Jednym z podstawowych założeń unijnego Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) jest zagwarantowanie osobom fizycznym kontroli nad ich danymi osobowymi. Rozporządzenie ustanawia zestaw uprawnień osób, których dane są przetwarzane i jednocześnie narzuca na administratorów nowe obowiązki związane z ich realizacją i ochroną. W artykule prezentujemy krótką charakterystykę najważniejszych praw pacjenta oraz możliwy sposób ich realizacji w systemie Mediporta.

Prawo dostępu do danych osobowych

(RODO, art. 15 ust. 1)

RODO gwarantuje pacjentom prawo do wglądu we własne dane osobowe oraz do uzyskania informacji takich jak: cele przetwarzania, kategorie danych osobowych, planowany okres ich przechowywania (gdy jego określenie jest możliwe), prawach przysługujących osobie w związku z przetwarzaniem danych oraz możliwości wniesienia skargi, informacji o zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu) oraz źródle posiadanych informacji w przypadku gdy dane nie zostały zebrane od osoby, której dotyczą (art. 15 ust. 1).

Powyższe prawo realizowane jest poprzez uzyskanie bezpośredniego dostępu do przetwarzanych danych w postaci ich kopii lub zdalnego dostępu do systemu informatycznego.

Każda placówka medyczna przetwarzając dane osobowe dotyczące stanu zdrowia pacjentów, np. ze względu na prowadzoną dokumentację medyczną, jest administratorem tych danych. Po otrzymaniu odpowiedniego wniosku od pacjenta, placówki są zobligowane do bezpłatnego wykonania pierwszej kopii dokumentów danej osoby, a jej dostarczenie do pacjenta powinno nastąpić nie później niż w ciągu miesiąca. W sytuacji wydłużenia tego okresu placówka ma obowiązek poinformować o późniejszym terminie jej przekazania wraz z podaniem przyczyn, przy czym również musi to nastąpić przed upływem miesiąca. Wniosek w określonej placówce można złożyć drogą elektroniczną lub na piśmie.

Realizacja tego prawa w systemie Mediporta możliwa jest dzięki opcji generowania zbiorczego wydruku wizyt określonego pacjenta, zawierającego dane dotyczące ich przebiegu. Aby wygenerować wydruk:

  1. Przejdź do widoku Pacjenci > Lista i wyszukaj określonego pacjenta, a następnie przy danym pacjencie kliknij przycisk Inne i wybierz opcję Wizyty.
  2. W kolejnym kroku, w polach Data odData do określ zakres dat, dla których pacjent chce uzyskać dane dotyczące wizyt, a następnie przefiltruj dane.
  3. Kliknij przycisk Drukuj, aby wygenerować wydruk / plik z danymi w formacie PDF.

Prawo do sprostowania i uzupełnienia danych osobowych

(RODO, art. 16)

Pacjent ma prawo zażądać od administratora danych osobowych (ADO) niezwłocznego sprostowania swoich danych, w sytuacji, gdy są one nieprawidłowe. Z tym przepisem związane jest również prawo do żądania ich uzupełnienia (jeśli dane osobowe są niekompletne), które jest realizowane po uprzednim przedłożeniu dokumentu poświadczającego tożsamość danej osoby. Administrator zobligowany jest do przetwarzania danych zgodnie z ich celem, dlatego np. w sytuacji, gdy pacjent zażąda uzupełniania bazy danych o informacje, które byłyby w ocenie administratora danych nadmiarowe (w stosunku do celu, w jakim przetwarza on dane osobowe), może on odmówić obowiązku realizacji takiego zadania (art. 16).

Realizacja tego prawa w systemie Mediporta jest realizowana poprzez edycję danych osobowych w kartotece pacjenta. Aby edytować dane osobowe pacjenta:

  1. Przejdź do widoku Pacjenci > Lista i wyszukaj na liście określonego pacjenta.
  2. Następnie kliknij przycisk Edytuj przy danym pacjencie, aby przejść w tryb edycji jego kartoteki.
  3. Wprowadź określone modyfikacje w kartotece, a następnie zapisz zmiany w widoku, klikając przycisk Zapisz.

Prawo do przenoszenia danych

(RODO, art. 20)

Pacjent, którego dane są przetwarzane, może uzyskać od administratora (na żądanie) plik zawierający jego dane w ustrukturyzowanym, stosowanym powszechnie formacie nadającym się do odczytu maszynowego (do formatów takich należą m.in. XML, JSON czy CVS). Ponadto może on wskazać, by dane zostały przekazane bezpośrednio innemu administratorowi (art. 20 ust. 2).

Poniżej opisano czynności związane z eksportem danych osobowych (opcja Eksport danych) i danych dotyczących wizyt pacjenta (opcja Eksport wizyt). Eksport danych w ramach ww. czynności odbywa się w standardzie HL7 CDA wykorzystującym format pliku XML, jako formę zapisu struktury dokumentów klinicznych np. w celu ich wymiany. W ramach procedury przeniesienia danych placówka zobowiązana jest do wykonania obu poniższych czynności.

Aby wyeksportować dane osobowe pacjenta z systemu Mediporta:

  1. Przejdź do widoku Pacjenci > Lista i wyszukaj na liście określonego pacjenta.
  2. Przy określonym pacjencie kliknij przycisk Inne, a następnie wybierz opcję Eksport danych – wówczas nastąpi automatyczny eksport i pobranie danych w formacie XML (w standardzie HL7 CDA).

