ZARZĄDZANIE DANYMI W PODMIOTACH LECZNICZYCH

Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta zawiera przepisy, które mają istotne znaczenie dla zarządzania danymi w podmiotach leczniczych. W tym kontekście, pośród praw pacjenta, istotne są prawo pacjenta do informacji (art. 9 - 12), prawo do tajemnicy informacji związanych z pacjentem (art. 13 - 14), a także prawo do dokumentacji medycznej (art. 23 - 30a). Korelatem tych praw są obowiązki zarówno podmiotu leczniczego, jak i personelu medycznego, bezpośrednio zaangażowanego w udzielanie świadczeń zdrowotnych.

Z prawa pacjenta do informacji wynikają przede wszystkim dwa obowiązki. Pierwszy dotyczy osób wykonujących zawód medyczny, które zobowiązane są do udzielenia w przystępny dla pacjenta sposób informacji o jego stanie zdrowia, rozpoznaniu, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia oraz rokowaniu. Zakres udzielanych informacji może być ograniczony wobec małoletnich, którzy nie ukończyli 16 roku życia, a także w sytuacjach wyjątkowych, jeżeli rokowanie jest niepomyślne dla pacjenta, a za ograniczeniem udzielanych informacji przemawia dobro pacjenta, o czym stanowi art. 31 ust. 4 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty. Drugi z obowiązków to udostępnienie informacji o prawach pacjenta w formie pisemnej, poprzez umieszczenie ich w lokalu podmiotu leczniczego, w miejscu ogólnodostępnym.

Przepisy dotyczące prawa do zachowania tajemnicy wymagają od osób udzielających świadczeń leczniczych i wykonujące zawód medyczny, nie ujawniały informacji związanych z pacjentem, a w szczególności z jego stanem zdrowia. Obowiązek ten związany jest z tajemnicami zawodowymi, m.in. lekarską, pielęgniarki, ratownika medycznego, czy fizjoterapeuty, o których mowa w ustawach regulujących te zawody. 

Najwięcej przepisów odnosi się do prawa pacjentów do dokumentacji medycznej. W pierwszej kolejności należy zwrócić uwagę na to, czym jest dokumentacja medyczna, jakie rodzaje dokumentów się na nią składają. Mówi o tym nie tyle ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, a rozporządzenie wydane na jej podstawie, tj. Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Dzieli ono dokumentację medyczną na indywidualną (dotyczącą poszczególnego pacjenta) oraz zbiorczą (dotyczącą ogółu pacjentów lub ich określonych grup), dokumentację medyczną wewnętrzną (przeznaczoną na potrzeby podmiotu leczniczego) oraz zewnętrzną (przeznaczoną na potrzeby pacjenta). Dokumentacja wewnętrzna jest znacznie szersza, niż ta przeznaczona dla pacjenta. Prawo pacjenta do dostępu do informacji dotyczy całej dokumentacji medycznej, również tej wewnętrznej. Poza pacjentem, ustawa przewiduje możliwość udostępnienia dokumentacji także innym podmiotom, w szczególności organom władzy publicznej, m.in. NFZ, Rzecznikowi Praw Pacjenta, Agencji Oceny Technologii Medycznych i Taryfikacji, ministrowi zdrowia, sądom, prokuraturom, organom rentowym, instytutom badawczym i innym. Pacjent może upoważnić wybrane przez siebie osoby do uzyskania dokumentacji medycznej, tak za swojego życia, jak i po śmierci. Upoważnienie można złożyć za pomocą Internetowego Konta Pacjenta, bądź też w tradycyjnej, papierowej formie. Podmiot udzielający świadczeń zdrowotnych ma obowiązek prowadzić wykaz, określający m.in. kto i kiedy uzyskał dostęp do dokumentacji medycznej. Dokumentację medyczną udostępnia się do wglądu w miejscu udzielania świadczeń zdrowotnych, w wyjątkowych sytuacjach wydaje się ją z zastrzeżeniem zwrotu. Dotyczy to w szczególności archiwalnej dokumentacji medycznej, w papierowej formie. Obecnie rozporządzenie przewiduje, że dokumentacja medyczna powinna mieć postać elektroniczną. Wyjątkowo, gdy przepisy szczególne tak stanowią, bądź warunki organizacyjno-techniczne uniemożliwiają prowadzenie dokumentacji w postaci elektronicznej, może być sporządzona w formie papierowej. Dlatego częściej jest udostępniana za pośrednictwem środków komunikacji elektronicznej, ewentualnie jako wydruk. Przepisy rozporządzenia przewidują warunki bezpieczeństwa elektronicznej dokumentacji medycznej. Istotny jest też czas jej przechowywania, który został określony na 20 lat. Podmiot leczniczy może pobierać opłaty za udostępnienie dokumentacji medycznej. Ich maksymalna wysokość jest określona w ustawie. Są to niskie kwoty, w założeniu mające pokryć koszty udostępnienia, a jednocześnie nie obciążać nadmiernie budżetu pacjentów. Za udostępnienie dokumentacji medycznej po raz pierwszy nie pobiera się opłat.

