Wiele firm prywatnych ma problem ze spełnieniem wszystkich wymogów stawianych przez RODO. Szpitale zaczynają w coraz większym stopniu polegać na nowych technologiach, ale przed nami jeszcze daleka droga do spełnienia standardów bezpieczeństwa informatycznego. Niestety to właśnie w ośrodkach ochrony zdrowia przechowywane są najbardziej wrażliwe dane osobowe. Podwyższenie stopnia zabezpieczeń wiąże się jednak z wieloma dodatkowymi kosztami.

Problemów związanych z ochroną danych osobowych pojawia się parę. Niestety, społeczeństwo bardziej świadome staje się coraz bardziej roszczeniowe. Znalazłam ciekawy artykuł na ten temat autorstwa państwa Jakuba Rzucidło i Justyny Węgrzyn. Jak podają, Wraz z wejściem w życie RODO wypada przyjąć, że pojęcie „danych osobowych dotyczących zdrowia” zyskało swoją normatywną definicję. W motywie 35 tego aktu prawnego wyjaśniono, że są to dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Dalej wskazano bardziej szczegółowy katalog takich danych, do których zaliczono: – informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; – numer, symbol lub oznaczenie przypisane danej osobie fizycznej dla jednoznacznego zidentyfikowania jej do celów zdrowotnych; – informacje pochodzące z badań laboratoryjnych lub lekarskich, części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; – wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Ostatnia z wyżej wymienionych grup informacji pozwala przyjąć, że katalog ten ma charakter otwarty i w zasadzie każdy komunikat zawierający w sobie jakieś wiadomości o stanie zdrowia osoby wypada uznać za daną lub dane osobowe dotyczące zdrowia W art. 4 pkt 15 RODO omawiane pojęcie zdefiniowano jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Warto także odnotować, że wyszczególnione powyżej pojęcie nie było (tj. przed wejściem w życie RODO) wprawdzie zdefiniowane w żadnym akcie prawnym, to jednak podobne do niego zwroty można odnaleźć w obowiązujących na terytorium Rzeczypospolitej Polskiej regulacjach. W pierwszej kolejności uwagę zwraca wciąż obowiązująca ustawa o ochronie danych osobowych (dalej: u.o.d.o.). W art. 27 ust. 1 oraz art. 49 ust. 2 tego aktu prawnego ustawodawca posłużył się bowiem pojęciem „danych o stanie zdrowia”. Sięgając zaś do u.p.p.r.p.p., wypada zauważyć, że w art. 9 ust. 1 sformułowano prawo pacjenta do informacji o jego stanie zdrowia. Funkcjonalnie powiązany z tą regulacją jest art. 31 ustawy o zawodach lekarza i lekarza dentysty . Stąd też podkreślić wypada wagę wskazanej regulacji u.p.p.r.p.p. głównie ze względu na jej rolę w procesie uzyskiwania świadomej zgody na daną procedurę medyczną. Zakres tych informacji jest zaś wyszczególniony w art. 9 ust. 2 u.p.p.r.p.p. i zaliczyć do nich należy te dotyczące: stanu zdrowia, rozpoznania, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia, rokowaniu na przyszłość. Kwalifikowanym sposobem przetwarzania wskazanych wyżej informacji jest dokumentacja medyczna. Terminem tym posługuje się wiele ustaw, niemniej w żadnej z nich nie został on zdefiniowany. W art. 25 ust. 1 u.p.p.r.p.p. ustawodawca jedynie odnosi się do przykładowego katalogu informacji, które ma zawierać dokumentacja medyczna. Zalicza się do nich: ,,1) oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości: a) nazwisko i imię (imiona), b) datę urodzenia, c) oznaczenie płci, d) adres miejsca zamieszkania, e) numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość, f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania; 2) oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych; 3) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych; 4) datę sporządzenia” . Jeśli idzie o rodzaje dokumentacji medycznej, to kwestię tę reguluje rozporządzenie Ministra Zdrowia z 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorców dokumentacji medycznej oraz sposobu jej przetwarzania , w którym zgodnie z § 2 ust. 1, dokumentację medyczną podzielono na: – dokumentację indywidualną – dotyczącą poszczególnych pacjentów korzystających ze świadczeń