Kto może przechowywać dane pacjenta

Jeżeli badania wykonuje podmiot zewnętrzny, umowa z placówką leczniczą musi określać, kto faktycznie udziela świadczeń.

Takie stanowisko zajął Naczelny Sąd Administracyjny (I OSK 1162/10), oddalając skargę kasacyjną generalnego inspektora ochrony danych osobowych.

Nakaz inspektora

GIODO ustalił, że dr Jacek B. prowadzący prywatną praktykę miał umowę z Centrum Medycznym Damiana na wykonanie badań denzytometrycznych. Pacjent centrum Edward K. dostał po kilku latach zaproszenie na ponowne badania – ale już w innej placówce, z którą aktualnie współpracuje dr B. Okazało się, że lekarz przechowuje dane i wyniki badań pacjentów Centrum Damiana. Powołuje się na ustawę o zakładach opieki zdrowotnej, która zobowiązuje do przechowywania dokumentacji medycznej pacjentów przez 20 lat.

– Dane zawarte w dokumentacji medycznej są danymi wrażliwymi i podlegają ochronie. Lista uprawnionych, którym świadczeniodawca może je udostępnić, jest ściśle określona w ustawie o prawach pacjenta i rzeczniku praw pacjenta – mówi Krystyna Barbara Kozłowska, rzecznik praw pacjenta.

Sprawa do zbadania

GIODO nakazał Jackowi B. usunięcie z urządzenia do badań denzytometrycznych danych i wyników badań Edwarda K. Zdaniem GIODO lekarz przetwarza je bez podstawy prawnej. Zgodnie z rozporządzeniem ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej taka dokumentacja ma być przechowywana w zakładzie opieki zdrowotnej, w którym została sporządzona, czyli w Centrum Medycznym Damiana.

Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję GIODO i nakazał ponowne zbadanie sprawy, a NSA oddalił skargę kasacyjną GIODO.

Zgodnie z ustawą o prawach pacjenta i rzeczniku praw pacjenta, podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez 20 lat.

Trzeba więc przede wszystkim ustalić, która ze stron umowy była takim podmiotem – czy Centrum Medyczne, czy też lekarz, w imieniu i na rzecz którego były wykonywane badania.

Komentuje Grzegorz Sibiga, adiunkt w Instytucie Nauk Prawnych PAN:

Problemy ochrony danych osobowych przy świadczeniach zdrowotnych nie kończą się na przetwarzaniu danych przez osoby wykonujące zawody medyczne. Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług  związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych.

Czytaj też: