Ochrona danych medycznych (cz. I)

Informatyzacja sektora usług medycznych sprawia, że konieczne jest przyjrzenie się zasadom ochrony ochroną danych medycznych. Wątpliwości może budzić zwłaszcza ich relacja do danych osobowych, zasady ich ochrony na gruncie ustawy o ochronie danych osobowych, a także dopuszczalność ich przetwarzania oraz powierzenia do przetwarzania. Niniejszy tekst omawia zasady postępowania z danymi medycznymi, uwzględniając zbliżające się wejście w życie ogólnego rozporządzenia o ochronie danych (GDPR).

Usługi z zakresu e-medycyny lub – szerzej – informatyzacja sektora usług medycznych coraz częściej kieruje uwagę przedsiębiorców na kwestie związane z ochroną danych medycznych, w szczególności ich stosunek do danych osobowych, ich potencjalnej ochrony na gruncie ustawy o ochronie danych osobowych, dopuszczalności przetwarzania oraz powierzenia do przetwarzania. Niniejszy tekst stara się zebrać i przybliżyć te zasady, wskazując przy tym na zasadnicze problemy, z którymi musi zmierzyć się podmiot operujący danymi medycznymi. Pokrótce przedstawione zostały także skutki zmian, jakie zajdą w systemie ochrony danych medycznych w 2018 roku, w związku z ostateczna implementacja do polskiego porządku prawnego przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych -GDPR).

Definicja danych medycznych

Rozważania na temat danych medycznych wypada zacząć od określenia, czym te dane są. Niestety, polski ustawodawca nie zdecydował się wprowadzenie legalnej definicji omawianego pojęcia. Nie zmienia to jednak faktu, że pojęciem danych medycznych już teraz posługują się niektóre akty prawne. Przykładowo przepis art. 27 ust. 2 pkt 27) ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. Nr 130, poz. 1112, z późn. zm.) wymienia dane medyczne definiując je na potrzeby ustawy jako jedną z kategorii danych osobowych. Z perspektywy tematu artykułu, dużo istotniejsze wydaje się, że pojęciem jednostkowych danych medycznych posługuje się ustawa z dnia 28 kwietnia 2011 roku o systemie informacji w ochronie zdrowia (Dz.U. Nr 113, poz. 657, z późn. zm.). Zgodnie z treścią art. 2 pkt 7 tej ustawy jednostkowe dane medyczne są to dane osobowe oraz inne dane osób fizycznych dotyczące uprawnień do udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej, stanu zdrowia, a także inne dane przetwarzane w związku z planowanymi, udzielanymi i udzielonymi świadczeniami opieki zdrowotnej oraz profilaktyką zdrowotną i realizacją programów zdrowotnych. Z treści ww. przepisu wynika więc, iż jednostkowe dane medyczne obejmują zarówno dane osobowe, jak i inne informacje, w tym, co warto podkreślić, takie jak stan zdrowia osoby fizycznej (czy w tym przypadku rzeczywiście nie są to dane osobowe, można mieć jednak uzasadnione wątpliwości). Prima facie analiza zawartej w ustawie o systemie informacji w ochronie zdrowia definicja jednostkowych danych medycznych prowadzi do wniosku, iż pojęcie danych medycznych jest szersze od pojęcia danych osobowych. Ustawa nie jest jednak konsekwentna, jako że w art. 4 ustawy dane osobowe (ust. 3 pkt 1) przeciwstawia jednostkowym danym medycznym (ust. 3 pkt 2). Stosunek danych medycznych do danych osobowych jest zatem niejasny i może się zacierać[1].

