Pytanie
 
W podmiocie medycznym będącym przedsiębiorcą, w jednym z oddziałów, funkcjonują sekretarki medyczne. Ich zadania to: zakładanie historii chorób, uzupełnianie rejestrów (przede wszystkim księgi głównej) oraz pisanie kart informacyjnych.

  • Czy ich obowiązki są zgodne z obowiązującym prawem?
  • Przede wszystkim czy są zgodne z ustawą o działalności leczniczej, ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawą o ochronie danych osobowych i rozporządzeniem w sprawie rodzajów dokumentacji medycznej i sposobów jej przetwarzania w kwestii dostępu do danych medycznych?

 
Sekretarka medyczna

Sekretarka medyczna może realizować obowiązki w zakresie prowadzenia dokumentacji medycznej. Wpisy w dokumentacji medycznej prowadzonej przez sekretarki medyczne powinny jednak zawierać odpowiednio oznaczenie osoby udzielającej świadczeń i osoby dokonującej wpisu z uwzględnieniem ich roli w udzielaniu i dokumentowaniu świadczeń zdrowotnych (czyli w dokumentacji należy wyraźnie zaznaczyć, kto udzielił świadczenia a kto dokonał wpisu do dokumentacji).

Dokumentacja medyczna zawiera dane osobowe sensytywne, których przetwarzanie dopuszcza się pod warunkiem, że jest ono prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych albo zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 47 ust. 2 pkt 7 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych; tekst jedn.: z 2002 r. Nr 101, poz. 926 z późn. zm.) - dalej u.o.d.o. Sekretarka medyczna może więc uzyskać dostęp do danych w zakresie, w jakim jest to niezbędne dla zgodnego z przepisami dokumentowania przez nią udzielonych świadczeń zdrowotnych. Dopuszczenie sekretarki medycznej do przetwarzania danych osobowych następuje na mocy pisemnego upoważnienia administratora danych, czyli podmiotu leczniczego (art. 37 u.o.d.o.).

Dokumentacja medyczna a obowiązki sekretarki medycznej

Pierwsza kwestia, to taka, czy dokumentacja medyczna może być prowadzona przez osobę inną niż osoba udzielająca świadczenia zdrowotnego (sekretarkę medyczną). Drugą kwestią jest to, czy i na jakich zasadach sekretarka medyczna, która świadczeń nie udziela, może uzyskać dostęp do danych osobowych pacjentów.

Odpowiadając na pierwsze z wyszczególnionych pytań należy odwołać się przede wszystkim do ustawy z 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.) – dalej u.p.p. oraz wydanego na jej podstawie rozporządzenia Ministra Zdrowia z 21 grudnia 2010 roku w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz. U. z 2014 r. poz. 177) – dalej r.d.m. Wynika z nich, że obowiązek prowadzenia dokumentacji medycznej obciąża podmiot udzielający świadczeń zdrowotnych (art. 24 ust. 1 u.p.p.). Faktycznie realizacją obowiązku zajmuje się jednak personel zatrudniony w tym podmiocie. Ponieważ przepisy nie wyszczególniają, jaki personel posiada w tym zakresie upoważnienie to przyjęło się, że wpisy do dokumentacji medycznej, zwłaszcza zbiorczej, są dokonywane przez sekretarki medyczne.

Wyjątek od zasady, że wpisów do dokumentacji medycznej może dokonywać inna osoba (np. sekretarka medyczna) niż ta, która udzieliła danego świadczenia dotyczy jedynie tych dokumentów, w stosunku do których przepis wyraźnie tak stanowi, w szczególności:

  • wpisów w księdze raportów lekarskich winni dokonywać lekarze udzielający świadczeń, co wynika wprost z treści § 30 pkt 5 r.d.m.;
  • wpisów w księdze raportów pielęgniarskich powinny dokonywać pielęgniarka albo położne, co wynika wprost z treści § 31 pkt 6 r.d.m.


Dokumentując udzielone świadczenia zdrowotne należy pamiętać, że każdy wpis w dokumentacji musi być opatrzony oznaczeniem osoby dokonującej wpisu (§ 4 ust. 2 r.d.m.) oraz oznaczeniem osoby udzielającej świadczeń zdrowotnych oraz kierującej na badanie, konsultację lub leczenie (§ 10 ust. 1 pkt 3 r.d.m.). Oznaczenie osoby dokonującej wpisu (§ 10 ust. 1 pkt 3 w zw. z § 4 ust. 2 r.d.m.) i udzielającej świadczenia (§ 10 ust. 1 pkt 3 r.d.m.) powinno zawierać co najmniej:

  • nazwisko i imię;
  • tytuł zawodowy;
  • uzyskane specjalizacje;
  • numer prawa wykonywania zawodu - w przypadku lekarza, pielęgniarki i położnej;
  • podpis.

Z powołanych przepisów wynika więc, że jeżeli wpis dokonany został przez inną osobę niż ta, która świadczenia udzieliła, w dokumentacji należy odrębnie oznaczyć obie te osoby, tj. tego, kto udzielał świadczenia oraz tego, kto odnotował ten fakt w dokumentacji - ze wskazaniem roli, jaką dana osoba odegrała w procesie udzielania i dokumentowania świadczenia (np. świadczenia udzielił: X; wpisu dokonał: Y). Jeżeli natomiast wpis został dokonany przez tę samą osobę która udzieliła świadczenia, wystarczy, że zostanie ona oznaczona pod wpisem jeden raz.

