Dane medyczne – usuwać czy przechowywać?
Od 25 maja br. jednostki ochrony zdrowia będą konfrontowane ze sprzecznymi zasadami wynikającymi z rozporządzenia ogólnego o ochronie danych osobowych (RODO) oraz z polskich ustaw sektorowych dotyczących postępowania z dokumentacją medyczną. Niespójności mogłyby zostać wyeliminowane przez przepisy wprowadzające ustawę o ochronie danych osobowych, ale jest mało prawdopodobne, aby prace nad nimi zakończyły się na czas. Jak postępować wobec niejasności i jak ograniczać zwiększone ryzyko regulacyjne?
Dane o stanie zdrowia jako szczególna kategoria danych osobowych
Pod rządami obowiązującej do 24 maja br. ustawy o ochronie danych osobowych dane o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym są traktowane jako tzw. dane wrażliwe. Istnieje ogólny zakaz przetwarzania tego rodzaju danych. Wyjątki od zakazu są ściśle określone i należy do nich w szczególności przetwarzanie danych w celu ochrony stanu zdrowia, świadczenia usług medycznych, leczenia pacjentów lub zarządzania udzielaniem usług medycznych przez podmioty zawodowo trudniące się leczeniem lub świadczeniem innych usług medycznych lub zarządzaniem świadczeniem takich usług.
RODO w dużej mierze odchodzi od pojęcia danych wrażliwych, ustanawiając katalog szczególnych kategorii danych, takich jak m.in. dane dotyczące zdrowia, dane genetyczne czy dane biometryczne, lecz utrzymuje ogólny zakaz przetwarzania tego rodzaju danych oraz podstawowe wyjątki zezwalające na ich przetwarzanie w określonych sytuacjach, w szczególności związanych ze świadczeniami opieki medycznej. W praktyce jednak wszelkie nieprawidłowości w zakresie istnienia ważnych podstaw przetwarzania, zabezpieczenia tego rodzaju danych czy ich usuwania na czas mogą prowadzić już nie tylko do ewentualnego upomnienia ze strony GIODO, ale surowej kary finansowej.
Dane a dokumentacja medyczna
Brak jest ogólnych definicji, czym są dane medyczne czy też dokumentacja medyczna. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta wskazuje jednak, jakie informacje mają być zawarte w dokumentacji medycznej.
Ustawa o systemie informacji w ochronie zdrowia posługuje się pojęciem elektronicznej dokumentacji medycznej rozumianej jako dokumenty wytworzone w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Co więcej ustawa ta wskazuje, że dokumentacja medyczna zawiera tzw. jednostkowe dane medyczne, czyli dane osobowe oraz inne dane osób fizycznych dotyczące uprawnień do udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej, stanu zdrowia, a także inne dane przetwarzane w związku z planowanymi, udzielanymi i udzielonymi świadczeniami opieki zdrowotnej oraz profilaktyką zdrowotną i realizacją programów zdrowotnych.
W praktyce informacje zawarte w dokumentacji medycznej (tradycyjnej oraz elektronicznej) jak i w tworzonych rejestrach medycznych to ogromna ilość danych osobowych, zarówno zwykłych (jak imię i nazwisko czy PESEL), jak i podlegających szczególnej ochronie danych o stanie zdrowia.
Podstawowe zasady RODO nakazują minimalizację danych i ograniczenie czasu ich przechowywania do niezbędnego minimum. Prowadzi to do wniosku, że co do zasady dane zawarte w dokumentacji medycznej nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, i powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, czyli np. w celu udzielenia świadczenia medycznego.
Tymczasem ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta przewiduje okresy obowiązkowego przechowywania dokumentacji medycznej wynoszące przykładowo:
- 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – zasada ogólna,
- 22 lata – w zakresie dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia,
- 30 lat – w przypadku gdy dane są niezbędne do monitorowania losów krwi i jej składników lub też gdy nastąpił zgon pacjenta na skutek uszkodzenia ciała (w takim przypadku okres liczony jest od końca roku kalendarzowego, w którym nastąpił zgon).
Jak postępować?
Chociaż RODO ma rangę unijnego rozporządzenia, to przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta mają przed nim pierwszeństwo, ponieważ przepisy dotyczące obowiązku przechowywania dokumentacji medycznej powinny być rozumiane jako wyjątek od ogólnych zasad wynikających z RODO. Są to branżowe przepisy szczególne, czyli co do zasady najpierw stosujemy obowiązki wynikające z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, a później RODO.
Kwestią otwartą jest anonimizacja, lub raczej pseudonimizacja zawartych w dokumentacji danych. Wydaje się bowiem, że o całkowitej anonimizacji nie może być mowy, ponieważ zabieg taki byłby sprzeczny z celem przechowywania dokumentacji medycznej indywidualnych pacjentów. Stopień zabezpieczenia tego rodzaju dokumentacji musi być jednak bardzo wysoki – uwzględniający doniosłość skutków wycieku danych medycznych (więcej na ten temat piszemy tutaj).
Optymalnym rozwiązaniem może być outsourcing przechowywania dokumentacji medycznej. Tak jak dotychczas możliwe bowiem będzie powierzenie przechowywania dokumentacji medycznej podmiotowi zewnętrznemu. Tego rodzaju umowy będą musiały jednak odpowiadać podwyższonym wymogom regulacyjnym mającym zastosowanie do umów o przetwarzanie danych osobowych i zawartym w art. 28 RODO oraz uwzględniać specyfikę przechowywanej dokumentacji, umożliwiając administratorowi danych sprawną realizację praw osób – zarówno jako podmiotów danych osobowych, jak i jako pacjentów.
Joanna Krakowiak, radca prawny, praktyka life science i postępowań regulacyjnych oraz praktyka transakcji i prawa korporacyjnego kancelarii Wardyński i Wspólnicy