1. Wstęp

Jednym z bardziej kluczowych zagadnień w bieżącej działalności podmiotów leczniczych jest ochrona danych medycznych pacjentów. Niestety obserwując praktyczną realizację wskazanego wyżej obowiązku z niepokojem trzeba stwierdzić, że dość często zdarzają się placówki, szczególnie średnie i mniejsze, które nie dysponują mechanizmami, mającymi na celu zapewnienie ochrony danych pacjentów. Po części wynika to z faktu, iż niektóre podmioty działają w bezpodstawnym przekonaniu, że nie dotyczą ich regulacje ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o. Autor w swojej praktyce zawodowej spotkał się już z przypadkami, w ramach których kierownictwa podmiotów uzasadniały taki pogląd treścią art. 43 ust. 1 pkt 5 u.o.d.o., zawierającego zwolnienie placówek medycznych z obowiązku zgłoszenia zbiorów danych osobowych pacjentów do GIODO. Tymczasem interpretacja ta jest zdecydowanie zbyt szeroka, albowiem zwolnienie dotyczy wyłącznie obowiązku rejestracji. Ponadto liczne placówki koncentrują się wyłącznie na zapewnieniu właściwego przechowywania dokumentów obejmujących dane medyczne pacjentów, np. poprzez zastosowanie zamkniętych szaf na akta itp., co oczywiście należy oceniać pozytywnie, ale często pomijane są zasady dostępu do danych w ramach bieżącego funkcjonowania podmiotów ze wskazaniem osób, które posiadają w tym zakresie odpowiednie uprawnienia. Liczne kontrole GIODO prowadzone w podmiotach leczniczych wykazywały szerokie zaniedbania w zakresie ochrony danych pacjentów, zwłaszcza w odniesieniu do zbyt łatwego dostępu osób nieuprawnionych do danych medycznych. Należy podkreślić, iż wskazane wyżej zaniedbania mogą skutkować również odpowiedzialnością karną, w pierwszej kolejności na podstawie art. 51 ust. 1 oraz art. 52 u.o.d.o. Zgodnie z brzmieniem pierwszego z nich kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Natomiast jak stanowi drugi ze wspomnianych przepisów, kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Niewątpliwym jest, że dostęp do danych medycznych pacjentów winien być zróżnicowany w zależności od tego, czy mamy do czynienia z personelem medycznym, czy też niemedycznym. O ile bezdyskusyjnym jest dostęp do danych personelu medycznego, udzielającego określonych świadczeń opieki zdrowotnej i zobligowanego do zachowania tajemnicy zawodowej, o tyle należy zastanowić się w jakim stopniu i w jakim zakresie prawo wglądu w dane medyczne powinny mieć osoby należące do personelu niemedycznego. Już na wstępie, trzeba podkreślić, iż autor komentarza stoi na stanowisku bardzo ścisłego określenia dostępu do danych medycznych pacjentów, szczególnie personelu niemedycznego. Dane medyczne, jako należące do kategorii wrażliwych danych osobowych, o czym będzie mowa w dalszej części komentarza, podlegać winny reglamentacji w zakresie dostępu oraz niezwykle precyzyjnemu określeniu osób uprawnionych do wglądu w takie dane. Trzeba zaakcentować, iż brak jest wyraźnych przepisów prawa regulujących przedmiot niniejszego komentarza, stąd też poniższe rozważania stanowią określony pogląd autora odpowiadający przede wszystkim praktycznym potrzebom podmiotów wykonujących działalność leczniczą.

2.Czym są dane medyczne?

Dane medyczne należą do szczególnej kategorii danych osobowych, które zgodnie z treścią art. 6 u.o.d.o. należy definiować jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z kolei osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Dane medyczne należą do tzw. wrażliwych danych osobowych, które podlegają szczególnej ochronie. Jak bowiem stanowi art. 27 u.o.d.o., dane dotyczące stanu zdrowia objęte są generalnym zakazem ich przetwarzania. Jednocześnie ustawa przewiduje określone wyjątki w ramach których przetwarzanie między innymi danych medycznych jest dopuszczalne.

Jednym z nich jest przypadek, w którym przetwarzanie prowadzone jest w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych (art. 27 ust. 2 pkt 7 u.o.d.o.).

Należy jednak podkreślić, iż we wskazanym przepisie, ustawodawca wyraźnie wskazał, że przetwarzanie danych medycznych w takich warunkach jest dopuszczalne, jednak wyłącznie przy stworzeniu pełnych gwarancji ochrony danych osobowych, o czym tak jak wspomniano wcześniej, podmioty lecznicze często zapominają.

3.Personel niemedyczny

W dalszej kolejności trzeba zastanowić się, w jaki sposób należy rozumieć pojęcie personelu niemedycznego. Wydaje się, iż najbardziej czytelnym rozwiązaniem w tym zakresie jest przyjęcie rozumowania a contrario i ustalenie najpierw kogo można zaliczyć do kręgu personelu medycznego. Niewątpliwym jest, iż personel medyczny stanowią osoby wykonujące zawody medyczne. Zarówno obecnie obowiązująca ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej - dalej u.dz.l., jak i wcześniejsza ustawa z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej - dalej u.z.o.z., definiują termin zawodu medycznego funkcjonalnie, odnosząc się do osób, które takie zawody wykonują. Jak wynika bowiem ze wskazanych aktów prawnych, osobą wykonującą zawód medyczny, a zatem należącą do personelu medycznego, jest osoba uprawniona na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz legitymująca się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny (art. 1 pkt 2 u.dz.l., a także uchylony już art. 18d u.z.o.z.). Biorąc powyższe pod uwagę, uzasadniona wydaje się teza, iż personel medyczny stanowią osoby wykonujące zawody medyczne, których wykonywanie polega na udzielaniu świadczeń opieki zdrowotnej, w zakresie wynikającym z posiadanych kwalifikacji. Tym samym w skład personelu medycznego zaliczyć należy w szczególności: lekarzy, lekarzy dentystów, pielęgniarki, położne, ratowników medycznych, farmaceutów czy diagnostów laboratoryjnych.

Rozumując zatem a contrario, personel niemedyczny stanowią wszyscy pracownicy podmiotu leczniczego, bez względu na formę zatrudnienia, którzy nie wykonują zawodów medycznych i nie udzielają świadczeń zdrowotnych.

4.Zasady ochrony danych medycznych

Zgodnie z art. 36 u.o.d.o. administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W przypadku podmiotów leczniczych funkcja administratora danych pełniona jest w zależności od formy w jakiej prowadzona jest placówka medyczna, np. w odniesieniu do samodzielnych publicznych zakładów opieki zdrowotnej, administratorem danych będzie dyrektor SP ZOZ-u, z kolei w placówkach medycznych prowadzonych w formie spółek kapitałowych (spółka z ograniczoną odpowiedzialnością i spółka akcyjna) obowiązki i zadania administratora danych wypełnia zarząd danej spółki.

Administrator danych zobowiązany jest między innymi do prowadzenia dokumentacji opisującej sposoby przetwarzania danych oraz środki ochrony. W praktyce dokumentację taką najczęściej stanowi regulamin ochrony i przetwarzania danych osobowych w podmiocie leczniczym. W ocenie autora komentarza, regulamin taki winien zawierać, w szczególności:

1) obowiązki administratora danych;

2) zasady dostępu do danych osobowych przez poszczególnych pracowników placówki medycznej;

3) zasady bezpieczeństwa dotyczące przechowywania danych (pomieszczeń, budynków itd.);

4) zasady gromadzenia danych osobowych;

5) obowiązki informacyjne pracowników podmiotów leczniczych względem osób, których dane są przetwarzane;

6) zasady i warunki bezpieczeństwa w zakresie udostępniania danych;

7) uprawnienia i obowiązki administratora bezpieczeństwa informacji – jeśli jest powoływany.

