Stanowisko Nr 1/2018/VIII
Okręgowej Rady Lekarskiej w Szczecinie
z dnia 13 czerwca 2018 r.
w przedmiocie uwag do projektu kodeksu branżowego dla sektora medycznego w sprawie RODO
Okręgowa Rada Lekarska w Szczecinie pozytywnie ocenia projektowany kodeks branżowy dla sektora medycznego w sprawie RODO, formułując do niego jednakże kilka uwag krytycznych.
Zgodnie z pkt 4.1.1. projektowanego Kodeksu branżowego, podstawą prawną przetwarzania danych osobowych Pacjentów przez podmioty wykonujące działalność leczniczą są bezpośrednio właściwe przepisy RODO pozostające w związku z przepisami krajowego prawa medycznego. W przypadku realizacji praw wskazanych w art. 13, 14 oraz 15 RODO, Administrator danych w odniesieniu do podstawy prawnej przetwarzania podaje co najmniej przepis RODO i nazwę aktu prawnego na poziomie ustawy, określonego w szczególności w pkt. 4.1.4 i 4.1.5. W ocenie Okręgowej Rady Lekarskiej w Szczecinie w przypadku podstawy prawnej przetwarzania co do zasady za wystarczające należałoby uznać wskazanie właściwego przepisu RODO, a jedynie w przypadku, gdy przepis RODO uzależnia przetwarzanie od istnienia obowiązku prawnego lub szczególnego uprawnienia administratora wynikających z przepisów prawa należałoby podawać również nazwę aktu prawnego z którego uprawnienie lub obowiązek wynika.
W punktach 4.1.1.1. oraz 4.1.1.2 zostały wyodrębnione dwa odrębne cele przetwarzania pierwszy diagnoza medyczna i leczenie, drugi zapewnienie opieki zdrowotnej oraz zarządzanie systemami i usługami opieki zdrowotnej. Tymczasem diagnoza medyczna i leczenie mieści się w pojęciu zapewnienia opieki zdrowotnej. Zapewnienie opieki zdrowotnej polega m.in. na udzielaniu świadczeń zdrowotnych. Świadczenia zdrowotne to z kolei działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania. Jest więc oczywistym, iż świadczenia zdrowotne obejmują swoim zakresem diagnozę medyczną oraz leczenie, a co za tym idzie nie ma konieczności rozdzielania tych dwóch celów przetwarzania danych osobowych.
W związku z projektowaną zmianą ustawy o działalności leczniczej, wprowadzającą regulacje dotyczące zakładania i prowadzenia praktyk zawodowych przez fizjoterapeutów po pkt 4.6.3.4 należałoby również expressis verbis uwzględnić praktyki zawodowe fizjoterapeutów. Powyższe rozwieje wątpliwości, iż również w przypadku fizjoterapeutów PWDL będący administratorem danych nie ma obowiązku zawierania z nimi umów powierzenia przetwarzania danych, o której mowa w art. 28 RODO.
Zgodnie z przekazanym projektem obowiązek informacyjny może być realizowany poprzez:
5.3.2.1. podjęcie co najmniej 2 ze wskazanych poniżej działań podjętych jednocześnie przez PWDL:
6.3.2.1.1. umieszczenie klauzul informacyjnych w dokumentach przekazywanych Pacjentowi (np. umowa o świadczenie usług medycznych); lub
6.3.2.1.2. umieszczenie klauzul informacyjnych na stronie internetowej PWDL lub w systemie informatycznym PWDL dostępnym dla Pacjenta (tzw. Portal Pacjenta); lub
6.3.2.1.3. umieszczenie informacji na tablicach informacyjnych w przestrzeniach ogólnodostępnych, najczęściej wykorzystywanych przez Pacjentów (w szczególności ciągi komunikacyjne lub izba przyjęć lub rejestracja lub poczekalnia); lub
W pierwszej kolejności zwraca się uwagę na błędną numerację podpunktów. Ponadto wskazania wymaga, iż w ocenie Okręgowej Rady Lekarskiej obowiązek informacyjny należałoby uznać za wykonany przez podjęcie któregokolwiek z działań wskazanych w pkt 6.3.2.1.1.- 6.3.2.1.3. Wprowadzanie obowiązku podjęcia aż 2 ze wskazanych działań wydaje się zbędnym obciążeniem PWDL, w szczególności zaś gdy sposobami informowania są klauzule informacyjne umieszczone w dokumentach przekazywanych Pacjentowi oraz tablice informacyjne umieszczone w przestrzeniach ogólnodostępnych.