Elementem wspólnym dla obydwóch przywołanych wyżej regulacji jest pojęcie danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. (Dz. U. Nr 133, poz. 833, z późn. zm.) o ochronie danych osobowych definiuje je jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawa wyróżnia przy tym dane osobowe „zwykłe” oraz „sensytywne” (wrażliwe). Do tej ostatniej grupy zalicza m.in. dane ujawniające stan zdrowia, płeć, rasę czy kod genetyczny osoby fizycznej. W tym miejscu pojawia się jednak kolejna wątpliwość. Niejasny jest bowiem stosunek pojęcia danych ujawniających stan zdrowia do pojęcia (jednostkowych) danych medycznych. Zgodnie z definicją zawartą w ustawie o systemie informacji w ochronie zdrowia stan zdrowia osoby fizycznych (dane ujawniające stan zdrowia) stanowi jedynie pewien rodzaj jednostkowych danych medycznych, nie wyczerpując jednak pełnego zakresu tego pojęcia. Jak również wskazywałem powyżej definicja ustawowa jednostkowych danych medycznych wyraźnie stanowi, że mogą być nimi także informacje nie stanowiące danych osobowych, a wiec także szczególnej podkategorii danych osobowych, tj. danych ujawniających stan zdrowia.

Punktem odniesienia dla rozstrzygnięcia wskazanych wątpliwości w pewnym stopniu mogą być jednak regulacje unijne. Rekomendacja nr (97)5 Komitetu Ministrów Rady Europy[2] posługuje się zamiennie pojęciami danych medycznych (w tytule) oraz danych dotyczących zdrowia (w treści). To ostatnie wyrażenie definiuje w załączniku jako odnoszące się do wszelkich danych osobowych dotyczących zdrowia danej osobowy. Odnosi je także do danych mających oczywisty i ścisły związek ze zdrowiem oraz z danymi genetycznymi. Co istotne, angielski tekst rekomendacji[3] nie dokonuje podziału wskazanego powyżej, posługując się jednolicie sformułowaniem medical data. Wypada zatem uznać, iż rekomendacja zrównuje dane medyczne z danymi dotyczącymi zdrowia. W podobnym tonie wypowiada się obowiązująca Dyrektywa 95/46/WE Parlamentu i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, która w art. 8 ust. 1 do szczególnych kategorii danych osobowych (wrażliwych) zalicza dane dotyczące zdrowia. Rozporządzenie ogólne o ochronie danych idzie o krok dalej, wprowadzając w art. 4 pkt 15 definicję danych dotyczących zdrowia. Zgodnie z jej treścią, są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Dane te Rozporządzenie zalicza w art. 9 ust. 1 do szczególnych kategorii danych osobowych.

Przytoczone powyżej regulacje rangi europejskiej prowadzą do konstatacji, iż dane medyczne stanowią rodzaj danych osobowych, które dodatkowo można zaliczyć do kategorii danych wrażliwych. Trudno jednak o kategoryczne stwierdzenie w tym zakresie, z uwagi na niejednolite sformułowania obowiązujących przepisów polskich ustaw. Warto jednak zauważyć, iż omówione niejasności zdezaktualizują się z dniem 25 maja 2018 r., kiedy to zaczną być stosowane przywołane przepisy Rozporządzenia ogólne o ochronie danych, wyłączając w tym zakresie przepisy prawa krajowego pozostające w sprzeczności z ww. aktem prawnym. Na chwilę obecną jednak brak jednolitej siatki terminologicznej powoduje, iż podmiot, który w swej działalności uzyskuje dostęp do danych, które można określić jako medyczne powinien mieć na względzie, iż ich przetwarzanie – w przypadku zrównania z danymi sensytywnymi – podlegać będzie specjalnemu rygorowi, z koniecznością uzyskania pisemnej zgody osoby, której dane te dotyczą na czele (szerzej na ten temat w części dotyczącej przetwarzania danych).

Dokumentacja medyczna

Ściśle powiązanym z danymi medycznymi zagadnieniem jest kwestia prowadzenia dokumentacji medycznej. Pojęcie to obecnie nie posiada definicji ustawowej. Jedynie w ustawie z dnia z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2015 r. poz. 618, z późn. zm.) zawarto w art. 2 ust. 1 pkt 1 quasi-definicję polegającą na odwołaniu się do ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 nr 52, poz. 417, z późn. zm.). Ta z kolei ustawa jedynie pośrednio, poprzez poszczególne przepisy zawarte w rozdziale 7, w szczególności art. 25[4] wymienia elementy konstytuujące dokumentację medyczną.