Kluczowym dokumentem dotyczącym przetwarzania danych osobowych, w tym danych medycznych, zwłaszcza w odniesieniu do omawianej grupy pracowników niemedycznych, jest upoważnienie. Zgodnie bowiem z art. 37 u.o.d.o., do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Najważniejszym elementem upoważnienia winien być ściśle określony zakres, w jakim pracownik, zatrudniony na określonym stanowisku, jest uprawniony do przetwarzania danych osobowych. W ocenie autora komentarza, jeśli dany pracownik niemedyczny dysponuje prawem do przetwarzania danych medycznych pacjentów, upoważnienie musi bardzo precyzyjnie określać pola, na jakich takie przetwarzanie jest dopuszczalne.

Ponadto, w oparciu o art. 39 u.o.d.o., administrator danych zobowiązany jest do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej;

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Naruszenie tak określonego przez ustawodawcę obowiązku skutkować może również odpowiedzialnością karną na podstawie wskazanego wcześniej art. 51 u.o.d.o. oraz art. 266 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny, zgodnie z którym kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

5.Praktyka

5.1.Dyrekcja podmiotu leczniczego

Przykład 1:

Do dyrektora placówki medycznej wpływa skarga od pacjenta na personel medyczny poradni, w której pacjentowi udzielane były świadczenia opieki zdrowotnej. Pacjent zarzucił lekarzom, między innymi, iż nie przeprowadzili wszystkich niezbędnych badań, które pozwalałyby na prawidłową diagnozę. Zwrócił się do dyrektora z prośbą o skontrolowanie prawidłowości postępowania lekarzy. Dyrektor podjął czynności wyjaśniające, w ramach których zdecydował o przejrzeniu dokumentacji medycznej pacjenta. Czy dyrektor ma do tego prawo?

Należy podkreślić, iż w niniejszym stanie faktycznym mamy do czynienia z dyrektorem placówki, który jednocześnie pełni funkcję administratora danych. Niemniej jednak w ocenie autora komentarza nie należy łączyć tego faktu z uprawnieniem dyrektora do nieograniczonego dostępu do danych medycznych pacjentów. Zadaniem dyrektora podmiotu, jako administratora danych, jest, przede wszystkim, nadzór nad przestrzeganiem przez podmiot leczniczy obowiązujących przepisów dotyczących przetwarzania danych osobowych, w tym danych medycznych. W tym celu, prawodawca wyposażył administratora w szereg uprawnień oraz nałożył na niego określone obowiązki. Jednocześnie, żaden z przepisów ustawy nie wskazuje, nawet pośrednio, na możliwość „nieograniczonego” dostępu administratora danych do przetwarzanych danych osobowych. Tym samym, zdaniem autora, uwzględniając, wspomniane już wcześniej, ścisłe podejście do regulacji prawnych zapewniających ochronę wrażliwych danych osobowych, reglamentacja dostępu do danych medycznych pacjentów dotyczy również dyrektora placówki. W ocenie autora, w ramach powyższego przykładu, całkowicie nieuzasadniona jest teza, z którą można spotkać się w praktyce, iż wniesienie skargi przez pacjenta do kierownika podmiotu leczniczego należy łączyć z domniemaną zgodą na przetwarzanie przez niego danych medycznych. Wynika to, chociażby z faktu, iż zgodnie z art. 27 ust. 2 pkt 1 u.o.d.o. w zakresie danych wrażliwych, zgoda osoby na ich przetwarzanie winna być wyrażona na piśmie. Ustawodawca zatem, wyraźnie wskazuje, iż nawet forma zgody musi odpowiadać charakterowi danych wrażliwych. Niemożliwe jest zatem jej domniemanie. Uwzględniając powyższe, w ramach czynności wyjaśniających, dyrektor powinien zwrócić się o pomoc do dyrektora ds. medycznych czy kierownika poradni, którzy, jako osoby, w założeniu wykonujące zawody medyczne, mają prawo dostępu do danych medycznych pacjentów i zobowiązane są do zachowania tajemnicy zawodowej. Należy zaakcentować, iż powyższe rozważania dotyczą w całości sytuacji, w której dyrektor placówki nie wykonuje jednocześnie zawodu medycznego, np., nie jest lekarzem.

5.2.Księgowość

Kolejną grupę osób należących do personelu niemedycznego, w stosunku do której należy rozważyć możliwość potencjalnego dostępu do danych medycznych pacjentów są pracownicy działów księgowości w podmiotach leczniczych. W ocenie autora komentarza, brak jest podstaw faktycznych do udzielania tej grupie pracowników wglądu w dane medyczne. Niewątpliwie księgowość winna mieć dostęp do danych osobowych pacjentów, które niezbędne są do realizacji zadań typowo finansowych, np. związanych z wystawianiem faktur dla pacjentów komercyjnych itp. Powyższego jednak nie należy łączyć z koniecznością dostępu do wrażliwych danych medycznych pacjentów.

5.3.Radca prawny

Przykład 2:

Do szpitala wpływa pozew o odszkodowanie z tytułu popełnionego błędu lekarskiego. Pozew zostaje przekazany do zbadania przez szpitalny dział prawny. Opracowujący odpowiedź na pozew radca prawny prosi o udostępnienie mu dokumentacji medycznej pacjenta, będącego powodem w sprawie. Czy radca prawny może uzyskać dostęp do danych medycznych takiego pacjenta?

Wydaje się, iż radca prawny funkcjonujący w placówce medycznej jest jednym z najbardziej czytelnych przykładów osób, które mogą posiadać dostęp do danych medycznych pacjentów, w bardzo ściśle określonych przypadkach. Niewątpliwie radcy prawni należą w podmiotach leczniczych do grupy personelu typowo administracyjnego. Z zasady zatem brak jest uzasadnienia dla dysponowania przez nich prawem wglądu w dane medyczne. Jedynym wyjątkiem, przy zaistnieniu którego radca prawny powinien mieć dostęp do takich danych, dotyczy właśnie sytuacji, gdy przeciwko danej placówce medycznej lub z jej udziałem toczy się określone postępowanie. Należy wyraźnie zaznaczyć, iż nie dotyczy to wyłącznie postępowań sądowych, albowiem jak wiadomo, w stosunku do szpitali możliwe jest również wszczęcie postępowania w ramach wniosku o stwierdzenie zdarzenia medycznego. W takich przypadkach, w celu odpowiedniego przygotowania się do ewentualnej sprawy, radca prawny, jako profesjonalny pełnomocnik podmiotu leczniczego, winien mieć zagwarantowany dostęp do danych medycznych tylko i wyłącznie tych pacjentów, którzy są powodami w sprawach sądowych lub wnioskodawcami w postępowaniach o stwierdzenie zdarzenia medycznego. Powyższe uprawnienia winny być wyraźnie określone w upoważnieniach udzielanych przez administratora danych radcom prawnym. Podsumowując, przypadek opisany w przykładzie uprawnia radcę prawnego do dostępu do danych medycznych pacjenta – powoda.

5.4.Informatyk

Jako osobną grupę niemedycznych pracowników szpitalnych należy potraktować informatyków, których ewentualny dostęp do danych medycznych pacjentów uzależniony jest do wykonywanych obowiązków służbowych. Obecnie coraz więcej placówek medycznych prowadzi dokumentację medyczną, częściowo bądź w całości, w wersji elektronicznej. W tym celu dysponują one dedykowanymi systemami informatycznymi i bazami danych. Ponadto, liczne aparaty medyczne, np. tomografy komputerowe, również zawierają dane medyczne pacjentów. Udzielanie szpitalnym informatykom upoważnień do przetwarzania danych medycznych, w praktyce uzależnione jest od odpowiedzi na pytanie, kto i w jakim zakresie zajmuje się serwisem wspomnianych wcześniej urządzeń elektronicznych. Najczęściej, czynności serwisowe wykonywane są przez firmy zewnętrzne, które zajmują się również instalacją samych baz danych i urządzeń. W takich przypadkach podmiot leczniczy winien rozważyć konieczność zawarcia z taką firmą umowy o powierzenie przetwarzania danych osobowych, w trybie art. 31 u.o.d.o. Jest to bowiem związane z faktem, iż serwis obejmuje wszelkiego typu problemy i wady, także wynikające np. z błędów informatycznych w samych bazach. Jeśli zatem czynności serwisowe podejmowane są przez firmy zewnętrzne, brak jest podstaw do udzielania szpitalnym informatykom upoważnienia do dostępu do danych medycznych. Z inną sytuacją z kolei mamy do czynienia, jeżeli to właśnie informatycy będący pracownikami danego podmiotu leczniczego są odpowiedzialni za serwisowanie urządzeń i systemów, zawierających dane medyczne pacjentów. Tutaj już nadanie odpowiednich upoważnień jest konieczne.