Dane dotyczące zdrowia należą do szczególnej kategorii danych wrażliwych, o których mowa w art. 9 RODO. Konsekwencją tego są szczególne obowiązki związane z ich przetwarzaniem. Podmiot wykonujący działalność leczniczą jest administratorem tych danych. Zarządzaniem danymi osobowymi w podmiotach leczniczych często powierzane jest inspektorowi ochrony danych ("IOD"), którzy działa w imieniu administratora. Wyznaczenie IOD w większości podmiotów leczniczych jest obowiązkowe. Art. 37 ust. 1 pkt c RODO ustanawia taki obowiązek w przypadku, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych wrażliwych. Wyjątkowo, w przypadku indywidualnych praktyk lekarskich, przyjmuje się, że nie dochodzi do przetwarzania "na dużą skalę" i nie ma obowiązku wyznaczania IOD. 

Zarządzanie danymi osobowymi można podzielić na pewne obszary, które wymagają podjęcia działań ze strony administratora. Zasadniczo odpowiadają one strukturze RODO, przyjętej przez unijnego prawodawcę. Poniżej przedstawione są w skrócie. 

• Zgody na przetwarzanie stanowią podstawę przetwarzania danych osobowych przez podmioty lecznicze. Dotyczy to zarówno danych nie mających szczególnego charakteru (np. danych adresowych pacjenta), jak też danych wrażliwych (dane dotyczące zdrowia). Art. 9 ust. 2 pkt c RODO pozwala przetwarzać dane dotyczące zdrowia również w nagłych przypadkach, gdy osoba, której dane dotyczą, nie jest w stanie wyrazić zgody. Dotyczy to m.in. pacjentów nieprzytomnych. Dzieci powyżej 16 roku życia wyrażają zgodę samodzielnie, w imieniu dzieci młodszych wyraża ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. RODO nie wymaga pisemnej formy wyrażenia zgody. Dopuszczalna jest również forma elektroniczna. Wydaje się, że wykluczyć należy formę ustną, gdyż administrator musi być w stanie wykazać, że doszło do udzielenia zgody. 

• Informowanie, o którym mowa w art. 12 - 15 RODO. Gromadząc dane osobowe, podmioty lecznicze są zobowiązane do udzielania podstawowych informacji na ten temat. Przede wszystkim są to informacje kto zabiera dane, w jakim celu, na jakiej podstawie prawnej, komu może je przekazywać, jak długo będą przetwarzane, a także o prawach przysługujących w związku z tym przetwarzaniem. Informacje te powinny być przekazywane w sposób zwięzły, przejrzysty i zrozumiały, jasnym i prostym językiem. Mogą mieć formę pisemną, elektroniczną, a nawet ustną, jeśli tożsamość osoby, której dane dotyczą tego zażąda. Omawiane przepisy stanowią podstawę do przyjmowania przez administratorów polityk prywatności, zawierających wymagane przez RODO informacje.

• Wykonywanie praw osoby, której dane dotyczą, sformułowanych w art. 16 - 22 RODO. To prawa do sprostowania danych, usunięcia ich, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania, a także żądania, aby nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu. Praktyka pokazuje, że pacjenci są raczej mało świadomi przysługujących im praw związanych z przetwarzaniem danych osobowych i korzystają z nich dosyć rzadko. Niemniej, administrator musi być przygotowany i posiadać odpowiednie możliwości techniczne i organizacyjne, aby prawa te wykonywać. Naruszenie ochrony dany osobowych powoduje konieczność niezwłocznego (zasadniczo w 72 godziny) zawiadomienia Urzędu Danych Osobowych, a także osób, których dane dotyczą (art. 33-34 RODO). Obowiązek zawiadomienia nie dotyczy sytuacji naruszeń o mniejszej wadze, gdy jest mało prawdopodobne, aby ucierpiały na tym prawa lub wolności osób fizycznych. Każda osoba, która w skutek naruszenia jej praw, wynikających z RODO, poniosła szkodę majątkową lub niemajątkową, może domagać się odszkodowania, chyba że administrator nie ponosi winy (art. 82 RODO). 