Obowiązek prowadzenia dokumentacji medycznej spoczywa, zgodnie z art. 24 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta na podmiotach udzielających świadczeń zdrowotnych. Wskazuje się, iż chodzi w tym wypadku o podmioty lecznicze, praktyki lekarzy, lekarzy dentystów (art. 41 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz.U. 1997 Nr 28, poz. 152, z późn. zm.), pielęgniarek i położonych (art. 18 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz.U. Nr 174, poz. 1039, z późn. zm.)[5]. Dokumentację medyczną można podzielić na kilka rodzajów. W perspektywie dalszych rozważań najważniejszy jest podział na dokumentację pisemną oraz elektroniczną. W kwestii charakteru dokumentacji medycznej, przytoczone wyliczenie ukazuje, iż informacje zawarte w dokumentacji medycznej mają charakter danych osobowych. Dane te można podzielić, zgodnie z tym co zostało przedstawione powyżej, na zwykłe oraz wrażliwe. Wśród danych wrażliwych, bez wątpienia znajdują się dane medyczne (opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych). Jak wskazano powyżej, ich przetwarzania podlega szczególnemu reżimowi. Podmiot udzielający świadczeń zdrowotnych, prowadzący dokumentację medyczną bez jego zachowania naraża się na odpowiedzialność administracyjną (GIODO), a nawet na odpowiedzialność karną określoną w rozdziale 8 ustawy o ochronie danych osobowych.

Przetwarzanie danych medycznych

Mając na względzie przedstawione powyżej kwestie wstępne dotyczące charakteru danych medycznych oraz prowadzenia dokumentacji medycznej zawierającej te dane, wypada przejść do oceny legalności ich przetwarzania. Przetwarzanie danych osobowych definiowane jest w ustawie jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2).

Przepisy ustawy o ochronie danych osobowych co do zasady zabraniają przetwarzania danych osobowych wrażliwych. Dopuszczalność przetwarzania danych wrażliwych, a zatem i medycznych, może jednak wynikać ze spełnienia jednej z przesłanek wskazanych w art. 27 ust. 2 ustawy o ochronie danych osobowych[6]. Przetwarzanie danych medycznych jest zatem dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (pkt 2), czy też przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (pkt 7).

O ile pierwsza z ww. przesłanek nie budzi zbyt wiele wątpliwości, tak warto odnieść się do dwóch ostatnich przesłanek. Przetwarzanie danych medycznych może być, po pierwsze, oparte o przepis szczególny, o ile stwarza to pełne gwarancje ochrony danych. Przepisy takie znajdują się m.in. w przywoływanym już rozdziale 7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz w ustawie o systemie informacji w ochronie zdrowia. Na szczególną uwagę zasługuje w tym kontekście art. 24 pierwszej z ww. ustaw, który w ust. 1 wskazuje podmioty obowiązane prowadzić, przechowywać i udostępniać dokumentację medyczną (administratorów danych, tj. podmioty udzielające świadczeń zdrowotnych), zaś w ust. 2 wymienia osoby, które mogą zostać upoważnione do przetwarzania danych przez administratora danych (osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu inne osoby). Ustępy 1 i 3 statuują przy tym obowiązek zapewnienia przez administratora danych ochrony tychże danych oraz zobowiązują osoby upoważnione do przetwarzania danych do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z wykonywaniem zadań. Obowiązek ten trwa również po śmierci pacjenta.

