Udostępnianie danych zawartych w dokumentacji medycznej

Kwestią, którą porusza Kodeks, jest również udostępnianie danych osobowych pacjenta zawartych w dokumentacji medycznej. Kodeks zawiera wzór upoważnienia do dostępu do dokumentacji medycznej (załącznik nr 2).

Załącznik nr 2

Katalog danych jednoznacznie identyfikujących daną osobę wraz ze wskazaniem przykładowego wzoru upoważnienia z art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw pacjenta, które spełnia wymogi prawa według projektu Kodeksu postępowania dla sektora ochrony zdrowia wydanego zgodnie z art. 40 RODO

Przykładowy zakres danych, co do których przyjmuje się, że jednoznacznie identyfikują pacjenta
Zakres danych wynikający z art. 25 ust. 1 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (z wyłączeniem danych o płci):

  1. nazwisko i imię (imiona),
  2. data urodzenia (fakultatywnie, choć rekomendowane zbieranie w przypadku osób nieposiadających nr PESEL),
  3. adres miejsca zamieszkania,
  4. numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość.

W przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody, dodatkowo należy wskazać dane przedstawiciela ustawowego:

  1. nazwisko i imię (imiona),
  2. adres jego miejsca zamieszkania,
  3. dodatkowe informacje pozwalające na ustalenie tożsamości osoby upoważnionej (opcjonalne, ale zalecane): PESEL, seria i numer dowodu tożsamości.

Przykładowy zakres danych identyfikujących osobę upoważnioną, co do której przyjmuje się, że jednoznacznie identyfikują wskazaną osobę
Zgodnie z § 8 ust. 1 rozporządzenia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania niezbędnymi danymi osoby upoważnionej, które muszą zostać podane, jest imię i nazwisko.
Dodatkowo rekomenduje się zebranie, o ile pacjent posiada takowe informacje, dodatkowych danych osoby upoważnionej, które pozwolą na jej jednoznaczną identyfikację, ze względu na to, że imię i nazwisko zazwyczaj nie pozwalają na jednoznaczną identyfikację danej osoby. Pozyskanie tych danych przez administratora danych jest adekwatne dla celów przetwarzania. Nie można jednak uzależnić możliwości złożenia upoważnienia od podania dodatkowych informacji o osobie upoważnionej, wykraczających poza imię i nazwisko.

Przykładowy zakres danych pozwalających na jednoznaczną identyfikację osoby upoważnionej:

  1. numer PESEL,
  2. numer dokumentu tożsamości (dowodu osobistego, paszportu, prawa jazdy, legitymacji szkolnej).

Przykładowa treść oświadczenia zgodna z przepisami prawa, jeżeli upoważnia pacjent
 

Imię osoby upoważnionej: ................................................

Nazwisko osoby upoważnionej: .......................................

Dodatkowe informacje pozwalające na ustalenie tożsamości osoby upoważnionej (opcjonalne, ale zalecane): ..............................................................................................

Działając na podstawie art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta w związku z § 8 ust. 1
rozporządzenia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania:

  • upoważniam wyżej wymienioną osobę,
  • nie upoważniam nikogo

      do dostępu do mojej dokumentacji medycznej:

a)   w pełnym zakresie/w zakresie ograniczonym do ....................................................................................

b)   wyłącznie w [nazwa PWDL]/w [PWDL] oraz w innych podmiotach wykonujących działalność leczniczą.

 

Imię pacjenta: ......................................................................

Nazwisko: .............................................................................

PESEL: ..................................................................................

Data złożenia oświadczenia: ............................................


Przykładowa treść oświadczenia zgodna z przepisami prawa, jeżeli upoważnia przedstawiciel ustawowy
 

Imię osoby upoważnionej: ................................................

Nazwisko osoby upoważnionej: .......................................

Dodatkowe informacje pozwalające na ustalenie tożsamości osoby upoważnionej (opcjonalne, ale zalecane): ..............................................................................................

Działając jako przedstawiciel ustawowy, na mocy art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

  • upoważniam wyżej wymienioną osobę,
  • nie upoważniam nikogo

do dostępu do Dokumentacji medycznej dotyczącej pacjenta pozostającego pod moją opieką.

Imię pacjenta: ......................................................................

Nazwisko: .............................................................................

PESEL: ..................................................................................

W pełnym zakresie/w zakresie ograniczonym do ............

