Prawo dostępu do danych osobowych, a prawo dostępu do dokumentacji medycznej

Urząd Ochrony Danych Osobowych w opublikowanym w styczniu br. rocznym planie kontroli sektorowych na 2019 rok zapowiedział kontrole w podmiotach udzielających świadczeń zdrowotnych. Będą one przeprowadzane w zakresie przetwarzania danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.

Dlatego też warto przyjrzeć się tej kwestii bliżej i przeanalizować podobieństwa i różnice pomiędzy prawem dostępu do danych osobowych oraz prawem dostępu do dokumentacji medycznej, które choć z pozoru oznaczają to samo, to w rzeczywistości stanowią dwa odmienne uprawnienia, wynikające z różnych aktów prawnych, mają różny zakres podmiotowy i przedmiotowy, służą innym celom oraz mogą być realizowane na różne sposoby.

Prawo dostępu do danych osobowych, a prawo dostępu do dokumentacji medycznej

Prawo dostępu do danych osobowych zgodnie z art. 15 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), to uprawnienie dające możliwość uzyskania od administratora danych osobowych potwierdzenia, czy przetwarzane są dane osobowe dotyczące osoby zgłaszającej żądanie. Jeżeli ma to miejsce, osoba zgłaszająca żądanie jest uprawniona do uzyskania dostępu do nich oraz do uzyskania informacji o okolicznościach przetwarzania danych tj. informacji wskazanych w ww. przepisie, m.in. o celach przetwarzania, o odbiorcach danych i o prawach przysługujących osobie zgłaszającej żądanie, a ponadto uzyskania kopii danych osobowych. Prawo dostępu stanowi więc formę kontroli przetwarzania danych osobowych przez administratora.

Ustanowione natomiast w art. 23 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta prawo dostępu do dokumentacji medycznej stanowi element prawa pacjenta do informacji o swoim stanie zdrowia. Stanowi więc formę kontroli procesu leczenia.

Zgodnie z powyższym, uprawnienia te, choć mają wiele wspólnego, różną się zakresem oraz celem. Osoba, która składa wniosek o dostęp do danych osobowych na podstawie art. 15 RODO ma możliwość uzyskania informacji, niewchodzących w zakres prawa dostępu do dokumentacji medycznej np. o celach przetwarzania, czy też o odbiorcach jej danych osobowych. I odwrotnie – osoba, która składa wniosek o dostęp do dokumentacji medycznej na podstawie art. 23 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta ma prawo np. żądania udostępnienia, za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, zdjęć rentgenowskich wykonanych na kliszy, czego nie może żądać na podstawie art. 15 RODO.

 Komu przysługują poszczególne prawa?

Każdej osobie fizycznej przysługuje prawo dostępu do danych osobowych jej dotyczących, bez względu na wiek, miejsce zamieszkania, czy obywatelstwo.

Zgodnie z art. 4 pkt 1 RODO osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. Prawo to może być realizowane przez przedstawiciela ustawowego osoby, której dane dotyczą, a także jej pełnomocnika. Wydaje się, że nie ma przeciwwskazań by, za pośrednictwem opiekuna lub kuratora, z prawa tego korzystały również osoby ubezwłasnowolnione.

W tym miejscu warto zaznaczyć, że RODO nie ma zastosowania do przetwarzania danych osobowych dotyczących osób prawnych oraz osób zmarłych. Dlatego też legitymacja czynna realizacji tego prawa przysługuje jedynie osobom fizycznym, których dane dotyczą.

Co naturalne, zakres podmiotów uprawnionych do korzystania z prawa dostępu do dokumentacji medycznej różni się od zakresu podmiotów, którym przysługuje prawo dostępu do danych osobowych. Zgodnie z art. 26 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta prawo to przysługuje dwóm grupom podmiotów:

1. pacjentowi, przedstawicielowi ustawowemu pacjenta oraz osobie upoważnionej przez pacjenta,
2. podmiotom wskazanym w art. 26 ust. 3 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta m.in. podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych, organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem, czy też zakładom ubezpieczeń (za zgodą pacjenta).

Podobnie jak w przypadku prawa dostępu do danych osobowych, prawo to przysługuje pacjentowi bez względu na jego wiek, a ponadto nie można odmówić dostępu do dokumentacji medycznej pacjentowi ubezwłasnowolnionemu. Co więcej, pacjent może upoważnić konkretną osobę do dostępu do jego dokumentacji medycznej. Ustawa nie przewiduje żadnej szczególnej formy takiego upoważnienia, zatem pacjent może to zrobić zarówno ustnie jak i pisemnie.

Zakres prawa

Podstawową informacją, do której otrzymania uprawniona jest każda osoba, jest potwierdzenie przez administratora, że przetwarza on dane osobowe jej dotyczące. Jeżeli administrator przetwarza dane dotyczące osoby zgłaszającej wniosek, ma obowiązek na żądanie tej osoby umożliwić jej dostęp do nich, bez względu na ich rodzaj. Oznacza to, że osoba ma prawo dostępu do wszelkich danych osobowych jej dotyczących, a więc zarówno danych osobowych zwykłych, o których mowa w art. 4 pkt 1 RODO, jak i danych osobowych wrażliwych, o których mowa w art. 9 ust. 1 RODO. Dodatkowo osoba korzystająca z prawa dostępu do danych osobowych ma również prawo do uzyskania szeregu innych informacji, o których mowa w art. 15 ust. 1 RODO nt. przetwarzania jej danych przez administratora.

O ile zidentyfikowanie pojęcia danych osobowych nie jest problematyczne, gdyż zostało zdefiniowane, to pojęcie dokumentacji medycznej, do której osoba ma prawo żądać dostępu może przysporzyć trudności. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta nie definiuje pojęcia dokumentacji medycznej, a Ustawa o działalności leczniczej definiuje je przez odesłanie do Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Pojęcie dokumentacji medycznej definiowała nieobowiązująca już Ustawa o zakładach opieki zdrowotnej zgodnie, z którą dokumentacją medyczną były dane i informacje medyczne odnoszące się do stanu zdrowia pacjenta lub udzielonych mu w zakładzie opieki zdrowotnej świadczeń zdrowotnych. Dlatego też, oprócz podparcia się nieobowiązującą już regulacją, pomocny może okazać się aktualny przepis wskazujący minimalny zakres dokumentacji medycznej. W myśl art. 25 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna zawiera, co najmniej:

1. oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości (nazwisko i imię (imiona); datę urodzenia; oznaczenie płci; adres miejsca zamieszkania; numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość; w przypadku, gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania),
2. oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych,
3. opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych,
4. datę sporządzenia.

Zgodnie z powyższym, należy wskazać, że zakresy obu praw znacznie się pokrywają. Osoba zgłaszająca żądanie dostępu do danych osobowych, w pewnym zakresie otrzyma informacje analogiczne do tych, jakie otrzymałaby zgłaszając żądanie udostępnienia dokumentacji medycznej. Potwierdza to również motyw 35 RODO, który wskazuje, że „do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 9); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.”

Należy również zauważyć, że udostępnienie kopii danych osobowych zawartych w dokumentacji medycznej na podstawie art. 15 ust. 3 RODO, nie jest równoznaczne z uzyskaniem kopii dokumentacji medycznej, o której mowa w art. 27 ust 1 pkt 2 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Osoba zgłaszająca żądanie udostępnienia kopii danych na podstawie RODO musi mieć na uwadze, że może nie otrzymać swoich danych w formie i strukturze właściwej dla sporządzonej przez dany podmiot dokumentacji medycznej. Oznacza to, że administrator może udostępnić kopię (tj. kserokopię) lub odpis albo udostępnić samą treści danych. W związku z powyższym wnioskodawca nie ma prawa żądania kopii nośnika, na którym dane osobowe się znajdują. Jednak w praktyce często będzie się to zdarzać, gdyż dane osobowe są w tym przypadku ściśle związane z tym nośnikiem i jest to najprostszy i najszybszy sposób ich przekazania.

Kolejną kwestią, na którą należy zwrócić uwagę przy udostępnianiu kopii danych osobowych na podstawie RODO jest zakres danych podlegających przekazaniu.

Zgodnie ze stanowiskiem wyrażonym przez Prezesa Urzędu Ochrony Danych Osobowych, administrator danych realizując to prawo nie ma obowiązku udostępniania informacji, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą osoby zgłaszającej żądanie. Jednakże, biorąc pod uwagę jak szeroka jest definicja danych osobowych sformułowana w tym przepisie – dane osobowe stanowią wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – wydaje się, że wszystkie informacje zawarte w dokumentacji medycznej będą stanowiły dane osobowe.

 W jaki sposób zgłosić żądanie?

Zarówno RODO jak i Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta nie precyzuje formy, w jakiej żądanie ma zostać wniesione. W przypadku realizacji każdego z praw wydaje się, że forma zgłoszenia żądania może być dowolna np. ustna, pisemna, elektroniczna, a ponadto do złożenia wniosku mogą zostać wykorzystane różne środki komunikacji takie jak telefon, czy też poczta elektroniczna. Administrator danych osobowych pamiętać musi, że zobowiązany jest wykazać przestrzeganie przepisów RODO (zasada rozliczalności) – powinien być w stanie wykazać, że otrzymał zgłoszenie oraz je rozpatrzył.

Warto podkreślić, że w przypadku realizacji obu praw istotne jest ustalenie, przez podmiot realizujący żądanie, tożsamości wnioskodawcy, aby uniknąć udostępnienia danych osobie nieupoważnionej. Stosowna procedura powinna określać sposób weryfikacji tożsamości zgłaszającego żądanie za pomocą adekwatnych środków. Oznacza to, że administrator nie powinien np. żądać przesłania skanu dowodu osobistego lub innego dokumentu potwierdzającego tożsamość. Weryfikacja tożsamości może zostać dokonana np. przez zadanie osobie dodatkowych pytań, dotyczących już posiadanych o niej informacji, które potwierdzą jej tożsamość.

W jaki sposób prawo jest realizowane?

RODO nie odpowiada na pytanie, w jaki sposób administrator powinien realizować prawo dostępu do danych osobowych. Wydaje się, że prawo to realizowane byłoby najpełniej poprzez umożliwienie faktycznego wglądu do danych osobowych i zapoznania się z ich treścią. Oznaczałoby to możliwość zetknięcia się z nośnikiem przetwarzanych przez administratora danych osobowych. Jednakże w praktyce często nie będzie to możliwe. Dlatego też w celu określenia istoty analizowanego prawa osoby można odwołać się do motywu 63 RODO zgodnie, z którym administrator w miarę możliwości powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych. Oznacza to, że uprawnienie to sprowadza się głównie do zapewnienia osobie, której dane dotyczą dostępu do treści swoich danych osobowych.

Ponadto art. 15 ust. 3 RODO wskazuje na dopuszczalność uzyskania kopii danych, jako na jeden ze sposobów realizacji tytułowego dostępu do danych. RODO niestety nie wskazuje, jak należy rozumieć pojęcie „kopia danych” i co tę kopię stanowi, jednakże chodzić tu powinno o odwzorowanie (odtworzenie) zawartości takiej dokumentacji. Dlatego też należy przypuszczać, że dostarczenie przez administratora kopii danych osobie, której dane dotyczą może nastąpić w różnych formach np. w postaci kserokopii dokumentów, wydruku z systemu informatycznego, zapewnienia osobie dostępu do danych poprzez system elektroniczny zapewniający możliwość pobrania kopii danych. Tak więc formę dostarczenia kopii danych może determinować ilość przetwarzanych danych, sposób przetwarzania danych przez administratora, czy też nośnik danych osobowych.

Inaczej realizowane jest prawo dostępu do dokumentacji medycznej. Ustawa wprost wskazuje sposoby jej udostępniania. Zgodnie z art. 27 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, dokumentacja medyczna jest udostępniana:

1. do wglądu, w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych, z wyłączeniem medycznych czynności ratunkowych, albo w siedzibie podmiotu udzielającego świadczeń zdrowotnych, z zapewnieniem pacjentowi lub innym uprawnionym organom lub podmiotom możliwości sporządzenia notatek lub zdjęć,
2. przez sporządzenie jej wyciągu, odpisu, kopii lub wydruku,
3. przez wydanie oryginału za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, na żądanie organów władzy publicznej albo sądów powszechnych, a także w przypadku, gdy zwłoka w wydaniu dokumentacji mogłaby spowodować zagrożenie życia lub zdrowia pacjenta,
4. za pośrednictwem środków komunikacji elektronicznej,
5. na informatycznym nośniku danych.

Zgodnie z ust. 2 ww. przepisu, zdjęcia rentgenowskie wykonane na kliszy, przechowywane przez podmiot udzielający świadczeń zdrowotnych, są udostępniane za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu. Natomiast ust. 3 tego samego przepisu stanowi, że dokumentacja medyczna prowadzona w postaci papierowej może być udostępniona przez sporządzenie kopii w formie odwzorowania cyfrowego (skanu) i przekazana w sposób określony w pkt 4 i 5 powyżej, na żądanie pacjenta lub innych uprawnionych organów lub podmiotów, jeżeli przewiduje to regulamin organizacyjny podmiotu udzielającego świadczeń zdrowotnych.

Opłaty

Unijny ustawodawca przewidział możliwość pobierania opłaty od osób, które realizują swoje prawo do uzyskania kopii danych osobowych. W art. 15 ust. 3 RODO ustanowione zostały następujące zasady:

1. opłata nie może być nałożona w odniesieniu do pierwszej kopii danych,
2. żądanie wniesienia opłaty ma charakter fakultatywny,
3. wysokość opłaty ma być rozsądna i ma wynikać z kosztów administracyjnych.

Kwestia pobierania opłat za udostępnienie dokumentacji medycznej była uregulowana inaczej przez polskiego ustawodawcę, który określił górny limit opłat, jakie mogą być pobierane w przypadku udostępnienia kopii dokumentacji medycznej, a także jej wyciągów oraz nośników elektronicznych. Zgodnie z art. 28 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych mógł każdorazowo pobrać opłatę za udostępnienie kopii dokumentacji medycznej. Uległo to zmianie przez wprowadzenie zmian w art. 28 ust. 2a w ww. ustawie, ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Polski ustawodawca nadał nowe brzmienie art. 28 ust. 2a z uwagi na wątpliwości dotyczące wykładni przepisów RODO w zakresie dostępu do dokumentacji medycznej. Wątpliwości te pojawiły z uwagi na wydanie przez Prezesa Urzędu Ochrony Danych Osobowych oraz Rzecznika Praw Pacjenta sprzecznych stanowisk w tym zakresie. W związku z tym uprawnienia, które wynikają z RODO oraz z przepisów prawa krajowego zostały ujednolicone, gdyż bezpłatny dostęp do dokumentacji medycznej uzależniony byłby od tego, czy pacjent wie, że ma możliwość wyboru podstawy żądania uzyskania dostępu do dokumentacji medycznej tj. żądania dostępu na podstawie art. 15 RODO lub art. 28 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Zgodnie z obecnym brzmieniem przepisów, nie pobiera się opłat w przypadku udostępnienia dokumentacji medycznej pacjentowi albo jego przedstawicielowi ustawowemu po raz pierwszy, w żądanym zakresie i w sposób określony w art. 27 ust. 1 pkt 2 i 5 oraz w ust. 3 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Termin realizacji prawa

Warto również zwrócić uwagę na to, że terminy realizacji obu praw są różne. Osoba zgłaszająca żądanie dostępu do danych osobowych powinna spodziewać się, że administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udzieli osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. Administrator ma prawo w sytuacjach określonych w art. 12 ust. 3 RODO przedłużyć ten termin o kolejne dwa miesiące informując jednak osobę o przedłużeniu terminu i jego przyczynach. Natomiast realizacja prawa dostępu do dokumentacji medycznej powinna nastąpić bez zbędnej zwłoki.

Które prawo realizować?

Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, osoba zgłaszająca żądanie (czy to realizacji prawa dostępu do danych osobowych, czy też dostępu do dokumentacji medycznej) może wskazać, z którego uprawnienia chce skorzystać. Jeżeli jednak osoba, we wniosku nie wskaże, że swoje żądanie zgłasza na podstawie art. 15 RODO, to udostępnienie danych przez podmiot udzielający świadczeń zdrowotnych powinno nastąpić zgodnie z przepisami Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.