Przetwarzanie danych osobowych przez PWDL

Bardzo istotną branżą z punku widzenia ochrony danych osobowych, są podmioty wykonujące działalność leczniczą. Z natury rzeczy przetwarzają wiele kategorii danych w tym dane szczególnej kategorii, o których mowa w art. 9 rodo.

Źródła prawa medycznego

Oprócz rodo na przetwarzania danych przez PWDL mają wpływ także inne akty prawne, regulujące tę działalność, w szczególności:

  1. Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej
  2. Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
  3. Ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego
  4. Ustawa z dnia 27 czerwca 1997 r. o służbie medycyny pracy
  5. Ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty
  6. Ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi
  7. Ustawa z dnia 9 marca 2023 r. o badaniach klinicznych produktów leczniczych stosowanych u ludzi
  8. Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania

Działalność regulowana

Wyżej wymienione źródła prawa świadczą o tym że działalność PWDL jest działalnością regulowaną, a wprost o rejestrze mówi m.in. art. 5 udl:

Art. 5. 1. Lekarze, pielęgniarki, fizjoterapeuci i diagności laboratoryjni mogą wykonywać swój zawód w ramach działalności leczniczej na zasadach określonych w ustawie oraz w przepisach odrębnych po wpisaniu do rejestru podmiotów wykonujących działalność leczniczą, o którym mowa w art. 100.

Art. 100. 1. Podmiot, który zamierza wykonywać działalność leczniczą jako podmiot leczniczy, składa organowi prowadzącemu rejestr, o którym mowa w art. 106 ust. 1, wniosek o wpis do rejestru podmiotów wykonujących działalność leczniczą, zwanego dalej „rejestrem” (…)

Zawsze administrator

W związku z powyższym PWDL zawsze działa jako administrator, nawet jeśli jest odbiorcą danych osobowych, które udostępnia mu inny PWDL, jako podwykonawcy. Nie będzie administratorem ani też procesorem lekarz zatrudniony w PWDL. Ogólnie można powiedzieć, że administratorem będzie ten podmiot udzielający świadczeń zdrowotnych, na który przepisy prawa medycznego nakładają obowiązek przechowywania dokumentacji medycznej. Czyli osoba wykonująca zawód medyczny nie będzie mieć statusu na gruncie prawa ochrony danych, jeśli jest zatrudniona (nawet niepracowniczo) w PWDL i w związku z tym pracuje na dokumentacji medycznej przechowywanej przez swojego pracodawcę, pod jego kontrolą.

O tym, że organizacja wykonująca działalność regulowaną, jest administratorem również kiedy zbiera dane jako odbiorca/zleceniobiorca od innego ado, w zakresie procesu stanowiącego przedmiot działalności regulowanej, przesądza art. 4 pkt 7 zd. 2 rodo:

jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

oraz fragment uzasadnienia ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rodo:

Uznano zatem, że jeżeli z przepisów prawa w sposób jasny i nie budzący wątpliwości wynika, kto ustala cele i sposoby przetwarzania, to nie ma potrzeby wskazywania w przepisie expresis verbis, że dany podmiot jest administratorem danych.

Definicja PWDL

Definicję PWDL podaje art. 2 ust. 1 pkt 5 udl:

5) podmiot wykonujący działalność lecznicząpodmiot leczniczy, o którym mowa w art. 4, oraz lekarza, pielęgniarkę, fizjoterapeutę lub diagnostę laboratoryjnego wykonujących zawód w ramach działalności leczniczej jako praktykę zawodową, o której mowa w art. 5

Art. 4. 1. Podmiotami leczniczymi są:

1) przedsiębiorcy w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2023 r. poz. 221 i 641) we wszelkich formach przewidzianych dla wykonywania działalności gospodarczej, jeżeli ustawa nie stanowi inaczej,

2) samodzielne publiczne zakłady opieki zdrowotnej,

3) jednostki budżetowe, w tym państwowe jednostki budżetowe tworzone i nadzorowane przez Ministra Obrony Narodowej, ministra właściwego do spraw wewnętrznych, Ministra Sprawiedliwości lub Szefa Agencji Bezpieczeństwa Wewnętrznego, posiadające w strukturze organizacyjnej ambulatorium, ambulatorium z izbą chorych lub lekarza podstawowej opieki zdrowotnej, pielęgniarkę podstawowej opieki zdrowotnej lub położną podstawowej opieki zdrowotnej w rozumieniu przepisów ustawy z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. z 2022 r. poz. 2527),

