W jaki sposób należałoby zweryfikować osobę, która przesyła wniosek o udostępnienie dokumentacji medycznej pocztą lub składa go w formie elektronicznej?

Skąd wiadomo, że osoba jest upoważniona do złożenia wniosku?

Przy osobistym złożeniu wniosku jest możliwość sprawdzenia danych osobowych.

W ocenie autorki sam wniosek nie ma aż tak wielkiego znaczenia, jak procedura udostępnienia dokumentacji. Prawodawca milczy na temat formy wniosku o wydanie dokumentacji medycznej. Sporo uwagi poświęca jednak czynności udostępnienia i odpowiedzialności za bezpieczeństwo danych.

Ustawa z 6 listopaa 20008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta - dalej u.p.p. - milczy na temat formy wniosku o udostępnienie dokumentacji medycznej. Uwaga ustawy - o ile można ustawie przypisać dysponowanie uwagą - jest skupiona na tym, komu dokumentacja medyczna jest udostępniona. Jest to więc wyraźny sygnał dla administratora (podmiotu wykonującego działalność leczniczą) do weryfikowania adresata udostępnienia dokumentacji medycznej. Akcentu wymaga przepis art. 27 ust. 4 u.p.p., zgodnie z którym podmiot udzielający świadczeń zdrowotnych prowadzi wykaz zawierający następujące informacje dotyczące udostępnianej dokumentacji medycznej:

1) imię (imiona) i nazwisko pacjenta, którego dotyczy dokumentacja medyczna;

2) sposób udostępnienia dokumentacji medycznej;

3) zakres udostępnionej dokumentacji medycznej;

4) imię (imiona) i nazwisko osoby innej niż pacjent, której została udostępniona dokumentacja medyczna, a w przypadkach, o których mowa w art. 26 ust. 3 i 4 u.p.p., także nazwę uprawnionego organu lub podmiotu;

5) imię (imiona) i nazwisko oraz podpis osoby, która udostępniła dokumentację medyczną;

6) datę udostępnienia dokumentacji medycznej.

W pkt 4) ustawodawca nakazuje wypisanie danych osoby, której dokumentację udostępniono. Jeżeli zatem wniosek złożył przysłowiowy Jan Kowalski to o ile wskazał umocowanie np. w postaci upoważnienia od pacjenta do niego adresuje się dokumentację medyczną. Można to zrobić na kilka, wskazanych w art. 27 ust. 1 u.p.p., sposobów:

1) do wglądu, w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych, z wyłączeniem medycznych czynności ratunkowych, albo w siedzibie podmiotu udzielającego świadczeń zdrowotnych, z zapewnieniem pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć;

2) przez sporządzenie jej wyciągu, odpisu, kopii lub wydruku;

3) przez wydanie oryginału za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, na żądanie organów władzy publicznej albo sądów powszechnych, a także w przypadku gdy zwłoka w wydaniu dokumentacji mogłaby spowodować zagrożenie życia lub zdrowia pacjenta;

4) za pośrednictwem środków komunikacji elektronicznej;

5) na informatycznym nośniku danych.

Zdaje się, że tylko forma opisana pkt 4) może rodzić pewne wątpliwości. Warto jednak pamiętać, że dokumentacji nie wolno "po prostu" wysłać mailem. Bezpiecznym sposobem wysyłania danych wrażliwych mailem jest wysłanie zabezpieczonego hasłem pliku lub pakietu zawierającego dokumentację. Hasło należy wysłać innym kanałem podanym przez wnioskodawcę - zasadą jest przesyłanie kodu na wskazany numer telefonu komórkowego. Ważąc, że obecnie wszystkie numery telefoniczne są zarejestrowane na konkretne osoby w zasadzie ryzyko, że ktoś wskazuje nieprawdę jest naprawdę minimalne. W pozostałych formach udostępnienia należy prosić o pokwitowanie - czy to przy odbiorze dokumentacji oryginalnej czy też przy odbiorze przesyłki poleconej zawsze za zwrotnym potwierdzeniem odbioru.

 



Autorka rozważa, czy faktycznie należy udostępnić dokumentację w oparciu o telefoniczny wniosek i skłania się ku stanowisku negatywnemu. Otóż, zgodnie z art. 36 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych - dalej u.o.d.o. - administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Innymi słowy to sam podmiot wykonujący działalność leczniczą decyduje o tym, jak zabezpiecza swoje zbiory. I w ocenie autorki telefoniczny wniosek absolutnie nie spełnia postulatu tworzenia bezpieczeństwa danych.

Jeżeli telefoniczny wniosek dopuścimy to wyłącznie pod warunkiem osobistego odebrania dokumentacji. Wówczas można bowiem pobrać od wnioskodawcy jego osobiste pokwitowanie wraz ze wskazaniem danych osobowych. Zresztą, fakt, że to podmiot odpowiada za bezpieczeństwo danych potwierdza także postanowienie § 74 rozporządzenia ministra zdrowia z 9 listopada 2015 roku w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania, zgodnie z którym podmiot zapewnia odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiające jej wykorzystanie bez zbędnej zwłoki.

Podsumowując odpowiedź autorka rekomenduje pilne opracowanie procedury wnioskowania i odbioru (doręczania) dokumentacji medycznej. Wnioski powinny być pisemne. Mailowe i telefoniczne pod warunkiem osobistego odebrania udostępniania dokumentacji lub - wyjątkowo - pocztą za zwrotnym poświadczeniem odbioru. Transmisja elektroniczna wyłącznie po wskazaniu adresu mailowego i telefonu komórkowego oraz po systemowym zweryfikowaniu "zamówienia" (w tym zakresie autorka zdecydowanie rekomenduje konsultację ze specjalistą z zakresu narzędzi informatycznych).