• Upoważnienie personelu - art. 29 oraz 32 ust. 4 RODO wymagają, aby osoby, mające dostęp do danych osobowych, przetwarzały je z upoważnienia i na polecenie administratora. Obowiązek ten realizowany jest zazwyczaj dwutorowo. Po pierwsze, w umowie o pracę lub umowie zlecenia (a także później, po ich zawarciu, jeśli jest taka potrzeba) zawierane są postanowienia upoważniające personel do przetwarzania danych osobowych, w tym także wrażliwych danych medycznych. Po drugie, w systemach informatycznych, w których przetwarzana jest elektroniczna dokumentacja medyczna, członkowie personelu podmiotu leczniczego otrzymują uprawnienia do dostępu do określonych zasobów elektronicznych. Istotne jest, aby dostęp ten dotyczył tylko tych danych osobowych, które są niezbędne do wykonywania czynności przez daną osobę. Przykładowo, lekarz pracujący na jednym z oddziałów szpitalnych, nie powinien mieć dostępu do danych pacjentów na innych oddziałach. 

• Zobowiązanie podmiotów przetwarzających do przetwarzania danych zgodnie z przepisami. Podmioty przetwarzające to zazwyczaj "podwykonawcy" i dostawcy towarów i usług na rzecz podmiotów leczniczych. Art. 28 RODO wymaga, aby podmiot leczniczy (a także każdy inny administrator danych osobowych) zawarł z takimi osobami umowę dotyczącą przetwarzania danych osobowych. Omawiany przepis ściśle określa elementy, jakie powinna zawierać taka umowa. Umowa może mieć formę pisemną, bądź też elektroniczną. Dla ułatwienia, Komisja Europejska przyjęła standardowe klauzule umowne, których zastosowanie zapewnia zgodność z RODO. Obowiązek zawarcia umowy o powierzeniu danych osobowych oczywiście nie dotyczy wszystkich dostawców, a jedynie tych, którzy w związku z wykonywanymi czynnościami, dane osobowe przetwarzają. Mogą to być w szczególności dostawcy oprogramowania, wyrobów medycznych na zamówienie, zewnętrzne laboratoria diagnostyczne i inne. Zawarcie umowy dotyczącej przetwarzania danych jest też konieczne w odwrotnej sytuacji, tzn. gdy to podmiot leczniczy otrzymuje dane osobowe.

• Prowadzenie rejestrów, o których mowa w art. 30 RODO. Przepis ten przewiduje obowiązek prowadzenia dwóch rejestrów o podobnych nazwach. Pierwszy z nich to rejestr czynności przetwarzania danych osobowych, który powinien prowadzić każdy administrator. Drugi to rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, prowadzony przez podmioty przetwarzające, które w szczególności powinny określić w nim od kogo otrzymują dane, jakie to kategorie danych, a także jakie środki bezpieczeństwa są wobec nich stosowane. Omawiany przepis ściśle reguluje, co powinno się znaleźć w rejestrach. Rejestry mogą być prowadzone w formie tradycyjnej, bądź też elektronicznej. Obowiązek ich prowadzenia zasadniczo obciąża duże przedsiębiorstwa, ale też takie, które przetwarzają wrażliwe. Z tego powodu należy uznać, że podmioty lecznicze muszą prowadzić przynajmniej rejestr czynności przetwarzania. Z jego prowadzenia wynikają korzyści praktyczne, gdyż pozwala uporządkować i usystematyzować procesy przetwarzania danych we wszystkich aspektach działalności podmiotu leczniczego.

• Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 35 - 36 RODO. W przypadku, gdy rodzaj przetwarzania danych, które planuje administrator, powoduje wysokie ryzyko naruszenia praw, które wynikają RODO, powinien on uprzednio dokonać oceny, mającą na celu m.in. określenie, czy ten rodzaj przetwarzania jest niezbędny, a jeśli tak, to jakie środki bezpieczeństwa należy zastosować. Aby określić, czy ocena skutków jest konieczna w danym przypadku, kluczowe jest wyjaśnienie, co oznacza "wysokie ryzyko naruszenia praw". Samo RODO wskazuje, że takie ryzyko występuje m.in. w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Punkt 91 preambuły wskazuje ponadto, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli jest dokonywane przez pojedynczego lekarza. A contrario, w przypadku przetwarzania danych osobowych przez podmiot leczniczy (więcej niż jednego lekarza), może dochodzić do masowego przetwarzania danych wrażliwych, co powoduje konieczność przeprowadzenia oceny skutków przetwarzania. Ocena skutków przetwarzania nie zawsze musi prowadzić do stwierdzenia, że przetwarzanie danych przez podmiot leczniczy powoduje "wysokie ryzyko naruszenia praw", możliwy jest wniosek, że takiego ryzyka nie ma, bądź też nie jest wysokie. Aby się o tym dowiedzieć trzeba - właśnie - przeprowadzić ocenę. W przypadku, gdyby jednak z przeprowadzonej oceny skutków przetwarzania wynikało, że przetwarzanie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator nie zastosował środków w celu minimalizacji tego ryzyka (np. gdy nie zna odpowiednich środków), powinien skonsultować się z Urzędem Ochrony Danych Osobowych w procedurze, o której mowa w art. 35 RODO.

• Administrator ma obowiązek przyjmować środki bezpieczeństwa danych osobowych, tak o charakterze technicznym, jak i organizacyjnym. Przykładowy katalog tych środków wymienia art. 32 ust. 1 RODO, wskazując m.in. na szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, a także ich zdolność do szybkiego przywrócenia dostępności danych w tych systemach po wystąpieniu incydentu fizycznego lub technicznego. Wywiązywanie się przez podmiot leczniczy z obowiązków przyjęcia właściwych środków bezpieczeństwa można wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji. Certyfikacja wydaje się mało rozpowszechnioną metodą w naszym kraju. W odpowiedniej zakładce na stronie Urzędu Ochrony Danych Osobowych nie jest wskazany żaden podmiot, który certyfikację by uzyskał. Jeśli chodzi natomiast o kodeksy postępowania, zatwierdzonym jest Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie), zaś na zatwierdzenie oczekuje Kodeks Postępowania dla Sektora Ochrony Zdrowia Polskiej Federacji Szpitali.

System informacji w ochronie zdrowia, to zespół baz danych oraz oprogramowania, którego podstawowym celem jest zapewnianie informacji zarówno podmiotom leczniczym oraz innym osobom, wykonującym działalność leczniczą i działalność z nią związaną, jak też pacjentom i organom administracji publicznej, które są zaangażowane w ochronę zdrowia. Kluczowe dla zrozumienia dosyć trudnej ustawy o systemie informacji zdrowia, są pojęcia usługobiorcy ("pacjenta"), czyli osoby fizycznej korzystającej lub uprawnionej do korzystania ze świadczeń opieki zdrowotnej, w tym (ale nie tylko) ze świadczeń opieki finansowanej ze środków publicznych, pojęcie usługodawcy - podmiotu leczniczego, osób prowadzących indywidualną praktykę lekarską lub specjalistów medycznych, prowadzących działalność gospodarczą, oraz podmiotów realizujących czynności z zakresu zaopatrzenia w wyroby medyczne i udzielających opieki farmaceutycznej, a także pojęcie zdarzenia medycznego, rozumianego jako świadczenie zdrowotne. Podstawową funkcją systemu informacji w ochronie zdrowia jest zbieranie informacji o tym, kto udzielił świadczenia zdrowotnego, na rzecz jakiej osoby, a także jakie to było świadczenie. Koreluje z nią obowiązek usługodawców gromadzenia takich informacji w bazach danych, a także udostępniania ich do systemu e-zdrowie, zwanym też P1. 