4) instytuty badawcze, o których mowa w art. 3 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2022 r. poz. 498),

5) fundacje i stowarzyszenia, których celem statutowym jest wykonywanie zadań w zakresie ochrony zdrowia i których statut dopuszcza prowadzenie działalności leczniczej,

5a) posiadające osobowość prawną jednostki organizacyjne stowarzyszeń, o których mowa w pkt 5,

6) osoby prawne i jednostki organizacyjne działające na podstawie przepisów o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej, o stosunku Państwa do innych kościołów i związków wyznaniowych oraz o gwarancjach wolności sumienia i wyznania,

7) jednostki wojskowe – w zakresie, w jakim wykonują działalność leczniczą.

Art. 5. 1. Lekarze, pielęgniarki, fizjoterapeuci i diagności laboratoryjni mogą wykonywać swój zawód w ramach działalności leczniczej na zasadach określonych w ustawie oraz w przepisach odrębnych po wpisaniu do rejestru podmiotów wykonujących działalność leczniczą, o którym mowa w art. 100.

2. Działalność lecznicza:

1) lekarzy może być wykonywana w formie:

a) jednoosobowej działalności gospodarczej jako indywidualna praktyka lekarska, indywidualna praktyka lekarska wyłącznie w miejscu wezwania, indywidualna specjalistyczna praktyka lekarska, indywidualna specjalistyczna praktyka lekarska wyłącznie w miejscu wezwania, indywidualna praktyka lekarska wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład lub indywidualna specjalistyczna praktyka lekarska wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład,

b) spółki cywilnej, spółki jawnej albo spółki partnerskiej jako grupowa praktyka lekarska, diagnozy medycznej i leczenia przetwarzanie danych w tym celu odbywa się co do zasady na podstawie art. 9 ust. 2 lit. h) RODO w związku z art. 3 ust. 1 ustawy o działalności leczniczej oraz art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta; (…)

Dokumentacja medyczna

Z kolei kwestie dokumentacji medycznej reguluje art. 23 i n. upp. Art. 26 upp reguluje zagadnienie dostępu do dokumentacji medycznej także innych podmiotów niż pacjent, również bez zgody pacjenta, np. innemu podmiotowi leczniczemu w celu zachowania ciągłości leczenia.

Bezpieczeństwo, dyrektywa NIS, uksc, KRI

Jeśli chodzi o zapewnienie bezpieczeństwa danych osobowych, zastosowanie ma art. 32 rodo. Tym niemniej należy zwrócić uwagę, że Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, stanowiąca implementację dyrektywy NIS (Network and Information Systems), zalicza podmioty ochrony zdrowia, w tym podmioty lecznicze o których mowa w art. 4 ust. 1 udl, jeżeli organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu ich za operatora usługi kluczowej (art. 5 ust. 1 uksc), do tzw. operatorów kluczowych i nakłada na nie obowiązek zabezpieczenia ciągłości świadczenia usług kluczowych. Co prawda celem dyrektywy NIS (art. 14 ust. 2 i 16 ust. 2) i ustawy, która ją implementuje nie jest ochrona danych osobowych, ale pośrednio wpływają na bezpieczeństwo danych osobowych. Zgodnie z art. 15 ust. 4 NIS:

4. Obsługując incydenty, które doprowadziły do naruszeń danych osobowych, właściwy organ działa w ścisłej współpracy z organami ochrony danych.

Celem NIS jest zapewnienie ciągłości (bezpieczeństwa) usług kluczowych i cyfrowych a na wyższym poziomie ogólności poprawa funkcjonowania rynku wewnętrznego, bezpieczeństwo publiczne (motyw 31, motyw 27). Żeby ten cel osiągnąć funkcjonuje bardziej szczegółowy cel pośredni: zapewnienie bezpieczeństwa sieci i systemów informatycznych (motyw 74). Celem rodo jest zapewnienie bezpieczeństwa danych osobowych, czyli zapewnienie bezpieczeństwa osób, których dane dotyczą pod względem ich autonomii informacyjnej. Żeby ten cel osiągnąć również funkcjonuje bardziej szczegółowy cel pośredni: zapewnienie bezpieczeństwa przetwarzania (art. 32 rodo) przez m. in. zapewnienie bezpieczeństwa sieci i systemów informatycznych (motyw 49 rodo), jeśli przetwarzanie ma postać elektroniczną. Także zarówno rodo jak NIS, chociaż na poziomie ogólniejszym mają inne cele, to jeden z celów szczegółowych mają identyczny: zapewnienie bezpieczeństwa sieci i systemów informatycznych. I osiągnięcie tego celu szczegółowego jest wymogiem zarówno rodo jak i NIS.

