Ochrona informacji o pacjencie

Biuletyn Informacyjny Wielkopolskiej Izby Lekarskiej w Poznaniu | nr 12/01 (251-252)

Och­ro­na in­for­ma­cji do­ty­czą­cych pa­cjen­ta i udzie­la­nych mu świad­czeń zdro­wot­nych sta­no­wi bar­dzo istot­ny wy­móg. Co­raz więk­szą wa­gę przy­wią­zu­ją do je­go prze­strze­ga­nia nie tyl­ko sa­mi pa­cjen­ci, ale tak­że or­ga­ny pań­stwo­we, w tym Ge­ne­ral­ny In­spek­tor Och­ro­ny Da­nych Oso­bo­wych. Kon­tro­le ze stro­ny te­go urzę­du, do­tąd ra­czej spo­ra­dycz­ne, zda­rza­ją się co­raz czę­ściej, a – co wię­cej – część upraw­nień kon­tro­l­nych w tym wzglę­dzie po­sia­da tak­że Pań­stwo­wa In­spek­cja Pra­cy. Dlate­go uzna­li­śmy za ce­lo­we, aby przy­po­mnieć – z ko­niecz­no­ści je­dy­nie w za­ry­sie – wy­mo­gi praw­ne, któ­re do­ty­czą tej bar­dzo waż­nej pro­ble­ma­ty­ki.

Pra­wo pa­cjen­ta do in­for­ma­cji o swo­im sta­nie zdro­wia

Jed­nym z pod­sta­wo­wych praw pa­cjen­ta, ure­gu­lo­wa­nym w usta­wie o pra­wach pa­cjen­ta i Rzecz­ni­ku Praw Pa­cjen­ta, jest pra­wo do in­for­ma­cji o swo­im sta­nie zdro­wia. Przy­słu­gu­je ono nie tyl­ko pa­cjen­tom peł­no­let­nim, ale tak­że ma­ło­let­nim, któ­rzy ukoń­czy­li 16 lat (oraz ich przed­sta­wi­cie­lom usta­wo­wym). Oso­by te ma­ją pra­wo do uzy­ska­nia od le­ka­rza przy­stęp­nej in­for­ma­cji o sta­nie zdro­wia pa­cjen­ta, roz­po­zna­niu, pro­po­no­wa­nych oraz moż­li­wych me­to­dach dia­gno­stycz­nych i lecz­ni­czych, da­ją­cych się prze­wi­dzieć na­stęp­stwach ich za­sto­so­wa­nia al­bo za­nie­cha­nia, wy­ni­kach le­cze­nia oraz ro­ko­wa­niu. Trze­ba tu przy­po­mnieć, że in­ne oso­by bę­dą mia­ły pra­wo do uzy­ska­nia ta­kiej in­for­ma­cji tyl­ko i wy­łącz­nie wów­czas, gdy pa­cjent ich do te­go upo­waż­ni. Za­tem sam fakt by­cia człon­kiem ro­dzi­ny nie upo­waż­nia au­to­ma­tycz­nie do uzy­ski­wa­nia ta­kich in­for­ma­cji.

Zgod­nie z roz­po­rzą­dze­niem Mi­ni­stra Zdro­wia w spra­wie ro­dza­jów i za­kre­su do­ku­men­ta­cji me­dycz­nej oraz spo­so­bu jej prze­twa­rza­nia zgodnie z przepisami RODO w podmiotach leczniczych, obli­ga­to­ryj­nie w do­ku­men­ta­cji in­dy­wi­du­al­nej we­wnętrz­nej za­miesz­cza się lub do­łą­cza do niej oświad­cze­nie pa­cjen­ta o upo­waż­nie­niu oso­by bli­skiej do uzy­ski­wa­nia in­for­ma­cji o je­go sta­nie zdro­wia i udzie­lo­nych świad­cze­niach zdro­wot­nych, ze wska­za­niem imie­nia i na­zwi­ska oso­by upo­waż­nio­nej oraz da­nych umoż­li­wia­ją­cych kon­takt z tą oso­bą, al­bo oświad­cze­nie o bra­ku ta­kie­go upo­waż­nie­nia. Za­tem ode­bra­nie ta­kie­go oświad­cze­nia jest ko­niecz­no­ścią, a udzie­le­nie in­for­ma­cji o sta­nie zdro­wia pa­cjen­ta oso­bie nie­upo­waż­nio­nej sta­no­wi bar­dzo po­waż­ne na­ru­sze­nie praw pa­cjen­ta i mo­że ro­dzić od­po­wie­dzial­ność praw­ną.