Druga z przesłanek odnosi się natomiast do szeroko pojmowanej działalności medycznej i pomocniczej. Po raz kolejny należy stwierdzić, iż żadne z pojęć wskazanych w art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych (ochrona zdrowia, świadczenie usług medycznych, leczenie pacjentów, zarządzenie udzielaniem usług medycznych) nie posiada definicji legalnej. Tym niemniej, przyjmuje się, iż pierwsze trzy z nich należy utożsamiać z pojęciami działalności leczniczej lub udzielaniem świadczeń zdrowotnych, zgodnie z ich definicjami zawartymi kolejno w o działalności leczniczej oraz ustawie z dnia 27 sierpnia o świadczeniach opieki zdrowotnej finansowych ze środków publicznych (Dz.U. z 2015 r. poz. 581, z późn. zm.)[7]. Działalność lecznicza definiowana jest zatem jako udzielanie świadczeń zdrowotnych oraz promocja zdrowia lub realizacja zadań dydaktycznych i badawczych w powiązaniu z udzielaniem świadczeń zdrowotnych i promocją zdrowia, w tym wdrażaniem nowych technologii medycznych oraz metod leczenia. Świadczenie opieki zdrowotnej definiowane jest zaś jako świadczenie zdrowotne, świadczenie zdrowotne rzeczowe i świadczenie towarzyszące. Poszczególne ze wskazanych pojęć odnoszą się natomiast w szczególności do działań profilaktycznych, leków związanych z procesem leczenie oraz zakwaterowania i wyżywienia w szpitalu.

Od strony podmiotowej, jako osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych wymienia się przede wszystkim lekarzy, ale i pomocniczy personel medyczny (pielęgniarki, laboranci), czy rehabilitanci[8].

Zgodnie z wyrokiem Trybunału Konstytucyjnego z dnia 19 lutego 2002 r., sygn. akt U 3/01 do katalogu usług medycznych objętych art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych należy zaliczyć także zaopatrywanie pacjentów w leki, a zatem do podmiotów, o której mowa powyżej zasadnym jest zaliczyć również aptekarzy. Tu jednak pojawia się wątpliwość, ponieważ pogląd ten spotkał się z krytyką Generalnego Inspektora Ochrony Danych Osobowych. W sygnalizacji do Minister Zdrowia z 13 stycznia 2011 r.[9] w sprawie braku w ustawie o izbach aptekarskich szczegółowych przepisów dotyczących przetwarzania przez farmaceutów danych osobowych pacjenta, wobec którego farmaceuta sprawuje opiekę farmaceutyczną (znak DOLIS-035-80/11) GIODO wskazał, iż ww. przepis nie może stanowić podstawy dla przetwarzania danych osobowych przez aptekarzy z uwagi na brak zapewnienia pełnych gwarancji ochrony danych osobowych. Zdaniem GIODO, nie może stanowić podstawy dla przetwarzania danych osobowych również przepis art. 2a ust. 1 pkt 7 ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich (Dz.U. nr 41, poz. 179), stanowiący o sprawowaniu opieki farmaceutycznej z uwagi na to, iż nie wynika z niego jakie dane osobowe pacjentów mogą być przetwarzane przez farmaceutów, ani czy przetwarzanie może być wykonywane bez zgody pacjenta. Tak jak w przypadku uprzednio powołanej podstawy prawnej, brak jest również, w ocenie GIODO, pełnych gwarancji ochrony danych osobowych. Z uwagi na powyższe, przetwarzanie danych medycznych przez aptekarzy, w zakresie sprawowania opieki farmaceutycznej, budzi wątpliwości.

Szereg wątpliwości nasuwa również przesłanka zarządzania udzielaniem usług medycznych. W doktrynie wskazuje się, iż chodzi w takim wypadku o przetwarzanie danych osobowych przez Narodowy Fundusz Zdrowia, ale także o zaplecze administracyjne udzielania usług medycznych, takie jak rejestracja pacjentów, dokonywana przez osoby nie wykonujące usług medycznych[10].

Ostatnia z przesłanek wskazanych w art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych odnosi się do stworzenia pełnych gwarancji ochrony danych osobowych. Przesłanka ta ma zastosowanie do każdego z przypadków omówionych powyżej, a zatem przetwarzania danych w celu ochrony zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych oraz zarządzania udzielaniem usług medycznych. W doktrynie wskazuje się, iż chodzi w tym wypadku o przestrzeganie tajemnicy lekarskiej, innej tajemnicy nałożonej przez prawo lub umowę na osoby pracujące w szeroko rozumianym sektorze usług medycznych oraz zapewnienie odpowiednich zabezpieczeń technicznych[11].

