W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, omówione zostaną najistotniejsze zmiany w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (dalej jako „UPP”).
Artykuł 28 ust. 2a UPP otrzymuje brzmienie:
2a. Opłaty, o której mowa w ust. 1, nie pobiera się w przypadku udostępnienia dokumentacji medycznej: 1) pacjentowi albo jego przedstawicielowi ustawowemu po raz pierwszy w żądanym zakresie i w sposób, o którym mowa w art. 27 ust. 1 pkt 2 i 5 oraz w ust. 3; 2) w związku z postępowaniem przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych, o której mowa w art. 67e ust. 1.”; |
Ustawodawca nadał nowe brzmienie art. 28 ust. 2a UPP z uwagi na wątpliwości dotyczące wykładni przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako „RODO”) w zakresie dostępu do dokumentacji medycznej. Wątpliwości te pojawiły się m. in. z uwagi na fakt, iż Prezes Urzędu Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta wydali w tym zakresie sprzeczne stanowiska. W związku z tym ustawodawca postanowił ujednolicić uprawnienia, które wynikają z RODO oraz z przepisów prawa krajowego, gdyż bezpłatny dostęp do dokumentacji medycznej uzależniony byłby od tego, czy pacjent wie, że ma możliwość wyboru podstawy żądania uzyskania dostępu do dokumentacji medycznej tj. żądania dostępu na podstawie art. 15 RODO lub art. 28 UPP.
Obecne brzmienie projektowanego przepisu stanowi więc, że nie pobiera się opłat w przypadku udostępnienia dokumentacji medycznej pacjentowi albo jego przedstawicielowi ustawowemu po raz pierwszy, w żądanym zakresie i w sposób określony w art. 27 ust. 1 pkt 2 i 5 oraz w ust. 3 tj.:
- przez sporządzenie wyciągu, odpisu, kopii lub wydruku dokumentacji medycznej,
- na informatycznym nośniku danych,
- przez sporządzenie kopii w formie odwzorowania cyfrowego (skanu).
W tym miejscu trzeba zaznaczyć, że uzyskanie dostępu do dokumentacji medycznej, w którykolwiek ze sposobów określonych w pkt a – c powyżej, będzie wyłączać możliwość uzyskania nieodpłatnego dostępu do takiej dokumentacji w takim samym zakresie.
Ponadto ustawodawca zdecydował się na przyjęcie rozwiązania zgodnie, z którym nieodpłatne uzyskanie dostępu do dokumentacji medycznej przez pacjenta będzie wyłączało możliwość uzyskania bezpłatnego dostępu do takiej dokumentacji przez przedstawiciela ustawowego tego pacjenta (i na odwrót – takie przekazanie następuje zatem tylko raz). Należy również wskazać, że ustawodawca przyznał prawo uzyskania bezpłatnego dostępu do dokumentacji medycznej tylko pacjentowi oraz jego przedstawicielowi ustawowemu.
Po art. 47 dodaje się art. 47a w brzmieniu:
Art. 47a. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe niezbędne do realizacji swoich ustawowych zadań. 2. Rzecznik przetwarza dane osobowe, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w celu ochrony praw pacjentów przy realizacji zadań, o których mowa w art. 47 ust. 1 pkt 1–3a i 7–10. 3. Administratorem danych, o których mowa w ust. 1 i 2, jest Rzecznik. 4. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na: 1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób pisemnie do tego upoważnionych; 2) pisemnym zobowiązaniu się osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy; 3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych. |
Ustawodawca zdecydował się dodać art. 47a ustawy w celu rozwiania wątpliwości co do roli Rzecznika Praw Pacjenta w procesie przetwarzania danych osobowych. Zgodnie z dodanym artykułem może on przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań i w zakresie pozostaje ich administratorem. Ponadto doprecyzowano kwestię zabezpieczeń, jakie powinny być stosowane przez Rzecznika, jako administratora danych osobowych. Zabezpieczenia te powinny polegać przynajmniej na:
- dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób pisemnie do tego upoważnionych;
- pisemnym zobowiązaniu się osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
- regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych.
Zasadniczo jako minimalne standardy powielono tu niektóre rozwiązania zawarte w RODO, jednak doprecyzowując, że osoby dopuszczone do przetwarzania danych osobowych muszą zostać pisemnie do tego upoważnione.
Podsumowanie
Zmiany w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta są bardzo istotne. Rozwiewają wątpliwości co do zasad pobierania opłat za uzyskanie dostępu do dokumentacji medycznej, tym samym pacjent, który nie jest świadomy różnych podstaw prawnych uzyskania do niej dostępu nie ponosi tego negatywnych konsekwencji. Ponadto należy pozytywnie ocenić doprecyzowanie roli Rzecznika Praw Pacjenta jako administratora danych osobowych oraz określenie minimalnego poziomu zabezpieczeń, które mają zapewnić należyty poziom ochrony przetwarzanych przez niego danych.