Pra­wo pa­cjen­ta do za­cho­wa­nia ta­jem­ni­cy le­kar­skiej

Z po­wyż­szym pra­wem do in­for­ma­cji o sta­nie zdro­wia ści­śle wią­że się pra­wo pa­cjen­ta do za­cho­wa­nia w ta­jem­ni­cy przez oso­by wy­ko­nu­ją­ce za­wód me­dycz­ny, w tym udzie­la­ją­ce mu świad­czeń zdro­wot­nych, in­for­ma­cji z nim zwią­za­nych, a uzy­ska­nych w związ­ku z wy­ko­ny­wa­niem za­wo­du me­dycz­ne­go. Ta­jem­ni­cą le­kar­ską ob­ję­te są więc nie tyl­ko in­for­ma­cje do­ty­czą­ce zdro­wia pa­cjen­ta, ale wszel­kie uzy­ska­ne od pa­cjen­ta – np. zwią­za­ne z sy­tu­acją ro­dzin­ną czy fi­nan­so­wą. Zwol­nie­nie z ta­jem­ni­cy le­kar­skiej mo­że mieć miej­sce tyl­ko w sy­tu­acjach okre­ślo­nych prze­pi­sa­mi pra­wa, m. in. gdy pa­cjent lub je­go przed­sta­wi­ciel usta­wo­wy wy­ra­ża zgo­dę na ujaw­nie­nie ta­jem­ni­cy, gdy za­cho­wa­nie ta­jem­ni­cy mo­że sta­no­wić nie­bez­pie­czeń­stwo dla ży­cia lub zdro­wia pa­cjenta lub in­nych osób czy gdy za­cho­dzi po­trze­ba prze­ka­za­nia nie­zbęd­nych in­for­ma­cji o pa­cjen­cie zwią­za­nych z udzie­la­niem świad­czeń zdro­wot­nych in­nym oso­bom wy­ko­nu­ją­cym za­wód me­dycz­ny, uczest­ni­czą­cym w udzie­la­niu tych świad­czeń. Oso­by wy­ko­nu­ją­ce za­wód me­dycz­ny są zwią­za­ne ta­jem­ni­cą rów­nież po śmier­ci pa­cjen­ta.

Po­li­ty­ka bez­pie­czeń­stwa in­for­ma­cji

In­for­ma­cje do­ty­czą­ce sta­nu zdro­wia pa­cjen­tów sta­no­wią tzw. da­ne wraż­li­we, wo­bec któ­rych znaj­du­ją za­sto­so­wa­nie prze­pi­sy usta­wy o ochro­nie da­nych oso­bo­wych i roz­po­rzą­dze­nia wyda­ne na jej pod­sta­wie. Każ­dy podmiot wy­ko­nu­ją­cy dzia­łal­ność lecz­ni­czą peł­ni za­tem z te­go ty­tu­łu funk­cję ad­mi­ni­stra­to­ra da­nych, co z ko­lei ro­dzi sze­reg obo­wiąz­ków. Ad­mi­ni­stra­tor da­nych prze­twa­rza­ją­cy da­ne po­wi­nien do­ło­żyć szcze­gól­nej sta­ran­no­ści w ce­lu ochro­ny in­te­re­sów osób, któ­rych da­ne do­ty­czą, a w szcze­gól­no­ści jest obo­wią­za­ny za­pew­nić, aby da­ne te by­ły:

1. prze­twa­rza­ne zgod­nie z pra­wem,
2. zbie­ra­ne dla ozna­czo­nych, zgod­nych z pra­wem ce­lów i nie­pod­da­wa­ne dal­sze­mu prze­twa­rza­niu nie­zgod­ne­mu z ty­mi ce­la­mi,
3. me­ry­to­rycz­nie po­praw­ne i ade­kwat­ne w sto­sun­ku do ce­lów, w ja­kich są prze­twa­rza­ne,
4. prze­cho­wy­wa­ne w po­sta­ci umoż­li­wia­ją­cej iden­ty­fi­ka­cję osób, któ­rych do­ty­czą, nie dłu­żej niż jest to nie­zbęd­ne do osią­gnię­cia ce­lu prze­twa­rza­nia.

Wy­ma­ga szcze­gól­ne­go pod­kre­śle­nia, że ad­mi­ni­stra­tor da­nych jest obo­wią­za­ny za­sto­so­wać środ­ki tech­nicz­ne i or­ga­ni­za­cyj­ne za­pew­nia­ją­ce ochro­nę prze­twa­rza­nych da­nych oso­bo­wych od­po­wied­nią do za­gro­żeń oraz ka­te­go­rii da­nych ob­ję­tych ochro­ną, a w szcze­gól­no­ści po­wi­nien za­bez­pie­czyć da­ne przed ich udo­stęp­nie­niem oso­bom nie­upo­waż­nio­nym, za­bra­niem przez oso­bę nie­upraw­nio­ną, prze­twa­rza­niem z na­ru­sze­niem usta­wy oraz zmia­ną, utra­tą, uszko­dze­niem lub znisz­cze­niem.

