Pytanie
Czy szpital może zlecić zewnętrznej firmie przechowalniczej (wyłonionej w przetargu) przechowywanie, archiwizację i brakowanie dokumentacji medycznej pacjentów leczonych w swojej placówce?
Ze względu na warunki lokalowe (brak wystarczającej ilości miejsca) i konieczność zabezpieczenia dokumentacji przez zniszczeniem lub kradzieżą szpital w swojej lokalizacji nie może przechowywać całości wytworzonej dokumentacji.
Odpowiedź
Oczywiście, szpital może powierzyć zewnętrznej firmie archiwizację i przechowywanie dokumentacji medycznej - takiego działania nie zabraniają przepisy prawa powszechnie obowiązującego. Należy jednak pamiętać, że administrator danych osobowych zawartych w dokumentacji medycznej, jakim jest szpital, musi zgodnie z treścią art. 36 ust. 1 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) - dalej u.o.d.o. zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (a dane dotyczące stanu zdrowia pacjenta są objęte najwyższym stopniem ochrony), a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Wobec faktu, iż ustawodawca nałożył na administratora danych osobowych takie obowiązki, przy wyborze firmy przechowującej dokumentację medyczną szpitala należy zweryfikować czy firma ta jest w stanie spełnić powyższe wymagania w czasie przechowywania dokumentacji medycznej.
Poza tym ustawa nakłada na administratora danych osobowych sankcje karne za naruszenie obowiązku dbania o bezpieczeństwo danych osobowych. Do opisanej w pytaniu sytuacji, mają odniesienie dwa przepisy karne:
- art. 51 u.o.d.o. stanowiący, że kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
- art. 52 u.o.d.o. stanowi, że kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Wobec powyższego, żeby zwolnić się spod odpowiedzialności karnej za sytuację w której firma przechowalnicza na przykład doprowadzi do zniszczenia części dokumentacji medycznej lub w sposób nieodpowiedni będzie jej strzec i dane dostana się w ręce osób nieupoważnionych, należy zawrzeć umowę w formie pisemnej, w której będą zawarte obowiązki firmy przechowalniczej realizujące wymogi wskazane w art. 36 u.o.d.o. Autor sugeruje także dokonanie oględzin miejsca przechowywania dokumentacji i zabezpieczeń firmy oraz sporządzenie protokołu z oględzin w formie pisemnej. Takie działanie nie pozwoli zarzucić szpitalowi naruszenia jego obowiązków związanych z ochroną danych osobowych zawartych w dokumentacji medycznej.
Pytanie pochodzi z Serwisu Prawo i Zdrowie
Szpital może zlecić firmie zewnętrznej przechowywanie dokumentacji medycznej
Szpital może powierzyć zewnętrznej firmie archiwizację i przechowywanie dokumentacji medycznej pacjentów. Należy jednak pamiętać, że administrator danych osobowych zawartych w dokumentacji medycznej, jakim jest szpital, musi zweryfikować czy firma jest w stanie spełnić wymagania dotyczące ochrony tych danych.