Wyłącznie w [nazwa PWDL]/w [PWLD] oraz w innych podmiotach wykonujących działalność leczniczą.

Nazwisko i imię (imiona) przedstawiciela ustawowego: ..............................................................................................

Miejsce zamieszkania przedstawiciela ustawowego: .............................................................................................

Dodatkowe informacje pozwalające na ustalenie tożsamości osoby upoważnionej (opcjonalne, ale zalecane): ..............................................................................................

PESEL, seria i numer dowodu tożsamości przedstawiciela ustawowego: powinny być ujęte w tych dodatkowych informacjach, o których mowa punkt wyżej

Data złożenia oświadczenia: .............................................


Kodeks zawiera również wskazówki, w jaki sposób przekazywać informacje dotyczące pacjenta w stanach nag­łych, gdy chodzi o ochronę żywotnych interesów pacjenta, a pacjent jest fizycznie lub prawnie niezdolny do wyrażenia zgody, np. jest nieprzytomny, nie ma możliwości nawiązania z nim kontaktu. W takiej sytuacji nawet brak upoważnienia przez pacjenta nie stanowi przeszkody w nawiązaniu przez podmiot leczniczy kontaktu z osobą trzecią, w tym z osobą bliską, celem przekazania lub uzyskania danych, w tym danych o stanie zdrowia pacjenta, niezbędnych dla ochrony żywotnych interesów pacjenta lub innej osoby, w szczególności ochrony zdrowia lub życia tych osób. Oczywiście takie działanie podmiotu leczniczego będzie tutaj zupełnie wyjątkowe i Kodeks wprowadza w pkt 4.10 proponowane zasady postępowania w takich sytuacjach:

„PWDL odnotowuje każdorazowo okoliczności udostępnienia danych osobowych Pacjenta w oparciu o niniejszy punkt z uzasadnieniem zaistnienia stanu zagrożenia dla życia lub zdrowia Pacjenta.

PWDL podejmuje wskazane działania […] jedynie w sytuacjach wyjątkowych, gdy nie jest możliwe udostępnienie lub uzyskanie danych od osób upoważnionych zgodnie z przepisami prawa medycznego bądź od innych PWDL, które uprzednio świadczyły usługi zdrowotne na rzeczpacjenta w oparciu o art. 9 ust. 2 lit h RODO.

PWDL w miarę możliwości podejmuje działania w celu dostatecznego uprawdopodobnienia zasadności kontaktu z osobą trzecią w celu ochrony żywotnych interesów pacjenta. Do działań takich można zaliczyć m.in.:

  • kontakt z osobą bliską pacjenta;
  • kontakt z osobą odbierającą telefon uprzednio wskazany przez pacjenta w dokumentacji medycznej;
  • zadawanie pytań kontrolnych dotyczących pacjenta osobie trzeciej, która powinna znać na nie odpowiedź;
  • kontakt ze świadkiem zdarzenia w trakcie bądź w wyniku którego pacjent został poszkodowany.

PWDL w miarę możliwości weryfikuje a także odnotowuje tożsamość osoby trzeciej, której udostępnia lub od której uzyskuje dane osobowe pacjenta”. Zasady weryfikacji tożsamości pacjentów wskazane w pkt 6.2 kodeksu stosuje się odpowiednio.

Przetwarzanie danych na dużą skalę

Ważnym zagadnieniem jest również przetwarzanie przez podmioty lecznicze szczególnych kategorii danych osobowych na dużą skalę. Z takim przetwarzaniem wiąże się bowiem konieczność powołania inspektora ochrony danych oraz przygotowania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Kodeks przykładowo wskazuje, iż nie jest przetwarzaniem na dużą skalę przetwarzanie, gdy dotyczy podmiotu leczniczego będącego indywidualną praktyką zawodową, w odniesieniu do danych przetwarzanych w ramach wykonywanej przez osobę wykonującą zawód medyczny działalności leczniczej, w tym jednoosobowej działalności gospodarczej jako indywidualnej praktyki lekarskiej, indywidualnej praktyki lekarskiej wyłącznie w miejscu wezwania, indywidualnej specjalistycznej praktyki lekarskiej, indywidualnej specjalistycznej praktyki lekarskiej wyłącznie w miejscu wezwania. Inne przykłady, których Kodeks nie traktuje jako przetwarzania na dużą skalę szczególnych kategorii danych osobowych, są szczegółowo opisane w pkt 5.1.