PRAWO
Zastrzeżenie nazwy czy logo firmy – co lepiej ochroni Twoją markę?
Czytaj więcej
Wypadek zagraniczny - co robić? Pobierz darmowy poradnik
Dokumentacja medyczna a RODO to dziś jeden z najważniejszych tematów w placówkach medycznych. Każdy podmiot udzielający świadczeń zdrowotnych musi prowadzić dokumentację medyczną pacjenta zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta oraz przepisami RODO. To nie tylko obowiązek administracyjny. To także kwestia bezpieczeństwa informacji i zaufania pacjentów, którzy powierzają placówkom dane dotyczące zdrowia, dane wrażliwe, historię medyczną, wyniki badań laboratoryjnych, zdjęć rentgenowskich czy dane genetyczne.
Dokumentacja medyczna to zapis informacji o stanie zdrowia pacjenta, udzielonych świadczeniach zdrowotnych oraz przebiegu leczenia klinicznego. Obejmuje dane osobowe pacjenta, takie jak imię, nazwisko, datę urodzenia czy numer PESEL, a także informacje medyczne (tzw. dane wrażliwe) dotyczące udzielanych świadczeń medycznych, w tym także wyniki badań diagnostycznych oraz pozostałe dane dotyczące jego stanu zdrowia. Przykładowe wzory dokumentacji medycznej i zasady jej prowadzenia określa rozporządzenie Ministra Zdrowia.
Dokumentacja medyczna powinna być prowadzona przede wszystkim w formie elektronicznej, która obecnie jest wskazana jako podstawowa forma zgodnie z rozporządzeniem Ministra Zdrowia z 6 kwietnia 2020 r. Jednak prowadzenie dokumentacji w formie papierowej jest dopuszczalne w wyjątkowych sytuacjach, np. gdy przepisy to wymagają lub gdy warunki organizacyjno-techniczne uniemożliwiają prowadzenie dokumentacji elektronicznej.
W praktyce coraz częściej stosowana jest elektroniczna dokumentacja medyczna przechowywana na informatycznym nośniku danych. Placówki muszą zadbać o to, aby dane pacjentów były chronione niezależnie od formy zapisów. Istotne jest też to, by w przypadku ewentualnej kontroli placówka była w stanie wykazać przestrzeganie przepisów RODO na każdym etapie procesu przetwarzania danych.
Zgonie z przepisami RODO dane osobowe muszą być przetwarzane zgodnie z prawem, jasno określonymi celami i wyłącznie w zakresie, który jest niezbędny dla udzielenia świadczenia medycznego. Dane dotyczące zdrowia to dane szczególnej kategorii, wymagające szczególnej formy zabezpieczeń. Oznacza to konieczność kontrolowania dostępu do nich, weryfikacji tożsamości, odpowiedniego zabezpieczenia systemów informatycznych oraz ochrony tajemnicy informacji związanych z pacjentem uzyskanych w trakcie leczenia.
Placówka musi także zadbać o rzetelne prowadzenie dokumentacji medycznej dotyczącej każdego pacjenta. Obejmuje to zarówno prawidłowe przechowywanie dokumentacji medycznej, jak i procedury udostępnienia dokumentacji medycznej osobie upoważnionej, jego przedstawicielowi ustawowemu lub przedstawicielowi ustawowemu pacjenta. W niektórych sytuacjach możliwe jest wydanie oryginału dokumentacji, sporządzenie jej wyciągu albo kopii. Możliwe jest także przekazanie dokumentacji pośrednictwem środków komunikacji elektronicznej, jeżeli zapewnia to ich bezpieczeństwo.
Zgodnie z obowiązującymi przepisami RODO administrator danych, czyli podmiot udzielający świadczeń zdrowotnych, musi wykonać tzw. obowiązek informacyjny. Pacjent musi wiedzieć, kto i w jakich celach przetwarza jego dane oraz jakie prawa mu przysługują. W placówce medycznej obowiązki te dotyczą zarówno lekarzy, jak i osoby wykonujące zawód medyczny oraz inny pracownik służby zdrowia.
Kluczowym elementem zgodności z RODO jest rozliczalność. Podmiot leczniczy musi być w stanie wykazać przestrzeganie przepisów RODO, co obejmuje prowadzenie dokumentacji ochrony danych, ewidencji naruszeń oraz rejestru czynności przetwarzania. Ważne jest także szkolenie pracowników, w szczególności tych, którzy mają kontakt z danymi medycznymi pacjentów.
Udostępnienie dokumentacji medycznej musi odbywać się w sposób zgodny z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta. Prawo dostępu do dokumentacji i prawo dostępu do danych osobowych to dwa różne uprawnienia, choć często się uzupełniają. Pacjent, osoba upoważniona lub jego przedstawiciel ustawowy mogą wnioskować o wgląd, kopię lub jej wyciąg. Dostęp przysługuje także po śmierci pacjenta, co nadal wymaga zachowania zasad prywatności pacjentów.
W praktyce placówki muszą także uwzględniać szczególne typy dokumentacji, takie jak karta przebiegu ciąży, dokumentacja badań laboratoryjnych czy innych dokumentów związanych ze sprawami orzekania. Każdy wpis w dokumentacji musi być opatrzony datą i podpisem osoby, która go dokonała, oraz umożliwiać ustalenie, kto dokonał ostatniego wpisu.
Placówki medyczne korzystają dziś z wielu urządzeń medycznych, które automatycznie zapisują informacje w formie elektronicznej. Takie dane dotyczą zdrowia pacjenta, wyników badań oraz ryzyka choroby, więc muszą być chronione z taką samą starannością jak dokumentacja prowadzona w postaci papierowej. Każdy zapis z urządzenia, niezależnie od tego, czy dotyczy badania diagnostycznego czy podstawowych parametrów stanu fizjologicznego, powinien być zabezpieczony przed dostępem osób nieuprawnionych.
Podobne zasady obowiązują przy danych przetwarzanych w systemach informatycznych. W placówkach medycznych coraz częściej przesyła się informacje zdalnie, co zwiększa ryzyko naruszeń, jeśli systemy nie są właściwie skonfigurowane. Ochrona danych wymaga więc stosowania bezpiecznych kanałów komunikacji, kontroli dostępu i regularnych aktualizacji, tak aby ich bezpieczeństwo było zapewnione na każdym etapie przetwarzania.
Placówka powinna wdrożyć polityki bezpieczeństwa informacji, procedury reagowania na incydenty oraz plan działania na wypadek naruszenia. Konieczne jest również zapewnienie regularnych kopii zapasowych, szyfrowania oraz zabezpieczeń fizycznych w pomieszczeniach, w których dokumentacja jest przechowywana.
W praktyce pomocne są także audyty RODO, które pozwalają ocenić, czy podmiot leczniczy spełnia obowiązki wynikające z przepisów. Audyt obejmuje sprawdzenie procedur, sposobu dokumentowania czynności oraz weryfikację, czy dane dotyczące zdrowia są należycie chronione.
Zagadnieniem zasługującym na szczególną uwagę jest także prawidłowe zawieranie umów powierzenia przetwarzania danych, szczególnie w sytuacjach, gdy dane są udostępniane na zewnątrz, na przykład dostawcom usług IT, firmom serwisującym systemy informatyczne lub podmiotom prowadzącym archiwizację. Umowa musi określać nie tylko cele przetwarzania danych, ale też gwarantować ich bezpieczeństwo.
Placówka powinna również zadbać o zasady przetwarzania danych podczas teleporad lub udzielania świadczeń pośrednictwem środków komunikacji elektronicznej. Obejmuje to zabezpieczenie kanałów komunikacji, potwierdzenie tożsamości pacjenta oraz ograniczenie dostępu do informacji tylko do osób wykonujących zawód medyczny.
RODO wymaga także, by dostęp do danych medycznych był nadawany wyłącznie osobom, które potrzebują go do wykonywania obowiązków zawodowych. Dotyczy to zarówno lekarzy, jak i innego pracownika służby zdrowia, który uczestniczy w procesie leczenia.
Właściwe przechowywanie dokumentacji medycznej to jeden z podstawowych obowiązków placówki. Ważne jest nie tylko to, gdzie dokumenty są przechowywane, ale także kto ma do nich dostęp i w jaki sposób są zabezpieczone. Dobrze zorganizowany system pozwala uniknąć zagubienia dokumentów, nieuprawnionego wglądu oraz problemów podczas kontroli.
Duże znaczenie ma również stabilne zaplecze techniczne. Sprawne systemy informatyczne i jasne procedury pracy z danymi zmniejszają ryzyko błędów. Przeszkolony zespół, który potrafi korzystać z systemów i zna podstawy ochrony danych, jest w stanie szybciej reagować na zagrożenia i unikać sytuacji mogących narazić placówkę na konsekwencje prawne lub utratę zaufania pacjentów.
Dokumentacja medyczna zgodna z przepisami o ochronie danych osobowych to zagadnienia, które wymaga od placówek medycznych ciągłej uwagi. Każde niedopatrzenie może oznaczać ryzyko naruszenia prywatności pacjentów, a w konsekwencji potencjalne problemy prawne. Dlatego tak ważne jest, aby sposób prowadzenia dokumentacji i jej zabezpieczania był odpowiednio zaprojektowany.
Przepisy nie tylko nakładają obowiązki, ale również wskazują konkretne narzędzia i rozwiązania, które pomagają w bezpiecznym przetwarzaniu danych. Regularne przeglądy procedur, aktualizowanie polityk oraz szkolenie pracowników pozwalają wyłapać błędy, zanim przerodzą się one w tzw. incydent naruszenia danych.
Jeśli pojawiają się wątpliwości albo potrzebujesz wsparcia przy dostosowaniu procesów do przepisów, warto skorzystać z pomocy doświadczonej kancelarii. Profesjonalna obsługa prawna pomaga sprawnie uporządkować zasady ochrony danych, przygotować odpowiednią dokumentację i poprawić bezpieczeństwo w placówce. Skontaktuj się z naszą Kancelarią, aby omówić potrzeby Twojego podmiotu medycznego i zadbać o zgodność z obowiązującymi przepisami.
Absolwentka Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu. Członek Wielkopolskiej Izby Adwokackiej.
