Dział dokumentacji chorych i statystyki medycznej
Prawo do ochrony danych osobowych
Dokumentacja medyczna - są to zbiory dokumentów medycznych zawierających dane i informacje medyczne dotyczące stanu zdrowia pacjentów oraz udzielanych świadczeń zdrowotnych w zakładzie opieki zdrowotnej.
Dokumentem medycznym jest każdy fizycznie wyodrębniony nośnik informacji, który zawiera, co najmniej:
oznaczenie pacjenta
oznaczenie zakładu
dane odnoszące się do stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych
datę sporządzenia
Dane dotyczące stanu zdrowia pacjenta są danymi ściśle związanymi z intymną sferą życia tegoż pacjenta i należy je chronić.
Zachowanie w tajemnicy jest jedną z podstawowych zasad etycznych zawodu lekarza od czasów Hipokratesa.
We wszystkich krajach Unii Europejskiej obowiązują przepisy prawne z zakresu wymiany danych osobowych i prawa medycznego, a także w zakresie zasad etyki lekarskiej (ale tu już zachodzą pewne różnice).
W polskim prawie obowiązek ten zapisany został w art. 40 ustawy o zawodzie lekarza z dnia 5 grudnia 1997 r. (Dz.U. 2002. 21. 204).
Współczesna organizacja zakładów opieki zdrowotnej spowodowała jednak, że dane o stanie zdrowia przestały być znane tylko lekarzowi. Przeniesione zostały również do odpowiednich formularzy, kart, rejestrów i kartotek, i taki przepływ danych reguluje ustawa o zakładach opieki zdrowotnej z dnia 30 sierpnia 1991 r.
(Dz.U. 1991.91.408).
Ponadto aktem regulującym tego typu zagadnienia - ochronę danych zawartych w dokumentacji medycznej, jako dane osobowe ujawniające stan zdrowia, co powoduje, że powinny być chronione w szczególny sposób oraz w odniesieniu do informatycznych systemów przetwarzania danych jest ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. 1997.133.887).
Powstanie i uchwalenie ustawy o ochronie danych osobowych miało dwie zasadnicze przyczyny:
1. artykuł 51 j Konstytucji Rzeczypospolitej Polskiej, w którym zapisano obywatelskie prawo do ochrony danych osobowych, co z kolei wymusiło określenie na drodze ustawowej szczegółowy sposób jego realizacji
Art. 51.
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
2. kandydowanie naszego kraju do Wspólnoty Krajów Unii Europejskiej, gdzie ochrona danych osobowych jest w tej chwili traktowana jako element kanonu praw obywatelskich.
W Unii Europejskiej obowiązują dwa ważne dokumenty regulujące zagadnienie:
1. KONWENCJA NR 108 RADY EUROPY
sporządzona w Strasburgu w dniu 28 stycznia 1981 roku o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych,
2. DYREKTYWA 95/46/CCE
z dnia 24 października 1995 roku , która mówi o zapewnieniu ochrony danych osobowych obywateli krajów członkowskich Unii Europejskiej w odniesieniu do ich użytkowania w wolnym obrocie - czyli prościej o ochronie osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych
Konwencja została podpisana w kwietniu 1999 roku przez działającego przy Unii Europejskiej przedstawiciela polskiego rządu, a opublikowana w Dzienniku Ustaw Rzeczypospolitej Polskiej nr 3 z dnia 14 stycznia 2003 roku w pozycji nr 25.
W tymże samym Dzienniku Ustaw w pozycji 26 wydano oświadczenie rządowe z dnia 27 sierpnia 2002 roku w sprawie mocy obowiązującej Konwencji nr 108 Rady Europy.
Ustawa o ochronie danych osobowych przede wszystkim uświadamia, że dotychczasowa praktyka dowolnego zbierania, wykorzystywania i przekazywania osobom trzecim danych osobowych jest naganna, wprowadziła jasne reguły, które musza być przestrzegane przy uzyskiwaniu danych osobowych i dysponowaniu nimi.
Przy przekazywaniu danych pojawiają się jednak dodatkowe problemy.
Art. 27 kpt. 7 ustawy o ochronie danych osobowych pozwala na przekazywanie danych różnym podmiotom w interesie pacjenta.
Firmy ubezpieczeniowe, które zajmują się sprzedażą polis ubezpieczeniowych na życie, żądają od lekarzy świadectwa o stanie zdrowia ich ewentualnego klienta.
Udzielanie jednak tego typu informacji nie jest zgodne z prawem, jak i kodeksem etyki lekarskiej.
Kwestie te reguluje także ustawa o zawodzie lekarza.
Zakłady ubezpieczeniowe żądają danych, opierając się na domniemanej zgodzie osoby zawierającej umowę ubezpieczeniową.
Ustawa o zawodzie lekarza stawia istotny wymóg:
lekarz może na żądanie pacjenta wystawić opinię o stanie jego zdrowia, ale ma obowiązek powiadomić pacjenta o skutkach wydania tej opinii.
W przedstawianych dokumentach - kwestionariuszach firm ubezpieczeniowych - stosowana jest klauzula "wyrażam zgodę na udzielenie informacji o moim stanie zdrowia przez wszystkich lekarzy, którzy mnie kiedykolwiek leczyli, badali (...)", nie jest wystarczająca i nie daje właściwie lekarzowi upoważnienia we wszystkich indywidualnych przypadkach do udzielenia żądanych informacji.
Dyskusja rozgorzała szczególnie gorąco w przypadku chorób takich jak np. AIDS i prawa do ujawniania informacji na ten temat oraz szkodliwości takiego postępowania.
Baza danych osobowych pacjentów często jest wykorzystywana, szczególnie przez niepubliczne placówki, do prowadzenia działalności marketingowej, co nie jest zgodne z celem, do jakiego taka baza służy, czyli w celu udzielania usług medycznych.
Zatem korzystanie z list pacjentów do działań marketingowych jest wykroczeniem poza cel podstawowy. Zakład zbierając dane powinien informować pacjentów, jeżeli zamierza wykorzystywać je także w celach marketingowych.
Pacjent może zaprotestować przeciwko wykorzystywaniu swoich danych w samym zakładzie opieki zdrowotnej. Złamanie przepisów pozawala zastosować środki przewidziane w ustawie o ochronie danych osobowych, łącznie z zawiadomieniem organów ścigania. Zakład opieki zdrowotnej ma obowiązek trzymać się ściśle litery prawa.
Przepisy wymienionych aktów prawnych zostały uzupełnione dodatkowo następującymi uregulowaniami prawnymi w zakresie ochrony danych osobowych:
1. rozporządzeniem Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania (Dz.U. 2001. 88. 966 )
2. rozporządzeniem Ministra Zdrowia z dnia 30 lipca 2001 r. w sprawie rodzajów indywidualnej dokumentacji medycznej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania (Dz.U. 2001.83.903).
3. Polską normą PN-2000 z 1995 r. dotycząca terminologii informatycznej w zakresie zabezpieczeń systemów informatycznych
4. Polską normą PN-i-13335-1 ze stycznia 1999 r. zatytułowana "Wytyczne do zarządzania bezpieczeństwem systemów informatycznych"
5. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne do przetwarzania danych osobowych (Dz.U. Nr 80, poz. 521).
Nie ma zapisów, które dawałyby margines swobody i dowolności interpretacji.
Zarówno kadra medyczna jak i kierownictwo placówek ochrony zdrowia muszą brać pod uwagę konsekwencje łamania prawa, łącznie z odpowiedzialnością karną.
Ustawa o ochronie danych osobowych przewiduje surowe kary. Przekazanie, bądź przetworzenie danych bez uzasadnienia prawnego pociąga za sobą karę nawet do trzech lat pozbawienia wolności.
Nieznajomość prawa nie jest okolicznością usprawiedliwiającą jego naruszenie.
Pozostałe wymienione akty prawne omówimy szczegółowiej w następnym odcinku.
Małgorzata Bielawska
Dział Dokumentacji Chorych i Statystyki Medycznej
Szpitala Uniwersyteckiego w Krakowie