Obowiązek gromadzenia danych i udostępniania ich do P1 dotyczy wszystkich usługodawców, zarówno tych, którzy udzielają świadczeń zdrowotnych finansowanych ze środków publicznych, jak również udzielających ich za odpłatnością pacjenta. Gdyby wyłączyć z obowiązku usługodawców "prywatnych" system straciłby sens. Przykładowo, osoby udzielające świadczeń zdrowotnych mogą dowiedzieć się z systemu, z jakich świadczeń pacjent korzystał wcześniej, jakie ma schorzenia, jakie leki przyjmuje. Bez świadczeń, które usługobiorca uzyskał "prywatnie", taka informacja byłaby niekompletna i straciła swoją wartość diagnostyczną. Przekazywanie danych do systemu elektronicznego wymaga od usługodawców prowadzenia elektronicznej dokumentacji medycznej, której rodzaje wymienia, wydane na podstawie ustawy o systemie informacji w ochronie zdrowia, Rozporządzenie Ministra Zdrowia z dnia 8 maja 2018 r. w sprawie rodzajów elektronicznej dokumentacji medycznej. To nieco inny obowiązek, niż ten, który wynika z rozporządzenia wydanego  na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, o której mowa powyżej. Różnica między "elektroniczną dokumentacją medyczną", a "dokumentacją w postaci elektronicznej", wskazanej w tych dwóch rozporządzeniach, polega na tym, że do P1 należy udostępniać dokumentację w odpowiednim formacie, który system ten jest w stanie rozpoznać i przetwarzać. Rozporządzenie w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania wymaga prowadzenia dokumentacji w postaci elektronicznej, ale nie wskazuje jaki powinien być ich format. Podłączenie usługodawcy do P1 wymaga złożenia wniosku dostępnego na stronie Rejestru Podmiotów Wykonujących Działalność Leczniczą. 

W ramach systemu e-zdrowie (P1) funkcjonują usługi cyfrowe i aplikacje, dedykowane tak dla usługobiorców, jak i usługodawców. Należą do nich usługi e-recepta, e-skierowanie, internetowe konto pacjenta i jego wersja na urządzenia mobilne - mojeIKP, a także aplikacja gabinet.gov.pl, która pomaga usługodawcom zarządzać elektroniczną dokumentacją medyczną. Jest to istotne o tyle, że usługodawcy nie muszą posiadać własnego, komercyjnego oprogramowania zarządzającego danymi medycznymi. Mogą skorzystać z aplikacji gabinet.gov.pl. W przypadku korzystania z aplikacji dostawców komercyjnych, ich administrator jest zobowiązany, aby zapewnić jego integrację z P1. System informacji w ochronie zdrowia jest uzupełniony przez informacje pochodzące z baz danych innych podmiotów (m.in. o uprawnieniach do korzystania ze świadczeń zdrowotnych finansowanych ze środków publicznych i monitorowania ich kosztów), a także integruje się z innymi systemami (m.in. dot. statystyki medycznej, ewidencji zasobów usługodawców, monitorowania dostępności świadczeń zdrowotnych dla pacjentów i list refundacyjnych, obrotu lekami i wyrobami medycznymi, a nawet monitorowania kształcenia pracowników medycznych). 

Pomimo, że podłączenie do P1 jest obowiązkiem ustawowym, prawo nie przewiduje konsekwencji jego naruszenia. Być może dlatego jego wdrożenie pośród usługodawców jest dosyć słabe. Na około 180 tys. usługodawców, jedynie nieco ponad 20 tys. korzysta z systemu (dane z września 2022 r.). 

Obecnie dane medyczne w podmiotach leczniczych przetwarzane są głównie elektronicznie, z wykorzystaniem oprogramowania. Musi ono spełniać wymogi prawne, wynikające z kilku aktów prawnych. Należy zwrócić uwagę na wymagania rozporządzenia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania, tak aby oprogramowanie zawierało wszystkie rodzaje dokumentacji, wymaganej dla zakresu świadczeń, których udziela podmiot leczniczy. Rozporządzenie zawiera również wymogi bezpieczeństwa, które musi spełniać oprogramowanie, z którego korzysta podmiot leczniczy. Po drugie, konieczne jest zapewnienie zgodności z przepisami chroniącymi dane osobowe, z uwzględnieniem zasad przetwarzania danych wrażliwych. To szereg zróżnicowanych obowiązków, tak technicznych, jak i organizacyjnych, w spełnieniu których podmiot leczniczy powinien wspierać wyznaczony inspektor danych osobowych. Po trzecie, ważna jest integracja z publicznym systemem informacji w służbie zdrowia. Należy się spodziewać, że aktualne oprogramowanie oferowane przez polskich dostawców, spełnia te kryteria. Problemy mogą pojawiać się z oprogramowaniem zagranicznym, zwłaszcza z państw nie należących do UE, a także starszymi systemami informatycznymi, które mogą nie spełniać najnowszych wymogów prawnych.