I. Dane osobowe i ich przetwarzanie – zasady ogólne

Zgodnie z przepisem art. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – dalej u.o.d.o., każdy ma prawo do ochrony dotyczących go danych osobowych. Szczególnej ochronie podlegają zaś dane wrażliwe, zwane też danymi sensytywnymi (ang. sensitive data), które objęte są ustawowym zakazem przetwarzania, a do których ustawodawca zaliczył w szczególności dane o stanie zdrowia. Jak stanowi bowiem art. 27 ust. 1 u.o.d.o., zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W tym miejscu podkreślić jednak należy, iż od generalnego zakazu przetwarzania danych sensytywnych ustawa wprowadza istotny wyjątek w art. 27 ust. 2 u.o.d.o., zgodnie z brzmieniem którego przetwarzanie danych wrażliwych jest dopuszczalne, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Kończąc rozważania na temat ogólnych zasad przetwarzania danych osobowych, w tym danych o charakterze sensytywnym, podkreślić również należy, iż przepisy ustawy o ochronie danych osobowych ustanawiają cały wachlarz sankcji za nieuprawnione przetwarzanie danych osobowych. Jak stanowi art. 49 u.o.d.o., kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeśli jednak czyn zabroniony dotyczy w takim przypadku danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową lub danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

II.Czy Narodowy Fundusz Zdrowia, prowadząc kontrole świadczeniodawców, może ankietować pacjentów w zakresie udzielonych na ich rzecz świadczeń opieki zdrowotnej?

Zgodnie z przepisem art. 188 ust. 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych – dalej u.ś.o.z., Narodowy Fundusz Zdrowia jest uprawniony do przetwarzania danych osobowych ubezpieczonych między innymi w celu kontroli rodzaju, zakresu i przyczyny udzielanych świadczeń, rozliczenia ze świadczeniodawcami, kontroli przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń zdrowotnych oraz monitorowania stanu zdrowia i zapotrzebowania ubezpieczonych na świadczenia zdrowotne oraz leki i wyroby medyczne. Ponadto, jak stanowi art. 192a u.ś.o.z., w celu potwierdzenia udzielenia świadczeń opieki zdrowotnej, Narodowy Fundusz Zdrowia może zwrócić się do świadczeniobiorcy o informację w zakresie udzielonych mu świadczeń opieki zdrowotnej. Jako że żaden z przepisów ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych nie określa formy pozyskiwania przez Narodowy Fundusz Zdrowia informacji o udzielonych świadczeniach opieki zdrowotnej, przyjąć należy, iż przedmiotowe czynności mogą przybrać postać pisemnej ankiety, w której to pacjent udziela odpowiedzi na pytania dotyczące okresów porad czy hospitalizacji, wykonanych badań, czy też ordynowanych leków. Jednocześnie wskazać należy, iż warunkiem pozyskiwania i przetwarzania danych osobowych dotyczących stanu zdrowia pacjenta jest wcześniejsze poinformowanie osoby zainteresowanej o podstawie prawnej co do obowiązku przekazania danych osobowych oraz o celu zbierania danych, a w szczególności o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych. Obowiązek taki wyartykułowany został expressis verbis przepisem art. 24 u.o.d.o., zgodnie z którym w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania oraz 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

III.Czy podmiot wykonujący działalność leczniczą, dokonując zwrotu aparatury medycznej oddanej w użyczenie, dzierżawę lub leasing, obowiązany jest do usunięcia wszelkich danych o wykonywanych badaniach?

Jak stanowi przepis art. 36 u.o.d.o., administrator danych (a więc również i podmiot wykonujący działalność leczniczą i przetwarzający dane osobowe pacjenta) zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Wykorzystywana obecnie aparatura medyczna i sprzęt medyczny to niejednokrotnie urządzenia przechowujące w swojej pamięci informacje w zakresie takich danych osobowych jak imię, nazwisko, wiek pacjenta czy też data oraz wynik przeprowadzonego badania, dlatego podmiot wykonujący działalność leczniczą lub wyznaczony przez niego administrator bezpieczeństwa informacji winien usunąć z pamięci elektronicznej urządzenia wszelkie dane osobowe w przypadku zwrotu sprzętu i aparatury medycznej. Z czynności tych sporządza się stosowny protokół, co wynika zresztą z przepisu art. 36 ust. 2 u.o.d.o., zgodnie z którym administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych (a zatem również ich usuwania).

IV.Czy lekarz może przekazać, a jeśli tak to komu, informację o podejrzeniu lub stwierdzeniu choroby zakaźnej u pacjenta?