Aby wyeksportować dane dotyczące wizyt pacjenta z systemu Mediporta:

  1. Przejdź do widoku Pacjenci > Lista i wyszukaj na liście określonego pacjenta.
  2. Przy określonym pacjencie kliknij przycisk Inne, a następnie wybierz opcję Eksport wizyt – wówczas, w systemie nastąpi przygotowanie zarchiwizowanego pliku ZIP zawierającego pliki XML z danymi dotyczącymi poszczególnych wizyt pacjenta (w standardzie HL7 CDA).
  3. Po zakończeniu operacji przygotowania pliku i automatycznym przejściu do widoku Dane > Eksport danych kliknij przycisk Pobierz, aby pobrać określony plik (poszczególnych plików nie trzeba pobierać od razu i można to zrobić w późniejszym czasie, przechodząc do widoku Dane > Eksport danych).

Prawo do usunięcia danych osobowych („prawo do bycia zapomnianym”)

(RODO, art. 9 ust. 2 pkt h)

Prawo pacjenta do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych pacjentów przetwarzanych na podstawie art. 9 ust. 2 pkt h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej.

W przypadku, gdy przetwarzanie danych osobowych pacjenta odbywa się na podstawie zgody, pacjent może zrealizować prawo do bycia zapomnianym w zakresie celu, w którym dane osobowe pacjenta są przetwarzane na podstawie tej zgody, pod warunkiem, że zachodzi przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO. Przykładowo: pacjentowi w każdej chwili przysługuje prawo do rezygnacji z otrzymywania wszelkich informacji marketingowych i handlowych, na które wcześniej wyraził zgodę w placówce.

Oprócz tego należy również pamiętać, że placówki medyczne są zobowiązane, do przechowywania dokumentacji medycznej pacjenta przez okres 20 lat, licząc od końca roku kalendarzowego, w którym zamieszczono ostatni wpis z wyjątkiem:

Zasada ograniczenia celu przetwarzania

(RODO, art. 6)

Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

Cel zbierania danych musi być czytelnie zakomunikowany osobie, której dane dotyczą jeszcze przed faktycznym zebraniem od niej danych osobowych. Danych zebranych w określonym celu nie można przetwarzać w innym celu bez zgody danej osoby.

Obowiązek informacyjny

(RODO, art. 13 i 14)

Rozporządzenie nakłada na administratorów danych osobowych (ADO) obowiązek informowania osób, których danymi operuje ADO, o działaniach związanych z ich przetwarzaniem oraz celowości tych działań. Realizując obowiązek informacyjny, administrator danych powinien zawrzeć w nim m.in. dane kontaktowe (dotyczące swojej tożsamości i siedziby), które w łatwy i jednoznaczny sposób (np. pełna nazwa organizacji) umożliwią jego identyfikację i pozwolą osobie, której dane przetwarza nawiązać z nim kontakt (np. adres e-mail, numer telefonu, strona internetowa). Warto również dodać, że ADO jest zobowiązany do przekazania osobom, których dane są przetwarzane informacji o planowanym przetwarzaniu danych w celu innym niż cel, w którym dane te zostały pierwotnie zebrane (przed przystąpieniem do takiego przetwarzania). Obowiązek informacyjny powinien być sformułowany zrozumiałym językiem i przekazany w zwięzłej i łatwo dostępnej formie (np. w dokumentach przekazywanych pacjentom, na tablicach informacyjnych w placówce itp.).

Realizacja tego prawa w systemie Mediporta możliwa jest dzięki dodatkowemu modułowi Dokumentacja RODO. W ramach modułu użytkownik ma dostęp m.in. do formularza, zawierającego możliwą do edycji, przykładową treść obowiązku informacyjnego z wyszczególnieniem m.in. praw, jakie przysługują osobom, których dane są przetwarzane oraz celów, w ramach których administrator danych osobowych (ADO) będzie je przetwarzał (np. prowadzenie i przechowywanie dokumentacji medycznej). Formularz można wydrukować i przekazać pacjentowi, np. podczas pierwszej wizyty w placówce.

Podsumowanie

Działające na rynku zdrowia placówki medyczne gromadząc i przetwarzając poufne dane pacjentów (dane osobowe i medyczne) w celu świadczenia określonych usług zdrowotnych, muszą być świadome pełnionej przez siebie roli administratora danych osobowych (ADO). Rozporządzenie RODO wprowadza liczne zmiany w zakresie wykorzystywania, przechowywania i przetwarzania tych danych, nakładając na placówki wiele nowych obowiązków. Realizacja wielu z nich stanowi dla poszczególnych podmiotów medycznych ogromne wyzwanie w zakresie wypracowania procedur i zasad dotyczących bezpieczeństwa i ochrony danych osobowych. W obliczu RODO skala działalności podmiotu oraz fakt czy jest to zakład publiczny, czy niepubliczny utraciły znaczenie – każdy z podmiotów, który przetwarza dane osobowe, zobowiązany jest do zadbania o ich bezpieczeństwo i ochronę.

Spółka Mediporta deklaruje ciągłe doskonalenie wytwarzanego oprogramowania zarówno w kontekście realizacji praw pacjenta wynikających z Rozporządzenia Ogólnego o Ochronie Danych Osobowych, jak i zasad oraz rekomendacji branżowych dotyczących ochrony danych osobowych. Warto również podkreślić, że w celu stałego podnoszenia poziomu bezpieczeństwa w systemie Mediporta, Spółka stale monitoruje zalecenia dotyczące RODO, a w szczególności kodeks branżowy przygotowywany przez Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ).

Sprawdź również: