Prowadzenie dokumentacji medycznej
Podstawowym narzędziem pracy każdego pracownika ochrony zdrowia jest dokumentacja medyczna. Właściwie prowadzona jest nieocenionym źródłem wiedzy o pacjencie, a także zapewnia należytą ochronę jego życia i zdrowia. Ten sam stopień ochrony powinien być przejawiany także w zakresie danych osobowych pacjenta, umieszczanych w dokumentacji.
Zdecydowana większość placówek medycznych decyduje się nie wymyślać koła na nowo: korzysta z gotowych papierowych druków (lub elektronicznych wzorów plików), pozwalających na prowadzenie historii zdrowia i choroby oraz innych dokumentów w sposób zgodny z przepisami prawa. Jak wiemy, przepisy te zmieniają się, a wynikające z nich zmiany nie zawsze znajdują odzwierciedlenie w treści dokumentów.
Jak weryfikować zakres danych w dokumentacji medycznej?
Z tego względu placówki medyczne powinny okresowo dokonywać weryfikacji prowadzonej przez siebie dokumentacji medycznej pod kątem tego, jakie dane osobowe są w niej gromadzone i czy zakres ten odpowiada przepisom prawa. Pomocnym narzędziem jest – także w tym zakresie – Kodeks postępowania, dotyczący ochrony danych osobowych, przetwarzanych w małych placówkach medycznych (kodeks RODO), przygotowany przez Federację Porozumienie Zielonogórskie.
Na stronach 24-25 Kodeksu RODO znajduje się tabela, wskazująca, jakie – w świetle aktualnie obowiązujących przepisów – dane osobowe pacjenta i innych osób powinny być gromadzone w określonych dokumentach.
Przykładowo w dokumentacji medycznej indywidualnej powinny być odnotowane następujące dane pacjenta:
- imię (imiona),
- nazwisko,
- numer PESEL,
- adres zamieszkania,
- numer i rodzaj ewentualnego dokumentu potwierdzającego szczególne prawo do świadczeń.
Jeżeli dany pacjent nie ma nadanego numeru PESEL, w zamian odnotowuje się jego datę urodzenia, płeć oraz numer i rodzaj dokumentu potwierdzającego tożsamość (w tym nazwa dokumentu i nazwa kraju, w którym dokument został wystawiony).
Oznacza to, że w najczęstszej sytuacji, tj. gdy pacjent ma nadany numer PESEL, nie jest już konieczne odnotowywanie informacji o płci i dacie urodzenia pacjenta (takie dane są bowiem zawarte w numerze PESEL). Zmianę tę przyniosło najnowsze rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Rozporządzenie), które weszło w życie niemal 3 lata temu (15 kwietnia 2020 r.).
Dane kontaktowe pacjenta
Inną, często spotykaną praktyką, jest odnotowywanie w historii zdrowia i choroby danych kontaktowych pacjenta w postaci jego numeru telefonu lub adresu e-mail. Takie działanie nie znajduje uzasadnienia w przepisach prawa; jedynie w deklaracji wyboru świadczeniodawcy, udzielającego świadczeń z zakresu POZ, pacjent może podjąć decyzję o udostępnieniu placówce medycznej swoich danych kontaktowych.
Dane osoby upoważnionej
Każdy pacjent może – jeśli chce – udzielić konkretnej osobie lub osobom dostępu do swoich informacji lub do swojej dokumentacji medycznej. Wiele placówek decyduje się wówczas zbierać numery PESEL lub numery dokumentów tożsamości tych osób, wychodząc z założenia, że muszą mieć te informacje, by poprawnie zidentyfikować ewentualnych wnioskodawców.
O ile założenie to jest słuszne, o tyle jego realizacja pozostawia wiele do życzenia pod kątem RODO. Używanie tak „drażliwych” danych osobowych do weryfikacji tożsamości osób upoważnionych wykracza poza ramy wskazane przepisami i zasadą minimalizacji.
Z tego względu wystarczające będzie odebranie (na podstawie informacji dobrowolnie przekazanej przez pacjenta) informacji o dacie urodzenia osoby upoważnionej. W ten sposób będzie możliwe odróżnienie jednego Jana Wiśniewskiego od drugiego i upewnienie się, że dane medyczne trafią w ręce osoby wybranej przez pacjenta.
W mojej dokumentacji medycznej są złe dane osobowe – co robić, jak żyć?
Usuwanie zbędnych danych z papierowej dokumentacji medycznej ma odbywać się w trybie opisanym w § 4 ust 6 Rozporządzenia: „Wpis w dokumentacji w postaci papierowej nie może być z niej usunięty, a jeżeli został dokonany błędnie, skreśla się go i zamieszcza adnotację o przyczynie błędu oraz datę i oznaczenie osoby dokonującej adnotacji (…)”. Jako przyczynę błędu należy wskazać „Błędny zakres danych osobowych”.
Autor: Adam Klimowski
Kodeks RODO Federacji Porozumienie Zielonogórskie dla ochrony zdrowia powstał po to, by doprecyzować zawiłe przepisy związane z ochroną danych osobowych w placówkach medycznych.
Przystąpienie do Kodeksu to kolejny krok do bezpieczeństwa organizacji w obszarze ochrony danych osobowych.
Zapoznaj się z Kodeksem po wejściu na platformę www.kodeksrodo.pl.
Niewątpliwą korzyścią ze stosowania Kodeksu jest swoista ochrona w kontekście ewentualnych kar pieniężnych w związku z naruszeniem przepisów.