Zalegalizowane powierzanie przetwarzania danych osobowych przez podmioty medyczne
08/02/2016
Obowiązująca od 12 grudnia 2015 roku nowelizacja ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta usunęła dotychczasowe wątpliwości prawne związane z powierzaniem przetwarzania danych osobowych pacjentów przez podmioty lecznicze. Zgodnie ze znowelizowanym art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta aktualnie wprost w przepisach prawa wskazano na możliwość powierzenia przetwarzania danych osobowych.
Powyższe oznacza, iż zalegalizowane zostało zlecanie przez podmiot medyczny usług, które wiążą się z dostępem do danych osobowych pacjentów przez podmioty trzecie tj. np.: serwisowanie oprogramowania przez firmy informatyczne, archiwizacja danych, serwisowanie sprzętu medycznego, w którym zapisywane są dane pacjentów.
Stosownie do dodanego ust. 4 ww. artykułu 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta podmiot udzielający świadczeń zdrowotnych może zawrzeć umowę, o której mowa w art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), pod warunkiem zapewnienia ochrony danych osobowych oraz prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umową przez podmiot przyjmujący te dane. Przepis ten odwołuje się bezpośrednio do art. 31 ust. 1 ustawy o ochronie danych osobowych. A zatem oznacza to, iż niezbędnym jest zawarcie na piśmie umowy powierzenia przetwarzania danych osobowych pomiędzy podmiotem leczniczym a podmiotem, któremu zlecane jest przetwarzanie danych osobowych. Jednocześnie poza zawarciem umowy powierzenia przetwarzania danych wprowadzono dodatkowy warunek obowiązujący przy zawieraniu takiej umowy. Ustawa wskazuje na konieczność zapewnienia przez podmiot leczniczy kontroli zgodności przetwarzania danych osobowych podmiotu, któremu powierzono przetwarzanie danych. Prawo kontroli powinno zostać ujęte w treści umowy o powierzeniu przetwarzania danych osobowych. Zgodnie ze standardem dotyczącym redakcji tego rodzaju zapisów w umowach określa się także sposób prowadzenia kontroli, jej częstotliwość oraz ewentualne postępowanie naprawcze w przypadku negatywnych wyników, a nadto odpowiedzialność. W art. 24 ust. 1 wskazano na konieczność zagwarantowania ochrony danych osobowych także przez sam podmiot leczniczy. Takim sformułowaniem wyartykułowano pewną oczywistość, ale być może ustawodawcy chodziło o podkreślenie, iż powierzenie przetwarzania nie zwalnia z obowiązku zabezpieczenia danych przez sam podmiot leczniczy, który jest administratorem danych w rozumieniu ustawy o ochronie danych osobowych.
Ponadto dodatkowe obostrzenia oraz warunki przewidziane zostały w kolejnych postanowieniach art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. W tym po pierwsze realizacja umowy powierzenia przetwarzania danych osobowych, nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej. Oznacza to w praktyce konieczność stworzenia takich ram prawnych i rozwiązań praktycznych, które będą adekwatne dla obowiązujących w danym podmiocie leczniczym potrzeb i procedur w zakresie obiegu i dostępu do dokumentacji medycznej.
W ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta przewidziano ochronę danych pacjenta przez podmiot, któremu powierzono przetwarzanie danych osobowych także po śmierci pacjenta. Zapis ten rozciąga obowiązek zachowania tajemnicy również wobec danych, które danymi osobowymi już nie są, albowiem dane osobowe stanowią tylko dane dotyczące osób żywych. Regulacja ta jest zarazem zgodna z ustawowym prawem pacjenta do tajemnicy informacji z nim związanych i skorelowanym z nim obowiązkiem ochrony tych danych także po śmierci przez wszystkich, którzy mieli dostęp do tych danych. W przypadku powierzenia przetwarzania danych osobowych, obowiązek zachowania tajemnicy dotyczy nie tylko samego podmiotu, ale osób, które faktycznie w jego imieniu przetwarzają w dane osobowe (pracowników i współpracowników). I choć z brzmienia ustępu 6 to wprost nie wynika to należy przyjąć wykładnię celowościową, która nakazuje właśnie takie rozumienie tej regulacji. Dodatkowo w umowie o powierzeniu przetwarzania danych można dodać zapis, który właśnie w ten sposób opisywał będzie zakres obowiązku.
W przypadku zaprzestania przetwarzania danych osobowych podmiot, któremu powierzono przetwarzanie danych osobowych zobowiązany jest do ich zwrotu podmiotowi leczniczemu, który jest administratorem danych. Szczególnie podkreślono sytuacje likwidacji podmiotu, któremu zlecono przetwarzanie danych. Zapisy, dotyczące zwrotu danych, stanowią standard zawieranych umów o powierzeniu przetwarzania danych osobowych. Często umieszcza się również postanowienia o usunięciu kopii danych lub zniszczeniu nośników, z których dane nie mogą zostać usunięte. Uwzględnienie w ustawie regulacji w tym zakresie przenosi postanowienia te z płaszczyzny kontraktowej i ustanawia wymóg prawny. W umowie z kolei pozostanie do uregulowania uszczegółowienie realizacji obowiązku zwrotu min. sposobu i terminu zwrotu.
Wprowadzona nowelizacja po wielu latach zgłaszanych problemów i wątpliwości, w końcu usuwa poważny problem z jakim mierzyły się podmioty lecznicze. Przez wiele lat szereg z nich pozostawała faktycznie w sprzeczności z prawem, która wynikała z faktu, iż prawo nie nadążało za zmianami i potrzebami w tej sferze.
Adwokat Julia Kamińska-Kasjaniuk
* nowelizacja ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadzona ustawą o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw z dnia 9 października 2015 r. (Dz.U. z 2015 r. poz. 1991)