Podsumowanie

W mojej ocenie, dane medyczne należą do kategorii danych osobowych wrażliwych. Dane te odnaleźć można przede wszystkim w dokumentacji medycznej prowadzonej przez podmioty prowadzące działalność leczniczą. Przetwarzanie danych medycznych oparte musi być na jednej z przesłanek enumeratywnie wyliczonych w art. 27 ust. 2 ustawy o ochronie danych osobowych. Na szczególną uwagę zasługuje w tym wypadku przesłanka przetwarzania danych w oparciu o przepis szczególny innej ustawy oraz przesłanka przetwarzania danych w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych. W obydwóch przypadkach konieczne jest stworzenie pełnych gwarancji ochrony takich danych. Brak ich zapewnienia wiązać się może odpowiedzialnością administracyjną, a nawet karną.

Wskazać przy tym należy, iż z uwagi pogląd o przynależności danych medycznych do kategorii danych osobowych wrażliwych oparty jest o analizę wykraczającą poza nie tylko ustawę o ochronie danych osobowych, ale i regulacje krajowe. Niejednolitość terminologiczna pomiędzy aktami prawnymi, a nawet wewnątrz nich prowadzi do niepotrzebnego zamieszania, które nie winno mieć miejsca w przypadku kwestii nomen omen tak wrażliwej jak dane medyczne. Wątpliwości te zostaną na szczęście w przeważającej większości rozwiązane wraz z wejściem w życie Rozporządzenia ogólnego, które wprowadzi do polskiego porządku prawnego zdefiniowane pojęcie danych dotyczących zdrowia.

W oparciu o powyższe informacje można dokonać analizy dalej idącej kwestii, a to dopuszczalności powierzenia przetwarzania danych medycznych podmiotom zewnętrznym. Zagadnienie to omówione zostanie jednak w części II artykułu.

 

 

[1] Damian Wąsik, Komentarz do art. 2 ustawy o systemie informacji w ochronie zdrowia [w:] D. Wąsik, Ustawa o systemie informacji w ochronie zdrowia. Komentarz, LEX 2015

[2] http://www.giodo.gov.pl/230/id_art/1698/j/pl/

[3] www.giodo.gov.pl/plik/id_p/367/j/pl/

[4] Wskazać można w tym miejscu także na Rozporządzenie Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania z dnia 9 listopada 2015 (Dz.U. z 2015 r. poz. 2069), wydanego na podstawie art. 30 ust. 1 omawianej ustawy, które w sposób szczegółowy określa treść i przedmiot dokumentacji medycznej

[5] Dorota Krakowska, Komentarz do art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta [w:] Karkowska Dorota, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta. Komentarz, wyd. III, LEX 2016

[6] Przy jednoczesnym zachowaniu zasad przetwarzania danych określonych w art. 26 ustawy o ochronie danych osobowych.

[7] Paweł Barta, Komentarz do art. 27 ustawy o ochronie danych osobowych [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz. Wyd. 4, C.H. Beck 2016

[8] Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz, Komentarz do art. 27 ustawy o ochronie danych osobowych [w:] Barta. J., Fajgielski P., Markiewicz R., Ochrona danych osobowych, LEX, 2015

[9] http://www.giodo.gov.pl/1520106/id_art/4095/j/pl/

[10] Paweł Barta, Komentarz do art. 27 ustawy o ochronie danych osobowych [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz. Wyd. 4, C.H. Beck 2016

[11] Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz, Komentarz do art. 27 ustawy o ochronie danych osobowych [w:] Barta. J., Fajgielski P., Markiewicz R., Ochrona danych osobowych, LEX, 2015ZESPÓŁ

NASZE DANE