Dane osobowe zwykłe oraz wrażliwe, zbierane w celu udzielenia świadczenia medycznego. Podstawa przetwarzania.
Uzasadnienie oraz podstawy prawne zbierania i przetwarzania danych osobowych na potrzeby świadczeń medycznych.
- Dane osobowe są zbierane jeżeli przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. RODO art. 6 ust. 1 c)
- Szczególne kategorie danych – dane o stanie zdrowia, są zbierane jeżeli przetwarzanie danych jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego, na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3. RODO art. 9 ust. 2 h)
Prowadzenie dokumentacji medycznej oraz zawarte w nich dane określają:
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
- Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.
- Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu
i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
Na podstawie powyższych zapisów, podanie danych osobowych, które są określone przepisami prawa jest warunkiem koniecznym, aby zainteresowana osoba mogła skorzystać
z usługi medycznej. Dane osobowe przetwarzane w placówkach medycznych, w związku z udzieleniem świadczenia medycznego, nie są przetwarzane na podstawie zgody osoby, której dane dotyczą, to też nie ma możliwości cofnięcia zgody na ich przetwarzanie. Podstawą przetwarzania są przepisy prawa (RODO Art. 6 ust. 1 c).
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (art. 25):
Dokumentacja medyczna zawiera co najmniej:
-
-
- Oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości:
a) nazwisko i imię (imiona)
b) datę urodzenia
c) oznaczenie płci
d) adres miejsca zamieszkania,
e) numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość.
f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania. - Oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych.
- Opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych.
- Datę sporządzenia.
- Oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości:
-
RODO. Artykuł 17. Prawo do usunięcia danych („prawo do bycia zapomnianym”):
- Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
b) osoba, której dane dotyczą cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) i nie ma innej podstawy prawnej przetwarzania.
c) osoba, której dane dotyczą wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania.
d) dane osobowe były przetwarzane niezgodnie z prawem.
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Tymczasem ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta przewiduje okresy obowiązkowego przechowywania dokumentacji medycznej wynoszące:
- 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – zasada ogólna.
- 22 lata w zakresie dokumentacji medycznej dotyczącej dzieci do ukończenia 2-go roku życia.
„…chociaż RODO ma rangę unijnego rozporządzenia, to przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta mają przed nim pierwszeństwo, ponieważ przepisy dotyczące obowiązku przechowywania dokumentacji medycznej powinny być rozumiane jako wyjątek od ogólnych zasad wynikających z RODO. Są to branżowe przepisy szczególne, czyli co do zasady najpierw stosujemy obowiązki wynikające z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, a później RODO..”
Autorka : Joanna Krakowiak, Radca Prawny.
Fragment artykułu zmieszczonego Rzeczypospolitej z dnia 25.02.2018 roku pt. „Dane medyczne – należy usuwać czy przechowywać”