Organizując proces dokumentowania świadczeń należy również zwrócić uwagę na istniejącą odrębność w oznaczaniu osoby udzielającej świadczeń w dokumentacji medycznej indywidualnej i zbiorczej. Obowiązek złożenia podpisu na dokumentacji medycznej zbiorczej nie dotyczy co do zasady osoby udzielającej świadczenia, a jedynie osoby dokonującej wpisu (§ 11 r.d.m.). Wyjątek dotyczy:

  • a) księgi odmów przyjęć i porad ambulatoryjnych udzielanych w izbie przyjęć (§ 27 ust. 1 pkt 14 r.d.m.);
  • b) księgi zabiegów (§ 32 pkt 7 r.d.m.);
  • c) wpisu w księdze bloku operacyjnego w zakresie oznaczenia lekarza anestezjologa wykonującego znieczulenie oraz w zakresie oznaczenia osób wchodzących odpowiednio w skład zespołu operacyjnego, zespołu zabiegowego, zespołu anestezjologicznego (§ 33 pkt 12 i 13 r.d.m.);
  • d) wpisu w księdze bloku porodowego albo sali porodowej w zakresie oznaczenia lekarza anestezjologa oraz oznaczenia lekarza albo położnej przyjmującej poród (§ 34 pkt 8 i 15 r.d.m.);
  • e) wpisu w księdze pracowni diagnostycznej w zakresie oznaczenia osoby wykonującej badanie (§ 36 pkt 8 r.d.m.);
  • f) wpisu w księdze pracowni protetyki stomatologicznej i ortodoncji w zakresie oznaczenia osoby wykonującej zlecenie (§ 55 ust. 2 pkt 6 r.d.m.)

- w przypadku których to wpisów prawidłowe oznaczenie osoby udzielającej świadczeń na dokumentacji medycznej zbiorczej powinno zawierać także i jej podpis.

Rozstrzygając drugą z poruszonych kwestii należy natomiast odwołać się do ustawy o ochronie danych osobowych, która reguluje ogólne zasady przetwarzania danych osobowych, w tym danych zawartych w dokumentacji medycznej.

Ustawa, w art. 27 ust. 1 u.o.d.o., zalicza dane o stanie zdrowia zawarte w dokumentacji medycznej do danych osobowych wrażliwych, których przetwarzanie dopuszczalne jest wyłącznie w wypadkach wskazanych w ustawie i podlega szczególnym rygorom.

Przetwarzanie danych o stanie zdrowia jest dopuszczalne, jeżeli jest prowadzone w celu (art. 27 ust. 2 pkt 7 u.o.d.o.):

  • a) ochrony stanu zdrowia;
  • b) świadczenia usług medycznych lub
  • c) leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych;
  • d) zarządzania udzielaniem usług medycznych;

i są stworzone pełne gwarancje ochrony danych osobowych.

Reguły zabezpieczenia danych osobowych określone zostały w rozdziale 5 u.o.d.o. Zgodnie z art. 36 ust. 1 u.o.d.o. administrator danych (podmiot leczniczy) jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Przetwarzanie danych osobowych

Do przetwarzania danych osobowych w imieniu administratora mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.). Aby zatem sekretarka medyczna mogła prowadzić dokumentację medyczną i dokonywać w niej wpisów, powinna mieć pisemne upoważnienie udzielone przez kierownika podmiotu leczniczego. Upoważnienie może być udzielone w odrębnym dokumencie lub wynikać z dokumentu statuującego stosunek podstawowy (np. z umowy o pracę, umowy zlecenia etc.). Istotne jest przy tym, że zakresu upoważnienia nie można domniemywać, stąd musi być on wyraźnie wskazany dokumencie (por. wyrok WSA w Warszawie z 12 grudnia 2013 roku, sygn. akt II SA/Wa 814/13; wyrok WSA z dnia 24 marca 2009 r., sygn. akt II SA/Wa 527/08). Zakres upoważnienia powinien być ponadto ustalany tak, by zapewnić realizację obowiązku, wynikającego z art. 38 u.o.d.o., który nakłada na administratora danych obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, przez kogo przetwarzane.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia, o czym należy je pouczyć (art. 39 ust. 2 u.o.d.o.). Fakt pouczenia oraz oświadczenie o przyjęciu na siebie obowiązku zachowania tajemnicy zaleca się odnotować w treści upoważnienia i przedstawić do podpisu osobie upoważnionej.

Poza obowiązkiem prawidłowego upoważnienia podwładnych do przetwarzania danych osobowych podmiot leczniczy powinien także pamiętać o obowiązku prowadzenia stosownej dokumentacji związanej z przetwarzaniem tych danych. W szczególności w myśl art. 36 ust. 2 u.o.d.o oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji, przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), administrator danych ma obowiązek wprowadzić tzw. Politykę bezpieczeństwa przetwarzania danych osobowych. Ponadto administrator danych osobowych musi prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać (art. 39 ust. 1 u.o.d.o.):

  • a) imię i nazwisko osoby upoważnionej;
  • b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  • c) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

 
Pytanie pochodzi z Serwisu Prawo i Zdrowie