zdrowotnych oraz – dokumentację zbiorczą – dotyczącą ogółu pacjentów lub określonych grup pacjentów korzystających ze świadczeń zdrowotnych (np. księga główna przyjęć i wypisów, księga odmów przyjęć i porad ambulatoryjnych udzielanych w izbie przyjęć, księga chorych oddziału, księga zabiegów). Dokumentacja indywidualna obejmuje z kolei dokumentację indywidualną wewnętrzną, która przeznaczona jest na potrzeby podmiotu udzielającego świadczeń zdrowotnych (np. historia zdrowia i choroby, historia choroby, karta noworodka, karta wywiadu środowiskowo-rodzinnego) oraz dokumentację indywidualną zewnętrzną – przeznaczoną na potrzeby pacjenta korzystającego ze świadczeń zdrowotnych udzielanych przez podmiot (np. skierowanie do szpitala lub innego podmiotu, karta przebiegu ciąży, książeczka zdrowia dziecka, karta informacyjna z leczenia szpitalnego). Ponadto, warto dodać, że dokumentacja medyczna prowadzona jest w postaci elektronicznej lub papierowej. Na mocy kolejnej nowelizacji ustawy o systemie informacji w ochronie zdrowia (dalej także: u.s.i.o.z.), po raz kolejny przesunięto termin zastąpienia dokumentacji papierowej dokumentacją elektroniczną. Jak wynika bowiem z art. 56 ust. 1 tej ustawy, dokumentacja medyczna określona w rozporządzeniu ministra właściwego ds. zdrowia może być prowadzona w postaci papierowej do 31 grudnia 2018 r. Obecnie jednak brak jest informacji, o jakie rodzaje elektronicznej dokumentacji medycznej chodzi. W rozumieniu RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie unijnym lub w prawie państwa członkowskiego, to również w tych porządkach prawnych może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z przedstawionej powyżej definicji wynika, że cechą charakterystyczną administratora jest decydowanie o celach i sposobach przetwarzania danych osobowych. Nie budzi zatem wątpliwości, że kryteria te spełniają podmioty udzielające świadczeń zdrowotnych, skoro są one zobowiązane do prowadzenia, przechowywania i udostępniania dokumentacji medycznej, a także do zapewnienia ochrony danych zawartych w tej dokumentacji. Bez znaczenia pozostaje przy tym forma organizacyjno-prawna, w jakiej wykonywana jest działalność lecznicza. Podobnie, jak roli nie odgrywa tutaj struktura właścicielska. Takie same zasady obowiązywać będą zatem lekarza prowadzącego indywidualną praktykę lekarską, jak i samodzielny publiczny zakład opieki zdrowotnej, utworzony przez samorząd województwa. Przetwarzanie to termin bardzo pojemny i wieloznaczny, o czym świadczy przyjęcie w RODO otwartego katalogu czynności składających się na to pojęcie. Mowa tu o operacji lub zestawie operacji wykonywanych na danych osobowych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, takiej jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Podmiot przetwarzający dane oznacza z kolei ,,osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Porównując tę definicję ze wskazaną wyżej definicją administratora, dostrzeżemy, że wspólną ich cechą jest jedynie określenie tych samych kategorii podmiotów. W żadnym razie definicji tych nie można ze sobą utożsamiać. Należy bowiem podkreślić, że posiadanie statusu administratora nie można identyfikować ,,z faktycznym posiadaniem danych – podstawowym kryterium odróżniającym administratora danych osobowych od innych podmiotów przetwarzających dane jest sprawowanie faktycznej kontroli nad przetwarzaniem danych […], a więc decydowanie o celach i sposobach przetwarzania, nie zaś faktyczne przetwarzanie, które może zostać powierzone innemu podmiotowi”. Z kolei podmiot przetwarzający dane ,,nie może […] – przetwarzając dane osobowe w imieniu administratora danych – realizować własnych celów przetwarzania danych”. Odnosząc się przepisów u.p.p.r.p.p., dostrzeżemy, że do przetwarzania danych zawartych w dokumentacji medycznej, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych uprawnione są: – osoby wykonujące zawód medyczny; – inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, na podstawie upoważnienia administratora danych. Do