1. Wprowadzenie
Ze względu na konieczność stosowania kosztownej infrastruktury teleinformatycznej i złożonych systemów zabezpieczeń, koszt samodzielnego prowadzenia archiwum elektronicznego może okazać się poważną barierą dla prowadzenia dokumentacji medycznej w postaci elektronicznej przez podmiot udzielający świadczeń zdrowotnych. Z technicznego i ekonomicznego punktu widzenia uzasadniona byłaby możliwość korzystania przez świadczeniodawców z bezpiecznych zewnętrznych centrów przechowywania danych.
Paragraf 44 ust. 1 r.r.z.d. stanowi, że dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona.
Aby przeanalizować prawne możliwości przechowywania dokumentacji medycznej prowadzonej w postaci elektronicznej przez podmiot zewnętrzny (trzeci) w stosunku do podmiotu udzielającego świadczeń zdrowotnych, dyskusji należy poddać dwa elementy:
1. Jak rozumieć sformułowanie "w zakładzie":
a. czy chodzi tu o wydzielony w przestrzeni fizyczny teren będący w wyłącznej dyspozycji podmiotu udzielającego świadczeń zdrowotnych;
b. czy może raczej nie są istotne granice fizyczne a należy brać pod uwagę obszary działalności podmiotu udzielającego świadczeń zdrowotnych, nad którymi podmiot ten sprawuje kontrolę.
2. Jak rozumieć pojęcie "dokumentacji medycznej w postaci elektronicznej":
a. czy pozostaje dokumentacją medyczną przetworzony technikami kryptograficznymi nieczytelny ciąg znaków;
b. czy może raczej konieczna jest anonimizacja dokumentacji, aby przestała ona nosić cechy dokumentacji medycznej określone jej ustawową definicją.

Zwolennicy prawnej dopuszczalności powierzania bezpiecznego przechowywania elektronicznej dokumentacji medycznej zewnętrznym podmiotom świadczącym tego typu usługi, opierają się na liberalnej i korzystnej dla siebie interpretacji obydwu wymienionych zagadnień. Uważają oni, że pod pojęciem zakładu (podmiotu udzielającego świadczeń zdrowotnych) nie należy rozumieć jego fizycznego obszaru działalności, tylko należy traktować pojęcie szeroko jako obszar kompetencji, nad którym kierownictwo podmiotu sprawuje kontrolę. Z kolei, przechodząc do definicji dokumentacji medycznej w postaci elektronicznej, wskazują, że przetworzone technikami kryptograficznymi dane medyczne tracą cechy dokumentacji medycznej, gdyż nie ma możliwości zapoznania się z nimi przez nieuprawnione osoby oraz zidentyfikowanie pacjenta. Twierdzą oni, że zaszyfrowaną dokumentację medyczną w postaci elektronicznej można traktować tylko jako neutralne ciągi znaków, gdyż nie istnieją praktyczne możliwości ich odczytania bez znajomości kluczy dostępu i metody szyfrowania. Powyższe stanowiska wydają się być jednak błędne, o ile nie towarzyszą im dalej idące wymogi i środki zabezpieczenia danych zawartych w dokumentacji medycznej w związku ze współpracą podmiotu udzielającego świadczeń zdrowotnych z firmą świadczącą usługi przechowywania danych.

2. Kluczowe aspekty outsourcingu przechowywania dokumentacji medycznej w postaci elektronicznej

Artykuł 1 ust. 1 ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (tekst jedn.: Dz. U. z 2007 r. Nr 14, poz. 89 z późn. zm.) - dalej u.z.o.z. definiuje zakład opieki zdrowotnej jako wyodrębniony organizacyjnie zespół osób i środków majątkowych utworzony i utrzymywany w celu udzielania świadczeń zdrowotnych i promocji zdrowia. Jest to zatem funkcjonalna definicja zakładu opieki zdrowotnej, zbliżona w swej istocie do cywilistycznej definicji przedsiębiorstwa. Definiując zakład opieki zdrowotnej ustawa odwołuje się jednak do konkretnych środków trwałych, a więc fizycznego, przestrzennego aspektu istnienia zakładu a nie do jego kompetencji czy obszaru działalności rozumianego w sposób abstrakcyjny w oderwaniu od aspektu przestrzennego.
Co więcej art. 2 ust. 1 u.z.o.z. wskazuje zamknięty katalog podmiotów będących zakładami opieki zdrowotnej, a następnie dalej wskazuje podmioty i zasady na jakich zakłady opieki zdrowotnej mogą być tworzone.
W świetle powyższych definicji wydaje się więc, że w braku przepisów pozwalających wprost na przechowywanie dokumentacji medycznej poza zakładem opieki zdrowotnej, takie przechowywanie dokumentacji przez podmioty trzecie, nie będące przynajmniej wyodrębnionymi jednostkami lub komórkami organizacyjnymi zakładu opieki zdrowotnej nie jest możliwe.

Ani art. 18 u.z.o.z. ani przepisy rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania nie przewidują nigdzie wprost możliwości powierzenia przez podmiot udzielający świadczeń zdrowotnych przechowywania dokumentacji medycznej i zabezpieczenia zawartych w niej danych podmiotowi trzeciemu.
Także wśród podmiotów wskazanych w art. 26 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.) – dalej u.p.p. jako podmioty, którym może być udostępniona dokumentacja medyczna nie ma wskazanych podmiotów, które miałyby wykonywać wyłącznie funkcje czysto techniczne związane z przechowywaniem tej dokumentacji na rzecz podmiotu udzielającego świadczeń zdrowotnych. Brak zatem w powyższych przepisach uregulowania analogicznego do zawartego w przepisach ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.) w zakresie dotyczącym możliwości outsourcingu czynności bankowych na rzecz podmiotów trzecich.
Wydaje się przy tym, że przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz przepisy ustawy o zakładach opieki zdrowotnej, jak również przepisy wykonawcze do tych ustaw, stanowią lex specialis w stosunku do przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – dalej u.o.d.o. i wykluczają zastosowanie do przechowywania dokumentacji medycznej przepisu art. 31 u.o.d.o. pozwalającego na powierzenie przetwarzania danych osobowych innemu podmiotowi przez administratora tych danych, w drodze pisemnej umowy. Wskazuje na to choćby definicja dokumentacji medycznej zawarta w art. 18d ust. 1 pkt 5 u.z.o.z., wskazująca, że przez dokumentację medyczną należy rozumieć dane i informacje medyczne odnoszące się do stanu zdrowia pacjenta lub udzielonych mu w zakładzie opieki zdrowotnej świadczeń zdrowotnych, gromadzone i udostępniane na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta w związku z treścią art. 24 ust. 1 u.p.p., jak również treść art. 5 u.o.d.o., stanowiącego, że w przypadku, gdy przepisy odrębnych ustaw przewidują dalej idącą ochronę przetwarzania danych, stosuje się przepisy tych ustaw.
Wydaje się jednak, że w drodze wynajmu od podmiotu świadczącego usługi archiwizacyjne pomieszczeń oraz powierzchni dyskowej na odpowiednio zabezpieczonych serwerach w celach przechowywania dokumentacji medycznej w postaci elektronicznej, jak również w drodze poddania tej dokumentacji anonimizacji i szyfrowaniu, w sposób zapewniający wyłączną kontrolę nad danymi źródłowymi zawartymi w dokumentacji medycznej podmiotowi udzielającemu świadczenia zdrowotnego, możliwe byłoby w świetle obowiązujących aktualnie regulacji prawnych faktyczne powierzenie przechowywania dokumentacji medycznej podmiotowi trzeciemu w stosunku do podmiotu udzielającego świadczeń zdrowotnych.

Przykład 1
Podmiot udzielający świadczeń zdrowotnych prowadzi dokumentację medyczną w postaci elektronicznej i oddaje ją do tzw. głębokiego składowania zewnętrznemu podmiotowi, profesjonalnie zajmującemu się usługami bezpiecznej archiwizacji. Dane nie są dodatkowo szyfrowane, ale podmiot udzielający świadczeń zdrowotnych ma pełną kontrolę nad wykonaniem procedur bezpieczeństwa w stosunku do archiwizowanej dokumentacji. W szczególności ma dostęp do raportu on-line o każdej próbie odczytu danych z podaniem danych użytkownika, który taki odczyt podjął i jego uprawnień. Przedstawiciel podmiotu udzielającego świadczeń zdrowotnych uczestniczy także w pracach Komitetu Bezpieczeństwa firmy archiwizacyjnej, na którym ciąży odpowiedzialność za bezpieczeństwo danych. Czy postępowanie takie nie łamie wymogu przechowywania danych w zakładzie? (...)

Piotr Dynowski, Robert Mołdach