Po­nad­to, ad­mi­ni­stra­tor da­nych zo­bo­wią­za­ny jest pro­wa­dzić w for­mie pi­sem­nej do­ku­men­ta­cję opi­su­ją­cą spo­sób prze­twa­rza­nia da­nych oraz środ­ki, o któ­rych mo­wa po­wy­żej. Na ta­ką do­ku­men­ta­cję skła­da się po­li­ty­ka bez­pie­czeń­stwa i in­struk­cja za­rzą­dza­nia sys­te­mem in­for­ma­tycz­nym słu­żą­cym do prze­twa­rza­nia da­nych oso­bo­wych. Pe­łen wy­kaz in­for­ma­cji ob­ję­tych po­wyż­szy­mi do­ku­men­ta­mi zo­stał ure­gu­lo­wa­ny w roz­po­rzą­dze­niach. Po­ni­żej wska­zu­je­my je­dy­nie wy­bra­ne spo­śród nich.

• wy­kaz bu­dyn­ków, po­miesz­czeń lub czę­ści po­miesz­czeń, two­rzą­cych ob­szar, w któ­rym prze­twa­rza­ne są da­ne oso­bo­we;
• wy­kaz zbio­rów da­nych oso­bo­wych wraz ze wska­za­niem pro­gra­mów za­sto­so­wa­nych do prze­twa­rza­nia tych da­nych;
• opis struk­tu­ry zbio­rów da­nych wska­zu­ją­cy za­war­tość po­szcze­gól­nych pól in­for­ma­cyj­nych i po­wią­za­nia mię­dzy ni­mi;
• spo­sób prze­pły­wu da­nych po­mię­dzy po­szcze­gól­ny­mi sys­te­ma­mi;
• okre­śle­nie środ­ków tech­nicz­nych i or­ga­ni­za­cyj­nych nie­zbęd­nych dla za­pew­nie­nia po­uf­no­ści, in­te­gral­no­ści i roz­li­czal­no­ści prze­twa­rza­nych da­nych.

Z ko­lei in­struk­cja za­rzą­dza­nia sys­te­mem in­for­ma­tycz­nym mu­si obej­mo­wać w szcze­gól­no­ści:

1. pro­ce­du­ry nada­wa­nia upraw­nień do prze­twa­rza­nia da­nych i re­je­stro­wa­nia tych upraw­nień w sys­te­mie in­for­ma­tycz­nym oraz wska­za­nie oso­by od­po­wie­dzial­nej za te czyn­no­ści;
2. sto­so­wa­ne me­to­dy i środ­ki uwie­rzy­tel­nie­nia oraz pro­ce­du­ry zwią­za­ne z ich za­rzą­dza­niem i użyt­ko­wa­niem;
3. pro­ce­du­ry roz­po­czę­cia, za­wie­sze­nia i za­koń­cze­nia pra­cy prze­zna­czo­ne dla użyt­kow­ni­ków sys­te­mu;<
4. pro­ce­du­ry two­rze­nia ko­pii za­pa­so­wych zbio­rów da­nych oraz pro­gra­mów i na­rzę­dzi pro­gra­mo­wych słu­żą­cych do ich prze­twa­rza­nia;
5. spo­sób, miej­sce i okres prze­cho­wy­wa­nia:
   • elek­tro­nicz­nych no­śni­ków in­for­ma­cji za­wie­ra­ją­cych da­ne oso­bo­we,
   • ko­pii za­pa­so­wych,
6. spo­sób za­bez­pie­cze­nia sys­te­mu in­for­ma­tycz­ne­go przed dzia­łal­no­ścią opro­gra­mo­wa­nia;
7. pro­ce­du­ry wy­ko­ny­wa­nia prze­glą­dów i kon­ser­wa­cji sys­te­mów oraz no­śni­ków in­for­ma­cji słu­żą­cych do prze­twa­rza­nia da­nych.

Stwo­rze­nie po­wyż­szych do­ku­men­tów jest obo­wiąz­ko­we dla każ­de­go podmio­tu wy­ko­nu­ją­ce­go dzia­łal­ność lecz­ni­czą. Po­nad­to podmio­ty te – ja­ko ad­mi­ni­stra­to­rzy da­nych – mo­gą, ale nie mu­szą po­wo­łać ad­mi­ni­stra­to­ra bez­pie­czeń­stwa in­for­ma­cji oraz ad­mi­ni­stra­to­ra sys­te­mów in­for­ma­tycz­nych. Do prze­twa­rza­nia da­nych mo­gą być do­pusz­czo­ne wy­łącz­nie oso­by po­sia­da­ją­ce upo­waż­nie­nie nada­ne przez ad­mi­ni­stra­to­ra da­nych. Ad­mi­ni­stra­tor da­nych jest obo­wią­za­ny za­pew­nić kon­tro­lę nad tym, ja­kie da­ne oso­bo­we, kie­dy i przez ko­go zo­sta­ły do zbio­ru wpro­wa­dzo­ne oraz ko­mu są prze­ka­zy­wa­ne.

Po­wyż­sze wy­mo­gi mu­szą zo­stać prze­ło­żo­ne na or­ga­ni­za­cję i funk­cjo­no­wa­nie każ­de­go podmio­tu wy­ko­nu­ją­ce­go dzia­łal­ność lecz­ni­czą.