Obowiązek rejestracji zbiorów danych osobowych przez podmioty wykonujące działalność leczniczą

Jednym z nich jest obowiązek zgłaszania zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jednakże ustawodawca postanowił zmniejszyć, podmiotom z tzw. sektora medycznego, ilość obowiązków związanych z ochroną danych osobowych i do katalogu zwolnień z obowiązku rejestracji wpisał zwolnienie dotyczące zbiorów danych osób korzystających z ich usług medycznych.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Niestety ta, określona w art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych, przesłanka zwolnienia z obowiązku rejestracji nie definiuje, czym jest usługa medyczna. W związku z czym administratorzy danych mogą mieć problem z dokonaniem oceny, czy prowadzona przez nich działalność jest świadczeniem usług medycznych. Nieobowiązujące już przepisy ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz. U. z 2007 r. Nr 14, poz. 89 ze zm.) w art. 32e określały usługi medyczne jako świadczenia zdrowotne i związane z ich udzielaniem usługi. Z kolei Andrzej Drozd powyższą przesłankę zwolnienia z obowiązku rejestracji wiąże z podmiotami, które zapewniają przetwarzanie danych osobowych wyłącznie przez osoby wykonujące zawody medyczne, z których wykonywaniem wiąże się obowiązek zachowania tajemnicy zawodowej (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wyd. Prawnicze LexisNexis, Warszawa 2004, s. 274). Zgodnie z art. 2 ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2013 r. poz. 217 ze zm.) przez osobę wykonująca zawód medyczny rozumie się osobę uprawnioną na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz osobę legitymującą się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny. Natomiast świadczeniem zdrowotnym wg przepisów tej ustawy są działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania. Z dalszej analizy przepisów tej ustawy można dowiedzieć się, że przez udzielanie świadczeń zdrowotnych należy rozumieć działalność leczniczą. Działalność tę mogą wykonywać podmioty lecznicze (a więc podmioty wymienione w art. 4) oraz lekarz lub pielęgniarka wykonujący zawód w ramach działalności leczniczej - wpisane do rejestru podmiotów wykonujących działalność leczniczą (https://rpwdl.csioz.gov.pl/). Zatem z całą pewnością z omawianej przesłanki zwolnienia z rejestracji zbioru danych mogą skorzystać podmioty wpisane to powyższego rejestru w związku z przetwarzaniem danych osobowych swoich pacjentów. Jednakże nie wszystkie zbiory danych przetwarzanych przez podmioty wykonujące działalność leczniczą dotyczą ich pacjentów i dlatego niektóre z tych zbiorów mogą podlegać obowiązkowi rejestracji. Należy tu przypomnieć, że obowiązku rejestracji nie ma w przypadku zbiorów danych przetwarzanych wyłącznie w formie papierowej lub gdy administrator danych powołał i zgłosił do rejestracji GIODO administratora bezpieczeństwa informacji - o ile zbiory takie nie zawierają danych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych (tzw. danych wrażliwych).

Coraz częściej "dostrzeganym" zbiorem jest zbiór danych dotyczący osób, które pacjenci upoważniają do wglądu w ich dokumentację medyczną, w tym do odbioru ich wyników badań. Wątpliwości może budzić to, czy dane te istotnie stanowią samodzielny zbiór danych, czy też może należy je traktować jako dane przyporządkowane do zbioru pacjentów. Za odrębnością tego zbioru przemawia fakt, że dane osób upoważnionych nie przynależą stricte do dokumentacji medycznej, której zawartość określona została w art. 25 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Ponadto cel przetwarzania danych osób upoważnionych różni się od celu przetwarzania danych w dokumentacji medycznej - nie jest związany z udzielaniem świadczeń zdrowotnych pacjentowi, a służy zabezpieczeniu dokumentacji medycznej poprzez zapewnienie, aby udostępniana była wyłącznie osobom upoważnionym. Należy również zwrócić uwagę na podstawę prawną przetwarzania przez podmioty lecznicze danych osób upoważnionych. Analiza takich zbiorów zarejestrowanych w jawnym rejestrze znajdującym się na stronie internetowej GIODO pokazuje, iż administratorzy danych jako podstawę prawną przetwarzania danych wskazują zgodę osoby, której dane dotyczą. Praktyka taka wydaje się dosyć kontrowersyjna, chociażby z uwagi na wątpliwość, czy zgoda taka, w rozumieniu przepisów ustawy o ochronie danych osobowych, w ogóle jest wyrażana przez osoby upoważnione (należy pamiętać, że zgoda nie może być domniemana) i w jaki sposób jest utrwalana dla celów dowodowych. Tymczasem prawo przetwarzania danych przez podmioty lecznicze w tego typu zbiorach wynika z samej ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Dodatkowo wydaje się, że właściwą podstawę przetwarzania danych w tym przypadku może stanowić art. 23 ust. 1 pkt 5 ustawy o ochronie danych, czyli przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ponadto zbiorami danych osobowych, które podlegają obowiązkowi zgłoszenia do rejestracji przez podmioty wykonujące działalność leczniczą (gdy nie zachodzą ww. przesłanki wyłączające obowiązek rejestracji) są m.in.: zbiory danych dotyczące ewidencjonowania korespondencji, zbiory prowadzone w związku z rozpatrywaniem skarg i wniosków, zbiory monitoringu, a także zbiory danych dotyczące zamówień publicznych.