Zgodnie z przepisem art. 27 ust. 2 pkt 2 u.o.d.o. przetwarzanie danych osobowych dotyczących stanu zdrowia jest dopuszczalne, jeśli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. W komentowanych przypadkach przyjąć należy, iż przepisem uprawniającym do przekazywania informacji o podejrzeniu lub rozpoznaniu choroby zakaźnej, i to nawet bez zgody pacjenta, jest art. 27 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi – dalej u.z.z.z., zgodnie z którym lekarz lub felczer, który podejrzewa lub rozpoznaje zakażenie, chorobę zakaźną lub zgon z powodu zakażenia lub choroby zakaźnej, określone na podstawie ust. 9 pkt 1, jest obowiązany do zgłoszenia tego faktu właściwemu państwowemu inspektorowi sanitarnemu określonemu na podstawie ust. 9 pkt 2. Zgłoszenia dokonuje się niezwłocznie, nie później jednak niż w ciągu 24 godzin od chwili powzięcia podejrzenia lub rozpoznania zakażenia, choroby zakaźnej lub zgonu z powodu zakażenia lub choroby zakaźnej.

Co istotne, samo zgłoszenie zawiera następujące dane osoby, u której podejrzano lub rozpoznano zakażenie, chorobę zakaźną lub stwierdzono zgon z tego powodu: imię i nazwisko, datę urodzenia, numer PESEL, a w przypadku gdy osobie nie nadano tego numeru – serię i numer paszportu albo numer identyfikacyjny innego dokumentu, na podstawie którego jest możliwe ustalenie danych osobowych, obywatelstwo, płeć, adres miejsca zamieszkania oraz rozpoznanie kliniczne zakażenia lub choroby zakaźnej, charakterystykę podstawowych objawów klinicznych, okoliczności wystąpienia zakażenia, zachorowania lub zgonu z powodu zakażenia lub choroby zakaźnej, ze szczególnym uwzględnieniem czynników ryzyka, charakterystyki biologicznego czynnika zakaźnego, oraz inne informacje niezbędne do sprawowania nadzoru epidemiologicznego, zgodnie z zasadami współczesnej wiedzy medycznej.

W tym miejscu wskazać dodatkowo należy na szczególną sytuację dotyczącą nosicieli wirusa HIV. Jak stanowi art. 26 ust. 2 u.z.z.z., w przypadku rozpoznania zakażenia, które może przenosić się drogą kontaktów seksualnych, lekarz ma obowiązek poinformować zakażonego o konieczności zgłoszenia się do lekarza partnera lub partnerów seksualnych zakażonego. Obowiązek ten może jednak zostać rozszerzony o inne niż sam pacjent osoby. Otóż Sąd Apelacyjny w Poznaniu w wyroku z dnia 9 maja 2002 r., I ACa 221/02, wskazał, iż w zakresie obowiązków szpitala leży szczegółowe powiadomienie nie tylko pacjenta, ale i członków jego najbliższej rodziny, którzy w pierwszej kolejności narażeni są na ryzyko zainfekowania, o konsekwencjach nosicielstwa wirusa choroby zakaźnej stwierdzonej u pacjenta. Tym samym obowiązek zachowania tajemnicy lekarskiej związanej z przebiegiem i wynikami leczenia ustępuje tutaj ryzyku zagrożenia zdrowia i życia osób trzecich.

V.Czy poradnia lekarska może wywiesić listę pacjentów zapisanych na wizytę lekarską w danym dniu informującą o kolejności udzielania świadczeń?

Mimo że wywieszenie przez podmiot wykonujący działalność leczniczą listy pacjentów zapisanych na wizytę lekarską nie przesądza jeszcze, co prawda, o zdiagnozowaniu określonej jednostki chorobowej, to jednak może sugerować jej istnienie i pośrednio świadczyć o stanie zdrowia pacjenta. Przedmiotowe zaś informacje, jako dane wrażliwe, objęte są ustawowym zakazem przetwarzania. Zgodnie bowiem z przepisem art. 36 u.o.d.o. administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zakaz wywieszania list pacjentów wywodzić można zresztą także i z przepisu art. 20 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta – dalej u.p.p., zgodnie z którym pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych oraz z art. 40 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty – dalej u.z.l.l.d., po myśli którego lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem.

VI.Czy podmiot wykonujący działalność leczniczą zobowiązany jest do wydania dokumentacji medycznej małżonkowi pacjenta?

Zgodnie z przepisem art. 26 u.p.p. podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. Po śmierci pacjenta, prawo wglądu w dokumentację medyczną ma wyłącznie osoba upoważniona przez pacjenta za życia. Jako że małżonek pozbawiony jest z oczywistych powodów statusu przedstawiciela ustawowego w stosunku do drugiego małżonka, to może on uzyskać dostęp do dokumentacji medycznej jedynie wtedy, gdy został do tego wyraźnie upoważniony.

