Od 25 maja br. jednostki ochrony zdrowia będą konfrontowane ze sprzecznymi zasadami wynikającymi z rozporządzenia ogólnego o ochronie danych osobowych (RODO) oraz z polskich ustaw sektorowych dotyczących postępowania z dokumentacją medyczną. Niespójności mogłyby zostać wyeliminowane przez przepisy wprowadzające ustawę o ochronie danych osobowych, ale jest mało prawdopodobne, aby prace nad nimi zakończyły się na czas. Jak postępować wobec niejasności i jak ograniczać zwiększone ryzyko regulacyjne?
Szczególna kategoria danych
Pod rządami obowiązującej do 24 maja br. ustawy o ochronie danych osobowych dane o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym są traktowane jako tzw. dane wrażliwe. Istnieje ogólny zakaz przetwarzania tego rodzaju danych. Wyjątki od zakazu są ściśle określone i należy do nich w szczególności przetwarzanie danych w celu ochrony stanu zdrowia, świadczenia usług medycznych, leczenia pacjentów lub zarządzania udzielaniem usług medycznych przez podmioty zawodowo trudniące się leczeniem lub świadczeniem innych usług medycznych lub zarządzaniem świadczeniem takich usług.
RODO w dużej mierze odchodzi od pojęcia danych wrażliwych, ustanawiając katalog szczególnych kategorii danych, takich jak m.in. dane dotyczące zdrowia, dane genetyczne czy dane biometryczne, lecz utrzymuje ogólny zakaz przetwarzania tego rodzaju danych oraz podstawowe wyjątki zezwalające na ich przetwarzanie w określonych sytuacjach, w szczególności związanych ze świadczeniami opieki medycznej. W praktyce jednak wszelkie nieprawidłowości w zakresie istnienia ważnych podstaw przetwarzania, zabezpieczenia tego rodzaju danych czy ich usuwania na czas mogą prowadzić już nie tylko do ewentualnego upomnienia ze strony GIODO, ale surowej kary finansowej.
Dokumentacja medyczna
Brak jest ogólnych definicji, czym są dane medyczne czy też dokumentacja medyczna. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta wskazuje jednak, jakie informacje mają być zawarte w dokumentacji medycznej.
Ustawa o systemie informacji w ochronie zdrowia posługuje się pojęciem elektronicznej dokumentacji medycznej rozumianej jako dokumenty wytworzone w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Co więcej ustawa ta wskazuje, że dokumentacja medyczna zawiera tzw. jednostkowe dane medyczne, czyli dane osobowe oraz inne dane osób fizycznych dotyczące uprawnień do udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej, stanu zdrowia, a także inne dane przetwarzane w związku z planowanymi, udzielanymi i udzielonymi świadczeniami opieki zdrowotnej oraz profilaktyką zdrowotną i realizacją programów zdrowotnych.