W oparciu o projektowany punkt 5.5.3. PWDL informuje Pacjenta o możliwości uzyskania nieodpłatnej pierwszej kopii przetwarzanych danych osobowych, w tym danych zawartych w dokumentacji medycznej zgodnie z art. 15 ust. 3 RODO, w sposób wskazany w pkt. 5.3.2. Kodeksu. W tym miejscu należy podkreślić, iż kwestia opłat za udostępnienie dokumentacji medycznej została uregulowana w art. 28 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Przepis ten należy uznać za dozwolone na gruncie RODO ograniczenie od stosowania art. 15 RODO w przypadku udostępniania dokumentacji medycznej. Mając na uwadze powyższe proponuje się wykreślenie z ww. zapisu zwrotu „w tym danych zawartych w dokumentacji medycznej”. Podobnie proponuje się wykreślić zwrot: „w tym kopii danych zawartych w dokumentacji medycznej oraz innych danych osobowych Pacjenta” z punktu 5.5.5.3. kodeksu, zwrot: ” Za kolejne kopie uznaje się w szczególności dokumentację medyczną w zakresie w jakim była uprzednio udostępniona (uprzednio udostępnione i nie zmienione dokumenty dokumentacji medycznej)” z punktu 5.5.8. opiniowanego projektu oraz jego cały punkt 5.5.9.
W ocenie ORL w Szczecinie, punkt 5.7.4 jest sformułowany w niezrozumiały sposób. Proponuje się jego przeredagowanie.
Punkty 5.11.2. i 5.11.3 odnoszą się w swojej treści do punktu 6.11.1.1, podczas gdy powinny odnosić się do punktu 5.11.1.1. Podobny błąd znajduje się w pkt 5.11.4.
Jednocześnie zaznaczenia wymaga, iż przyjęte w projektowanym kodeksie ilości graniczne, których przekroczenie miałoby oznaczać przetwarzanie danych wrażliwych na dużą skalę, są w ocenie ORL w Szczecinie zbyt małe. Realizacja świadczeń przez AOS dla nie więcej niż 600 unikalnych pacjentów w okresie 3 miesięcy oznacza, iż średnio taki AOS mógłby przyjąć tylko 10 unikalnych pacjentów dziennie. Również limit 2750 pacjentów przypisanych do PWDL należy uznać za niedostateczny. Liczby te tak naprawdę równają się z ilością pacjentów przyjmowanych w indywidualnych praktykach lekarskich. Przyjęcie tego rodzaju założeń oznacza, iż każdy podmiot w którym zatrudnionych jest co najmniej 2 lekarzy przetwarza dane na dużą skalę. Z tego rodzaju założeniem nie sposób się zgodzić. W tym miejscu warto również zwrócić uwagę na to, iż jeszcze przed 25 maja 2018 r., na stronie GIODO pojawił się proponowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony zdrowia. W zakresie przetwarzania na dużą skalę w wykazie tym wskazane zostały jedynie szpitale. Stąd też uznając za w pełni uzasadnione wprowadzenie limitów przetwarzania, których przekroczenie oznacza przetwarzanie danych na dużą skalę, zwraca się uwagę na konieczność ich dostosowania do realiów udzielania świadczeń zdrowotnych przez średnie lub małe podmioty lecznicze.
Sekretarz Okręgowej Rady Lekarskiej | Prezes Okręgowej Rady Lekarskiej | |
w Szczecinie | w Szczecinie | |
dr n. med. Grzegorz Czajkowski | dr n. med. Magda Wiśniewska |