Jednocześnie pamiętać należy, iż podmiot udzielający świadczeń zdrowotnych, odmawiający wydania dokumentacji medycznej małżonkowi działającemu bez stosownego upoważnienia, winien ten fakt uzasadnić w formie pisemnej. Jak stanowi bowiem przepis § 79 rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania, w przypadku gdy udostępnienie dokumentacji nie jest możliwe, odmowa wymaga zachowania formy pisemnej oraz podania przyczyny. Na marginesie wskazania wymaga, iż za dopuszczalne w oznaczonych sytuacjach uznać należy poinformowanie o stanie zdrowia pacjenta jego małżonka, i to nawet wtedy, gdy nie został on do tego upoważniony. Powyższe wynika z brzmienia art. 31 ust. 6 u.z.l.l.d., zgodnie z którym jeżeli pacjent jest nieprzytomny bądź niezdolny do zrozumienia znaczenia informacji, lekarz udziela informacji osobie bliskiej w rozumieniu art. 3 ust. 1 pkt 2 u.p.p., tj. małżonkowi, krewnemu lub powinowatemu do drugiego stopnia w linii prostej, przedstawicielowi ustawowemu oraz osobie pozostającej we wspólnym pożyciu lub osobie wskazanej przez pacjenta.

VII.Czy podmiot udzielający świadczeń zdrowotnych i dysponujący bazą danych pacjentów gromadzonych dla rozliczeń z Narodowym Funduszem Zdrowia zobowiązany jest do zgłoszenia zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych?

Zgodnie z regułą ogólną wyrażoną przepisem art. 40 u.o.d.o. administrator danych zobowiązany jest zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązek ten nie dotyczy jednak przypadków, o których mowa w art. 43 u.o.d.o., tj. w szczególności administratorów danych dotyczących osób korzystających z ich usług medycznych. Uznać zatem należy, iż podmiot, wykonujący działalność leczniczą i dysponujący zbiorem danych osobowych o stanie zdrowia pacjentów, nie zgłasza takiego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

VIII.Czy pacjent zaprzestający korzystania z usług podmiotu udzielającego świadczeń zdrowotnych może żądać bezzwrotnego wydania dokumentacji medycznej?

Zgodnie z art. 24 u.p.p. podmiot udzielający świadczeń zdrowotnych jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta oraz zapewnić ochronę danych zawartych w tej dokumentacji. Jak stanowi zaś art. 27 ust. 2 pkt 2 u.o.d.o., przetwarzanie danych osobowych o stanie zdrowia pacjenta jest dopuszczalne, i to pomimo braku jego zgody, jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. Przepisem takim jest bez wątpienia przywołany art. 24 u.p.p. Przedmiotowe stanowisko znajduje zresztą dodatkowe uzasadnienie w przepisie art. 26 ust. 3 u.p.p., zgodnie z którym podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną nie tylko pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej, ale również i podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych, czy też organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom krajowym i wojewódzkim, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności kontroli i nadzoru. Z brzmienia art. 24 u.p.p. wynika, i to w sposób niebudzący wątpliwości, że obowiązek prowadzenia i przechowywania dokumentacji medycznej znajduje zastosowanie także do byłych pacjentów, którzy leczą się już w innym podmiocie. W przeciwnym bowiem przypadku niemożliwa byłaby realizacja postanowień zawartych w art. 26 ust. 3 u.p.p. Podobnie zresztą orzekł Naczelny Sąd Administracyjny w wyroku z dnia 29 czerwca 2007 r., I OSK 1098/06, w którego to tezie wskazano, iż „dokumentacja medyczna prowadzona przez zakład opieki zdrowotnej winna w nim być nadal przechowywana po zakończeniu procesu leczenia, czy też nawet po zakończeniu korzystania przez danego pacjenta z usług zakładu”. Konkludując, podmiot udzielający świadczeń zdrowotnych nie może bezzwrotnie wydać pacjentowi zaprzestającemu leczenia dokumentacji medycznej, a pacjent może otrzymać oryginały jedynie za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu. Stanowisko takie potwierdza zresztą brzmienie przepisu § 76 rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania - dalej r.d.m., zgodnie z którym w przypadku wykreślenia podmiotu z rejestru podmiotów wykonujących działalność leczniczą miejsce przechowywania dokumentacji wskazuje ten podmiot, a w przypadku podmiotu leczniczego niebędącego przedsiębiorcą - podmiot tworzący. Jeżeli jednak zadania podmiotu wykreślonego z rejestru podmiotów wykonujących działalność leczniczą przejmuje inny podmiot, podmiot ten przejmuje również dokumentację. W tym miejscu wskazania wymaga, iż swoisty wyjątek od tak opisanej reguły wprowadza wyłącznie przepis § 77 r.d.m., po myśli którego w przypadku zaprzestania wykonywania zawodu lekarza w ramach praktyki lekarskiej albo zawodu pielęgniarki albo położnej w ramach praktyki pielęgniarki, położnej, odpowiednio lekarz, pielęgniarka albo położna wydają dokumentację na wniosek uprawnionych podmiotów za pokwitowaniem.