Jak przetwarzać dane o stanie zdrowia

Przetwarzanie danych o stanie zdrowia nastręcza trudności oraz coraz więcej pytań, jak to robić zgodnie z przepisami.

Nie ułatwiają tego fora internetowe, które niekiedy wprowadzają zamieszanie i dezinformację. Chociaż zachęcam do korzystania z forów specjalistycznych i wypowiedzi osób merytorycznie znających się na zagadnieniu, jako miejsce wymiany doświadczenia i wiedzy.

Sposób przetwarzania danych

Dane o zdrowiu mogą, i najczęściej są, przetwarzane w formie papierowej, czyli kartoteki pacjenta, oraz elektronicznej.

Podmioty medyczne są obowiązane do prowadzenia elektronicznej dokumentacji medycznej. Taka elektroniczna dokumentacja medyczna może być prowadzona również poza Systemem Informacji Medycznej (SIM), czyli niezależnie od uruchomienia platformy P1, służącej m.in. wymianie elektronicznej dokumentacji medycznej.

Nie wdając w szczegóły techniczne. W SIM są gromadzone w modułach dane:

• podstawowe zawierające: dane osobowe (imię i nazwisko płeć, obywatelstwo, stan cywilny, wykształcenie, PESEL, datę urodzenia, numer dokumentu tożsamości, adres zamieszkania, numery ubezpieczenia, stopień niepełnosprawności czy dane dotyczące zaświadczenia lekarskiego o czasowej niezdolności do pracy z powodu choroby); dane umieszczone przez usługobiorcę
• statystyczno-rozliczeniowe zawierające jednostkowe dane medyczne, które będą podlegać pseudonimizację za pomocą kodów określonych w rozporządzeniu w sprawie klasyfikacji kodów
• zleceń zawierające dane o wydanych i zrealizowanych skierowaniach, receptach, zleceniach w formie elektronicznej*.

Można sobie wyobrazić, jaka ilość danych przetwarzana jest w małej przychodni, a co dopiero w szpitalu.

Podstawa do przetwarzania danych o stanie zdrowia

Rozporządzenie w art. 9ust. 2 pkt h) przewiduje podstawę do przetwarzania danych wrażliwych. Zgodnie z nim przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3.

Wówczas nie ma potrzeby pozyskiwania zgody pacjenta.

Jednak, jeżeli chcesz przetwarzać dane w innym celu niż wymieniony zgoda taka jest niezbędna. Warto tutaj podkreślić, że zgoda na przetwarzanie danych osobowych nie może być mylona ze zgodą na udzielenie świadczenia zdrowotnego . Są to da odrębne oświadczenia.

Pamięta! Przetwarzanie danych w ramach stosunku pracy (np. badania okresowe) nie mogą powodować obniżenia standardów tego przetwarzania. Pracodawca musi chronić dane o stanie zdrowia pracownika  według tych samych reguł, co pozostali administratorzy danych.

Dostęp do informacji medycznej

Jak zostało to uregulowane w pkt 63 Preambuły do Rozporządzenia o ochronie danych, Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem.

Obejmuje to prawo dostępu osób, których dane dotyczą, do danych dotyczących ich zdrowia, na przykład do danych w dokumentacji medycznej zawierającej takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących, stosowane terapie czy przeprowadzone zabiegi.

Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania.

W miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.

Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.

A gdy wystąpi pomyłka

Nie łudźmy się błędy, pomyłki w przetwarzaniu danych zawsze były i będą się pojawiać. Czynnik ludzki powoduje, że dochodzi to pomyłkowego wydania kartoteki nie temu pacjentowi co trzeba, wywołania pacjenta w sposób identyfikujący go (Pan Kowalski do gabinetu proszony!), czy w inny sposób doprowadzający do naruszenia ochrony jego danych.

Zatem warto się zastanowić nad procedurą, co w sytuacji pojawienia się nieprawidłowości, gdyż jak wspomniałam wcześniej, czy później do niej dojdzie.

Na pewno rozwiązaniem przyjętym na gruncie Rozporządzenia jest prowadzenie ewidencji naruszeń i zgłaszania nieprawidłowości do Urzędu Ochrony Danych ( na zasadzie „mea culpa” i obiecuję poprawę).  Jeśli w przychodni, szpitalu, firmie jest wyznaczony inspektor ochrony danych to sugeruję w pierwszej kolejności skontaktować się z nim i opisać zdarzenie. Następnie odnotować w ewidencji, że doszło do naruszenia i dokonać analizy w jakim stopniu ta konkretna nieprawidłowość naruszyła prawa i wolności osób fizycznych.

Dopiero wówczas podjąć decyzję, czy sytuacja kwalifikuje się do zgłoszenia do UODO.