5.5.Statystyk, rejestratorka i sekretarka medyczna

Jako jedną grupę, w zakresie uprawnień związanych z dostępem do danych medycznych pacjentów, można potraktować osoby wykonujące zawody statystyka, rejestratorki czy sekretarki medycznej. W odniesieniu do wszystkich tych zawodów, autor komentarza stoi na stanowisku, iż winny one posiadać prawo wglądu do danych medycznych, w zakresie ściśle związanym z obowiązkami służbowymi. Przedstawiciele wymienionych wyżej zawodów są, między innymi, odpowiedzialni za prowadzenie czy archiwizację dokumentacji medycznej. Zadania te wykonywane są w różnych zakresach, np. statystyk medyczny przygotowuje kopie dokumentacji dla określonych wnioskodawców, rejestratorka czy sekretarka medyczna gromadzi i archiwizuje karty zdrowia pacjentów, czy wyniki ich badań. Warto też zwrócić uwagę czytelników na planowaną przez ustawodawcę nowelizację przepisów ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, która w swoich założeniach postuluje wprowadzenie możliwości dokonywania wpisów w dokumentacji medycznej przez osoby niewykonujące zawodu medycznego, w tym także rejestratorki i sekretarki medyczne. Biorąc pod uwagę powyższe należy stwierdzić, iż zakres dostępu do danych medycznych pacjentów wynikający z udzielanych przez administratora upoważnień, winien odpowiadać zakresowi obowiązków, wykonywanych przez przedstawicieli tychże trzech zawodów.

5.6.Pracownik socjalny

Przykład 3:

Pracownik socjalny podejmuje czynności mające na celu pomoc pacjentowi w zakresie kompletowania niezbędnych dokumentów do zakładu opiekuńczo-leczniczego. W ramach powyższych czynności, w celu ustalenia określonych informacji, prosi ordynatora oddziału o dostęp do dokumentacji medycznej pacjenta. Czy pracownikowi socjalnemu przysługuje prawo dostępu do danych medycznych?

Zgodnie z art. 120 ustawy z dnia 12 marca 2004 r. o pomocy społecznej, szpitale mają prawo zatrudniać pracowników socjalnych. W praktyce, działalność szpitalnych pracowników socjalnych koncentruje się na rozwiązywaniu problemów socjalno – bytowych pacjentów. Pracownicy ci bardzo często pomagają również rodzinom pacjentów w zakresie wyszukiwania dla pacjentów odpowiednich domów pomocy społecznej, zakładów opiekuńczo – leczniczych itd. Powyższe oznacza, iż pracownicy socjalni wypełniają w szpitalach zadania przede wszystkim wspierające, a to w ocenie autora nie uzasadnia ich prawa dostępu do danych medycznych pacjentów. Wypełniając swoje zadania pracownicy socjalni winni bazować na informacjach otrzymanych bezpośrednio od pacjentów bądź ich rodzin oraz ewentualnie uzyskanych zaświadczeniach, czy orzeczeniach lekarskich. Tym samym w stanie faktycznym opisanym w przykładzie, ordynator oddziału ma prawo odmówić pracownikowi socjalnemu dostępu do dokumentacji medycznej pacjenta. Autor zwraca jednak uwagę czytelników, że z inną sytuacją będziemy mięli do czynienia w przypadku, jeśli pacjent pisemnie upoważni pracownika socjalnego do wglądu w swoją dokumentację medyczną. Jeżeli pracownik socjalny przedłożyłby ordynatorowi pisemne upoważnienie pacjenta, ten miałby prawo udostępnić mu dokumentację.