018 roku ustawy o ochronie danych osobowych dane o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym są traktowane jako tzw. dane wrażliwe. Istnieje ogólny zakaz przetwarzania tego rodzaju danych. Wyjątki od zakazu są ściśle określone i należy do nich w szczególności przetwarzanie danych w celu:
- ochrony stanu zdrowia,
- świadczenia usług medycznych,
- leczenia pacjentów lub zarządzania udzielaniem usług medycznych przez podmioty zawodowo trudniące się leczeniem lub świadczeniem innych usług medycznych lub zarządzaniem świadczeniem takich usług.
- RODO w dużej mierze odszedł od pojęcia danych wrażliwych, ustanawiając katalog szczególnych kategorii danych, takich jak między innymi dane dotyczące zdrowia, dane genetyczne czy dane biometryczne, lecz utrzymuje ogólny zakaz przetwarzania tego rodzaju danych oraz podstawowe wyjątki zezwalające na ich przetwarzanie w określonych sytuacjach, w szczególności związanych ze świadczeniami opieki medycznej. W praktyce jednak wszelkie nieprawidłowości w zakresie istnienia ważnych podstaw przetwarzania, zabezpieczenia tego rodzaju danych czy ich usuwania na czas mogą prowadzić już nie tylko do ewentualnego upomnienia ze strony GIODO, ale surowej kary finansowej - podkreśla radca prawny Joanna Krakowiak.
Czytaj w LEX: Zmiany w zasadach prowadzenia dokumentacji medycznej w 2020 r. >
Archiwizacja dokumentacji medycznej
Podstawowe zasady RODO nakazują minimalizację danych i ograniczenie czasu ich przechowywania do niezbędnego minimum, wyjaśnia Joanna Krakowiak. Prowadzi to do wniosku, że co do zasady dane zawarte w dokumentacji medycznej nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, i powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, czyli np. w celu udzielenia świadczenia medycznego.
Czytaj w LEX: Zasady pobierania opłat za udostępnianie dokumentacji medycznej >
Tymczasem ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta wskazuje jakie są okresy okresy obowiązkowego przechowywania dokumentacji medycznej wynoszące przykładowo:
- 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – zasada ogólna,
- 22 lata – w zakresie dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia,
- 30 lat – w przypadku gdy dane są niezbędne do monitorowania losów krwi i jej składników lub też gdy nastąpił zgon pacjenta na skutek uszkodzenia ciała (w takim przypadku okres liczony jest od końca roku kalendarzowego, w którym nastąpił zgon).
Chociaż RODO ma rangę unijnego rozporządzenia, to przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta mają przed nim pierwszeństwo, ponieważ przepisy dotyczące obowiązku przechowywania dokumentacji medycznej powinny być rozumiane jako wyjątek od ogólnych zasad wynikających z RODO - wyjaśnia w komentarzu Joanna Krakowiak.
Zobacz procedurę w LEX: Archiwizacja dokumentacji medycznej >