Powierzenie przetwarzania danych medycznych – outsourcing IT

Ustawą z dnia 9 października 2015 roku (Dz.U. z 2015 r. poz. 1991, z późn. zm.) o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw dokonano gruntowej przebudowy art. 24 ustawy o prawach pacjenta. Do najważniejszych zmian należy zaliczyć rozszerzenie katalogu podmiotów, które mogą zostać upoważnione do przetwarzania danych zawartych w dokumentacji medycznej. Jak wskazano w poprzedniej części, katalog ten obecnie obejmuje nie tylko osoby wykonujące zawód medyczne, ale także kadrę pomocniczą. Uprzednio zaś uprawnionymi do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej byli tylko lekarze, pielęgniarki i położne.

Druga ze zmian odnosi się do możliwości zawarcia przez administratora umowy o powierzenie przetwarzania danych osobowych. Na gruncie dotychczasowych regulacji dopuszczalność zawarcia takiej umowy budziła daleko idące kontrowersje. W wystąpieniu do Ministra Zdrowia z dnia 23 sierpnia 2011 roku sprawie podjęcia prac legislacyjnych mających na celu wprowadzenie podstaw prawnych dla zlecania informatycznej obsługi procesu przetwarzania danych osobowych przez administratorów danych przetwarzających dane osobowe pacjentów w związku z udzielaniem świadczeń zdrowotnych innym wyspecjalizowanym w tym zakresie podmiotom (tzw. outsourcing)[1], GIODO wskazał, iż przekazywanie przez podmioty sektora ochrony zdrowia danych osobowych pacjentów wyspecjalizowanym podmiotom w celu obsługi procesu przetwarzania danych w systemach informatycznych budzi zastrzeżenia przede wszystkim ze względu na istnienie tajemnicy zawodowej określonej w art. 13 i 14 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Przywołane przez GIODO przepisy zobowiązują osoby wykonujące zawód medyczny do zachowania w tajemnicy informacji związanych z pacjentem, uzyskanych w związku z wykonywaniem zawodu medycznego oraz ustanawiają wyjątki od tej zasady. GIODO wskazał, iż inne przepisy sektorowe, m.in. prawa bankowego i telekomunikacyjnego w przeciwieństwie do aktów prawnych regulujących działalność medyczną uwzględniają zagrożenia i obowiązek zachowania tajemnic w kontekście umów o powierzenie przetwarzania danych osobowych. W braku zapewnienia analogicznej ochrony, w ocenie GIODO, koniecznym było wprowadzenie odpowiednich regulacji uwzględniających przedstawione przez niego zastrzeżenia.

Uwagi te zostały uwzględnione w wyniku dodania do art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta ustępów od 4 do 7. Dodane przepisy stanowią, iż warunkiem zawarcia umowy o powierzenie przetwarzania danych osobowych jest zapewnienie ochrony danych osobowych oraz prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umową przez podmiot przyjmujący te dane (ust. 4). Wydaje się, iż ochrona, o której wspomina przepis winna być rozumiana jako spełnienie wymogów, o których mowa w art. 31 ust. 3 ustawy o ochronie danych osobowych, a zatem odpowiadać będzie podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36-39 oraz spełnienie wymogów określonych Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemu informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024). W szczególności chodzi tutaj o sporządzenie stosownej polityki bezpieczeństwa[2] oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Uprawnienie kontrolne, o którym mowa w przywołanym przepisie dodatkowo wzmacnia pozycję administratora danych. Uprawnienie do kontroli procesora (podmiotu przetwarzającego dane na zlecenie administratora danych) nie zostało explicite wyrażone w ustawie o ochronie danych osobowych. W ustawie tej, w art. 31 ust. 5 wskazano jedynie, iż do kontroli do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1 [procesora – dop.], z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19. Przepisy te odnoszą się do kontroli prowadzonej przez GIODO. Nie ulega zatem wątpliwości, iż poziom ochrony przewidziany dla przetwarzania danych zawartych w dokumentacji medycznej. Art. 24 ust. 5 ustawy o prawach pacjenta stanowi natomiast, iż realizacja umowy, o której mowa w ust. 4, nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej. Wymóg ten należy uznać za słuszny. Okoliczność powierzenia danych do przetwarzania nie może negatywnie wpływać na świadczenie przez podmiot prowadzący działalność leczniczą.

Wskazać wreszcie należy, iż zgodnie z art. 24 ust. 6 omawianej ustawy, procesor (tak jak podmioty, o których mowa w ust. 2 artykułu) obowiązany będzie do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy, również po śmierci pacjenta. Zgodnie natomiast z ust. 7, w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej administratorowi danych.

Nie ulega też wątpliwości, iż zgodnie z art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych umowa o powierzenie przetwarzania danych osobowych powinna być zawarta na piśmie i określać cel i zakres przetwarzania danych. Należy również pamiętać o ust. 2a omawianego artykułu, zgodnie z którym nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1, czyli organami państwowymi, organami samorządu terytorialnego oraz do państwowymi i komunalnych jednostkami organizacyjnymi.

Podsumowanie

Nowelizacja ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadziła postulowane przez GIODO regulacje zezwalające na zawarcie przez administratora danych prowadzącego dokumentację medyczną umowy o powierzenie przetwarzania danych zawartych w tej dokumentacji. Dopuszczalność zastosowania tego rozwiązania obarczona jest jednak szeregiem wymogów, takich jak zapewnienie ochrony danych, umożliwienie administratorowi kontroli i dostępu do dokumentacji.

Wprowadzone zmiany stanowią jeden z kroków koniecznych do wprowadzenia pełnej informatyzacji dokumentacji medycznej. Zgodnie z przepisem art. 56 ustawy o systemie informacji w ochronie zdrowia do dnia 31 grudnia 2017 r. elektroniczna dokumentacja medyczna może być wystawiana w postaci papierowej lub elektronicznej. Po tej dacie podmioty udzielające świadczeń medycznych zobowiązane będą do jej prowadzenia wyłącznie w formie elektronicznej. Narzędziem realizacji tego wymogu w wielu przypadkach będzie zawarcie umowy o powierzeniu przetwarzania danych osobowych.

Pamiętać należy, iż wejście w życie zmian odnoszące się do formy prowadzenia dokumentacji medycznej przypadnie na okres niewiele poprzedzający rozpoczęcie stosowania przepisów Rozporządzenia ogólnego o ochronie danych. Przywołany akt prawny wprowadzi do porządku prawnego nowe uprawnienia osób, których dane osobowe podlegają przetwarzaniu. W zależności też od działań podjętych przez ustawodawcę wyłączy stosowanie części przepisów krajowych odnoszących się do ochrony danych osobowych. Na koniec warto wreszcie zauważyć, iż rozporządzenie przewiduje daleko idące sankcje związane z nieprzestrzeganiem jego przepisów, które sięgnąć mogą w przypadku pojedynczego naruszenia nawet 20 000 000 EUR, bądź w przypadku przedsiębiorstwa 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. Reasumując, zapewnienie prawidłowego przetwarzania danych medycznych przez ich administratorów stanowić winno priorytet, a także będzie musiało być wykonywane z należytą ostrożnością i profesjonalizmem.

[1] http://www.giodo.gov.pl/1520122/id_art/4452/j/pl/

[2] Pewne wątpliwości podnoszone są w tym zakresie w zakresie możliwości powierzenia przetwarzania danych w chmurze, z uwagi na treść §4 rozporządzenia, który nakłada na administratora obowiązek wskazania miejsca gdzie dane są przetwarzane, co w przypadku rozwiązań opartych na cloud computingu może być niemożliwe (por. https://www.dzp.pl/files/Publikacje/Prawne_aspekty_us%C5%82ug_chmurowych_2015.pdf)