Natomiast podobnie jak rodo, NIS (art. 19) i uksc nie narzucają konkretnych środków zaradczych, pozostawiając to operatorowi, analizie ryzyka (motyw 53, art. 14 ust. 1, art. 16 ust. 1 NIS) i zachęcając do stosowania porad i wytycznych ENISY, nie przesądzając o konkretnej metodologii systemu zarządzania bezpieczeństwem informacji. Natomiast bardziej szczegółowo uksc wypowiada się co do warunków jakie mają spełniać audytorzy tego systemu. Zgodnie z art. 15 uksc audyt (co najmniej raz na 2 lata) może wykonać:

  • jednostka akredytowana,
  • co najmniej 2 audytorów którzy legitymują się certyfikatem lub 3 letnią praktyką (ew. 2 letnią i dyplomem),
  • sektorowy zespół cyberbezpieczeństwa.

Dodatkowo jeśli podmiot leczniczy realizuje zadanie publicznie na podstawie kontraktu z NFZ, to stosuje się do niego również Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (…), wydane na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, które również przenika podejście oparte na ryzyku (par. 20). Tutaj głównym celem zapewnienia bezpieczeństwa sieci i systemów jest zapewnienie obywatelom oraz przedsiębiorcom dostępności usług świadczonych przez podmioty realizujące zadania publiczne w postaci elektronicznej (par. 3 ust. 1 lit. a KRI). W przeciwieństwie do uksc, według KRI audyt ma być co najmniej raz w roku, za to nie ma formalnych wymogów co do kwalifikacji audytorów (par. 20 ust. 2 pkt 14 KRI).

Czyli niezależnie jakim celom służy sieć i system informatyczny, żeby te cele były zabezpieczone sama sieć i system muszą być bezpieczne i tego bezpieczeństwa wymagają różne akty prawne.

Procesy specyficzne

Jeśli chodzi o procesy jakie występują w PWDL, to oprócz procesów typowych dla każdego podmiotu, który funkcjonuje w obrocie, takich jak procesy w HR czy księgowości, będą występowały procesy specyficzne dla tej branży, które ogólnie można zakwalifikować jako działalność lecznicza, czyli zgodnie z art. 3 udl promocja zdrowia i udzielanie świadczeń zdrowotnych a także działalność dydaktyczna i badawcza. Oczywiście procesy te trzeba wydzielić bardziej szczegółowo, mając na względnie czym jest proces, a można zaproponować następującą definicję procesu:

Definicja procesu

Przez proces (czynność przetwarzania) rozumiemy operację lub częściej ciąg operacji przetwarzania (w różnych postaciach począwszy od zebrania) danych osobowych, mający miejsce w organizacji, przeprowadzany ze względu na określony cel, w szczególności biznesowy, planowany i powtarzalny, wykazujący się odrębnościami w stosunku do innych procesów, na podstawie różnych kryteriów, w szczególności:

  • kategoria danych,
  • kategoria podmiotów danych,
  • zakres danych,
  • główna podstawa prawna przetwarzania,
  • cel,
  • kto ma dostęp do danych,
  • okres retencji,

na tyle istotnymi z punktu widzenia oceny prawnej, że wymaga osobnego odnotowania i nazwania. Zwykle będzie pokrywał się z procesem biznesowym według teorii zarządzania. Przykładowo:

  • rekrutacja
  • skierowanie na badania wstępne (medycyna pracy)
  • zatrudnienie
  • prowadzenie rachunkowości
  • monitoring wizyjny
  • zawarcie i wykonanie umowy cywilnoprawnej, itd.

