Żądanie udostępnienia dokumentacji medycznej to jedno z naczelnych uprawnień wskazanych w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta(1) (dalej: „ustawa o prawach pacjenta”). Co ciekawe, nie przysługuje ono wyłącznie pacjentowi, ale także jego przedstawicielowi ustawowemu lub osobie przez niego upoważnionej oraz podmiotom wskazanym w przepisach prawa. Ustawa o prawach pacjenta reguluje także sposoby udostępnienia dokumentacji medycznej, co równocześnie przedkłada się na konieczność zastosowania odpowiednich środków i działań, mających na celu zachowanie bezpieczeństwa i poufności tak wrażliwych danych, jakimi są dane medyczne.

Sposoby udostępnienia dokumentacji medycznej 

Upraszczając nieco przepisy prawa, dokumentacja medyczna może zostać udostępniona na wniosek pacjenta lub innego upoważnionego podmiotu:

1) do wglądu w miejscu udzielania świadczeń zdrowotnych albo w siedzibie podmiotu udzielającego świadczeń zdrowotnych, z zapewnieniem możliwości sporządzenia notatek lub zdjęć

2) przez sporządzenie jej wyciągu, odpisu, kopii lub wydruku

3) przez wydanie oryginału za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu (tu należy wskazać, iż ten sposób przysługuje wyłącznie w określonych prawem przypadkach: np. w sytuacji gdy zwłoka w wydaniu dokumentacji mogłaby spowodować zagrożenie życia lub zdrowia pacjenta bądź na żądanie udostępnienia dokumentacji wystosowane przez organy władzy publicznej albo sądy powszechne)

4) za pośrednictwem środków komunikacji elektronicznej (np. poprzez wiadomość e-mail)

5) na informatycznym nośniku danych (np. poprzez zgranie na płytę CD).

Należy podkreślić, iż wybór formy udostępnienia dokumentacji leży po stronie wnioskodawcy.

A jak podejść do tego praktycznie?

Jak wynika z powyższego, możliwości przekazania dokumentacji medycznej, jest wiele. Wybór jednego z tych sposobów przez osobę wnioskującą o udostępnienie dokumentacji medycznej implikuje, przy użyciu jakiego środka oraz jakiej formy, zostanie ona przekazana – co ma realny wpływ na kwestię bezpieczeństwa danych. Należy bowiem pamiętać, że udostępniana dokumentacja zawiera dane medyczne, które równocześnie mają walor danych osobowych. Zatem, oprócz zasad zawartych w przepisach prawa medycznego oraz deontologii lekarskiej (etyki lekarskiej), z których wynika obowiązek zachowania tajemnicy lekarskiej, „strażnikiem” prawa do zachowania poufności i bezpieczeństwa danych pacjentów są przepisy RODO(2), czyli unijne rozporządzenie o ochronie danych osobowych. Spróbuję zatem przedstawić kilka podstawowych zasad i sposobów postępowania w poszczególnych, możliwych konfiguracjach.

„Najprostsza” i z reguły najbezpieczniejsza sytuacja, to ta, w której pacjent lub inny upoważniony do dokumentacji podmiot, stawia się osobiście w podmiocie leczniczym, żądając wglądu do dokumentacji medycznej. W takim bowiem przypadku, w celu zapewnienia poufności i bezpieczeństwa danych, podmiotu leczniczy powinien zweryfikować tożsamość danej osoby wnioskującej o dokumentację (w tym zwrócić się o okazanie dokumentu potwierdzającego tożsamość, ale co istotne nie jest dopuszczalne kopiowanie takiego dokumentu) oraz przekazać dokumentację w odpowiednich warunkach, uniemożliwiając zapoznanie się z danymi medycznymi przez osoby postronne (np. dostęp do dokumentacji w wyznaczonym do tego pomieszczeniu, tak aby zapewnić nieskrępowaną możliwość zapoznania się z treścią dokumentów oraz sporządzania notatek i zdjęć).

Sytuacja zdecydowanie komplikuje się, jeżeli wniosek o udostępnienie dokumentacji medycznej, jak i samo jej przekazanie następuje na odległość, przy użyciu środków komunikacji elektronicznej, takich jak telefon czy e-mail. Jak wybrnąć z tej sytuacji, aby wilk był syty i owca cała? To zadanie z pewnością jest utrudnione, albowiem z jednej strony na podmiocie leczniczym  ciąży obowiązek udostępnienia dokumentacji medycznej, a z drugiej strony – obowiązek zapewnienia odpowiedniego standardu bezpieczeństwa. W takiej sytuacji, wskazane a zarazem konieczne jest:

• zweryfikowanie tożsamości wnioskodawcy oraz sprawdzenie, czy jest to osoba która może otrzymać dostęp do dokumentacji medycznej (tj. czy wnioskodawcą jest pacjent lub inna osoba uprawniona). Przykładowo, w sytuacji, gdy osobą zwracającą się o przekazanie dokumentacji medycznej jest osoba podająca się za pacjenta, rekomendowane jest zwrócenie się do takiej osoby o podanie danych, które – w możliwie najwyższym stopniu – nie pozostawią cienia wątpliwości, że faktycznie wnioskodawcą jest pacjent. Taki katalog danych to: imię i nazwisko, adres, PESEL czy indywidualny kod nadany pacjentowi w placówce. Dobrą praktyką rekomendowaną dla podmiotów leczniczych jest w szczególności właśnie nadanie indywidualnego kodu, który – z złożenia znany powinien być tylko pacjentowi – zapewnia wyższy standard bezpieczeństwa i pewności, kim jest wnioskodawca. Zaprezentowany powyżej katalog danych ma charakter przykładowy i otwarty, wskazane jest aby dany podmiot dobrał taki zestaw danych, który dla jego organizacji będzie najbardziej miarodajny.

• zapewnienie odpowiednich organizacyjnych, fizycznych lub informatycznych zabezpieczeń. Przykładowo, jeżeli dokumentacja ma zostać przesłana listownie, rekomendowane jest opatrzenie koperty klauzulą „poufne” oraz wybranie przesyłki rejestrowanej. Niebagatelne znaczenie ma także powierzenie przesyłki sprawdzonemu i zaufanemu podmiotowi, a także zawarcie z takim podmiotem (np. firmą kurierską) quasi umowy powierzenia przetwarzania danych osobowych(3), która powinna zawierać postanowienia dotyczące m.in. odpowiedzialności za korespondencję oraz odpowiednie zasady i standardy bezpieczeństwa, np. obowiązki stron w sytuacji zaginięcia przesyłki. W przypadku, gdy dokumentacja ma zostać przesłana drogą e-mailową, rekomendowane jest zastosowanie szyfrowania. Warto pamiętać, że prawidłowe i skuteczne szyfrowanie opiera się na tym, iż hasło umożliwiające otwarcie przesłanej korespondencji e-mail jest wysyłane innym kanałem komunikacji (np. jest przekazywane w trakcie rozmowy telefonicznej lub w ramach wiadomości SMS).

Sprowadzając powyższe zasady do ogólnego wniosku, należy wskazać, iż udostępniając dokumentację medyczną, konieczne jest zapewnienie bezpieczeństwa – a dobór odpowiednich środków i działań powinien zostać dopasowany stosownie do wybranej formy przekazania dokumentacji.

Przypisy:

1. Dz.U.2022.1876 t.j. z dnia 2022.09.06
2. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz.Urz.UE L 119/1 z dnia 2016.05.04)
3. Biorąc pod uwagę wyroku WSA w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21, firmę kurierską należy uznać nie za „klasyczny” podmiot przetwarzający, a quasi podmiot przetwarzający.