Przetwarzanie danych medycznych - obowiązek informacyjny dla pacjenta

W dzisiejszych czasach praktycznie każdy z nas korzysta z usług leczniczych prowadzonych przez różnego rodzaju podmioty medyczne. W tej sytuacji często zastanawiamy się, czy sposób zbierania naszych danych jest właściwy, czy rodzaj i ilość danych, które przekazujemy jest niezbędny administratorowi i tym samym w jakim celu będą one przetwarzane, przez kogo i jak długo. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakłada cały szereg obowiązków na administratorów zarówno informacyjnych, jak również w kwestii realizacji podstawowych praw osób, których dane dotyczą. W relacji z pacjentem jest to jeszcze bardziej istotne, chodzi przecież o dane dotyczące zdrowia.

Jednym z obowiązków wynikających z RODO jest obowiązek informacyjny, zgodnie z którym każdy pacjent powinien otrzymać szereg informacji w jaki sposób jego dane osobowe będą przetwarzane. Administrator powinien wywiązać się z nałożonego obowiązku już w chwili zbierania danych, czyli w momencie sporządzania karty pacjenta. Co do zasady, osoba pełniąca czynności rejestracyjne pacjenta przekazuje w jego imieniu wszystkie wymagane art. 13 ust. 1 i 2 RODO  informacje. W porównaniu z ustawą o ochronie danych osobowych z 1997 roku, ustawodawca unijny  rozszerzył zakres informacji, które należy przekazać. Obecnie poza informacjami, takimi jak dane kontaktowe administratora oraz cel przetwarzania należy podać dane Inspektora Danych Osobowych (jeżeli został on powołany), wskazać podstawę prawną przetwarzania, okres przechowywania danych, informacje dotyczące możliwości przekazywania danych poza EOG oraz poinformować o podstawowych prawach m.in. możliwości dostępu do danych czy ich sprostowania.

Klauzula informacyjna dla pacjenta musi być dostępna w miejscu udzielania świadczeń leczniczych, np. każdorazowo udostępniona do wglądu bądź wywieszona w recepcji. W przypadku, gdy podmiot posiada stronę internetową, właściwym będzie zawarcie tej informacji również na stronie www. Należy pamiętać, że fundamentem RODO jest zasada rozliczalności, w myśl której każdy administrator musi umieć wykazać i rozliczyć się z tego, że przestrzega regulacji związanych z ochroną danych osobowych oraz realizuje poszczególne przepisy – wynika wprost z treści art. 5 ust. 2 RODO. Rejestracja pacjenta to nie tylko obowiązek informacyjny, ale również potwierdzanie jego tożsamości. Weryfikacja tożsamości powinna być dokonana w sposób uniemożliwiający zasłyszenie/przeczytanie danych przez osoby trzecie. Można poprosić pacjenta o okazanie dokumentu tożsamości, lub np. dać pacjentowi formularz do samodzielnego uzupełnienia, jednakże w tym przypadku należy pamiętać, że po wprowadzeniu danych do systemu rejestracyjnego, taki formularz musi zostać zniszczony. Więcej informacji na temat właściwej rejestracji można znaleźć w poradniku Ministerstwa Cyfryzacji oraz Ministerstwa Zdrowia na stronie www.gov.pl.

Czas przetwarzania danych

Ważną kwestią jest również wskazanie czasu przez jaki będą przetwarzane zebrane od pacjentów dane. Na podstawie obowiązujących w Polsce przepisów, dokumentacja medyczna powinna być przechowywana przez 20 lat licząc od końca roku kalendarzowego, w którym dokonano  ostatniego wpisu, a w przypadku dzieci do ukończenia 2 roku życia przez okres 22 lat. W niektórych przypadkach o terminie przechowywania będzie decydować fakt czy dany dokument zawierający dane osobowe stanowi integralną część dokumentacji medycznej czy też nie, tak jak dzieje się to w przypadku zdjęć RTG. Jeżeli są one przechowywanych poza dokumentacją medyczną pacjenta czas ich przechowywania wyniesie 10 lat, licząc od końca roku kalendarzowego w którym takie zdjęcie wykonano. Wszelkiego rodzaju zlecenia lekarskie oraz różnego rodzaju skierowania na badania muszą być przechowywane lat 5. W sytuacji, gdy pacjent nie stawił się na skierowane przez lekarza badanie, dokumentacja musi być przechowywana jedynie przez 2 lata. Dłużej natomiast należy przechowywać dokumentację medyczną pacjenta, którego zgon nastąpił na skutek uszkodzenia ciała lub zatrucia. W takim przypadku obowiązek przechowywania dokumentacji medycznej został wydłużony do okresu 30 lat. Ten termin obowiązuje także w przypadku konieczności monitorowania losów krwi pacjenta oraz jej składników. Po upływie wspomnianych okresów przechowywania podmiot udzielający świadczeń zdrowotnych jest obowiązany do zniszczenia dokumentacji medycznej.

Jedną z najważniejszych rzeczy przy tworzeniu obowiązków informacyjnych jest jednak prawidłowe określenie podstawy przetwarzania danych. Pamiętajmy, że przetwarzanie danych uzyskanych w celu udzielenia świadczeń medycznych stanowi wymóg prawny, który wprost wynika z ustawy o działalności leczniczej z dnia 15 kwietnia 2011 roku, a także ustawy o prawach pacjenta i Rzeczniku praw Pacjenta z dnia 6 listopada 2008 r. W związku z powyższym, przetwarzanie danych w tym zakresie nie wymaga dodatkowej zgody pacjenta. Podstawą przetwarzania będzie w tym wypadku art. 6 ust. 1 lit. c RODO.

Jeśli chcieli by Państwo skorzystać z usług naszych wykwalifikowanych konsultantów w kwestii ochrony danych osobowych, zapraszamy na naszą stronę usługi RODO oraz do kontaktu poprzez formularz kontaktowy

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.