Przykładowe procesy specyficzne dla PWDL podaje na s. 83 Kodeks postępowania dla sektora ochrony zdrowia, tj.:

  • profilaktyki zdrowotnej;
  • medycyny pracy, w tym oceny zdolności pracownika do pracy;
  • diagnozy medycznej i leczenia;
  • zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej – opieka szpitalna;
  • zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej – opieka ambulatoryjna;
  • zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego;
  • opieki duszpasterskiej
  • laboratorium
  • zakładu diagnostyki obrazowej
  • przetwarzanie danych w celach prowadzenia Badań klinicznych;

Kodeks ten stanowi przydatny dokument dla podmiotów leczniczych, które chcą wdrożyć u siebie rodo, nawet jeśli nie zamierzają być uczestnikami kodeksu, zgodnie z art. 40 rodo, stanowi bowiem materiał pomocniczy, który zwraca uwagę na specyficzne zagadnienia występujące w danej branży.

„Umowa udostępnienia”

Wdrażając rodo w służbie zdrowia warto również sięgnąć do opracowania „Dane medyczne w pracy lekarza – stan obecny i pożądane zmiany”. Dokument zawiera wiele pożytecznych informacji z obszaru prawa medycznego i ochrony danych. Przedstawia aktualny stan prawny oraz uwagi dotyczące oczekiwanych zmian. Chociaż dostrzegłem tam też kwestię kontrowersyjną, na s. 109 jest postulat stworzenia standardów udostępnienia danych w postaci wytycznych czy nawet wzorów umów udostępnienia:

Bardzo ważnym tematem jest także udostępnianie danych osobowych (w relacji od administratora do administratora), które w przypadku ochrony zdrowia występuje stosunkowo często. Obecnie obowiązuje przepisy nie narzucają określonych standardów takiego udostępniania, nie ma wymogu zawierania umowy, który regulowałaby ten proces, choć nierzadko ma on dużo większe znaczenie dla ochrony danych osobowych niż powierzenie ich przetwarzania. Zasadne byłoby w związku z tym przyjęcie pod patronatem PUODO wytycznych w tym zakresie, w tym nawet gotowych do wykorzystania wzorów umów.

Akurat forma wzorca „umowy udostępnienia” chyba nie jest najlepszym pomysłem. Wprawdzie można czasem w praktyce spotkać dokumenty nazywane umowami udostępnienia, jednak nie wydaje się żeby taki dokument mógł wywoływać jakieś skutki prawne, na pewno nie na gruncie prawa ochrony danych osobowych, ewentualnie ma walor informacyjny. Udostępnienie jest specyficzną postacią operacji ujawnienia danych osobowych, która występuje między dwoma administratorami i musi mieć podstawę legalizacyjną inną niż umowa powierzenia. Taką podstawą może być umowa ale pod warunkiem że stroną tej umowy albo przynajmniej podmiotem stosunku prawnego przez tę umowę stworzonego będzie osoba, której dane dotyczą przez przystąpienie i ta czynność prawna nie powinna nazywać się umową udostępnienia, ponieważ taka nazwa mylnie sugeruje, że ado może umówić się z odbiorcą co do przekazania danych bez zgody osoby, której dane dotyczą, na podstawie instytucji prawa ochrony danych zwanej „umową udostępnienia”, a coś takiego nie istnieje. Podstawą może też być zgoda osoby, której dane dotyczą, która zapewni ważność np. umowy sprzedaży bazy danych zawierającej dane osobowe. Krótko mówiąc udostępnienie jest specyficzną czynnością faktyczną (operacją, nie procesem) prawa ochrony danych osobowych, która musi mieć podstawę prawną z art. 6 ust. 1 rodo a jedną z takich podstaw może być czynność prawna (umowa). Generalnie można powiedzieć, że prawo ochrony danych osobowych, które m.in. reguluje obowiązki podmiotów, które przetwarzają dane osobowe, ma w przeważającej mierze charakter prawa publicznego, którego normy są bezwzględnie wiążące i nie stwarzają możliwości żadnej umownej modyfikacji. Jedyny sens umowy udostępnienia jest taki, że pomaga w realizacji zasady rozliczalności, ale właściwym instrumentem do tego jest rejestr udostępnień, a nie „umowa udostępnienia”.

Oczywiście stworzenie wytycznych co do przedmiotowego zagadnienia jest jak najbardziej wskazane, ponieważ prawo medyczne jest skomplikowaną materią, a to znajomość tej gałęzi prawa warunkuje prawidłowe stosowanie rodo, ponieważ to czy i w jakim zakresie można wykorzystywać dane medyczne wynika właśnie z prawa medycznego, które w związku z rodo tworzy normy prawne na gruncie prawa ochrony danych.