innych osób wykonujących czynności pomocnicze zaliczyć można np. studentów medycyny odbywających praktykę w podmiocie leczniczym. Należy przy tym zaznaczyć, że w celu zapewnienia odpowiedniej ochrony danych dotyczących zdrowia na osoby, o których mowa nałożono obowiązek zachowania w tajemnicy – także po śmierci pacjenta – wszelkich informacji z nim związanych, uzyskanych w związku z wykonywaniem zadań. Zatem z przyjętych w u.p.p.r.p.p. rozwiązań wynika, że ,,osoba, której dane dotyczą nie jest […] wyłącznym dysponentem swoich danych” dotyczących zdrowia. Prawo do ochrony tych danych nie ma zatem charakteru absolutnego, bowiem przepisy u.p.p.r.p.p., jak i przepisy odrębne, a w tym przypadku RODO, wyznaczają ,,ramy prawne dla legalnego przetwarzania takich danych […]. Nie stanowi naruszenia tego prawa, ani instytucji tajemnicy lekarskiej, przetwarzanie danych w ramach legalnie wyznaczonego i społecznie akceptowalnego celu”. W związku z powyższym, należy odnieść się do przesłanek przetwarzania danych dotyczących zdrowia, które zostały przyjęte w RODO. W pierwszej kolejności uwagę zwraca motyw 53 RODO. Wskazano w nim na konieczność stosowania podwyższonego poziomu ochrony dla szczególnej kategorii danych osobowych, gdy mają być one przetwarzane dla celów zdrowotnych, w tym gdy idzie o zarządzanie usługami i systemami opieki zdrowotnej. We wskazanym motywie przewidziano także, że harmonizacja warunków przetwarzania danych osobowych dotyczących zdrowia, ze względu na szczególne potrzeby, w tym gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. Powyższe wydaje się być tym bardziej istotne, gdy idzie o obecną regulację art. 14 ust. 3 u.p.p.r.p.p. Dalej bowiem wymieniono, że prawo unijne lub prawo państwa członkowskiego powinny przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. W motywie 54 RODO wskazano także na istotne ograniczenie, gdy idzie o obowiązek uzyskania zgody osoby, której dane dotyczą. Działanie takie mogą uzasadniać względy interesu publicznego w dziedzinie zdrowia publicznego. Stosownie do art. 9 ust. 2 RODO, aby przetwarzanie wskazanego rodzaju danych odbyło się zgodnie z prawem, konieczne jest ziszczenie się choć jednej z następujących przesłanek: – osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie; – „przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody”. „Wyłączenie zakazu przetwarzania danych wrażliwych w oparciu o tę przesłankę może następować również w sytuacji ochrony żywotnych interesów innej osoby – nie tylko osoby, której dane dotyczą. Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej ze względu na stan zdrowia (np. chorobę zakaźną) osoby, której dane dotyczą. Jednocześnie musi zaistnieć brak fizycznej lub prawnej możliwości złożenia odpowiedniego oświadczenia woli przez osobę, której dane dotyczą. Sytuacja taka może łączyć się ze stanem fizycznym tej osoby – na który składa się nie tylko stan zdrowia, lecz również inne okoliczności, które mogą wyłączać świadome wyrażenie woli (art. 82 KC). W grę mogą także wchodzić ograniczenia natury prawnej – czyli brak zdolności do czynności prawnych (art. 13 KC) w wyniku np. ubezwłasnowolnienia”; – „przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy”; – „przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia”35. Przy czym, dane dotyczące zdrowia mogą być przetwarzane do tych celów ,,jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe”; – „przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”; – „przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą”. Poza tym należy dodać, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania m.in. danych dotyczących zdrowia (art. 9 ust. 4 RODO). Nadto, gdy idzie o dane dotyczące zdrowia, to ze względu na interes publiczny w dziedzinie zdrowia publicznego wyłączone zostały regulacje dotyczące prawa do usunięcia tychże danych (art. 17 ust. 3 lit. c RODO). Możliwość wprowadzenia ograniczeń co do poszczególnych uprawnień związanych z tymi danymi ze względu na zdrowie publiczne przewidziano także w art. 23 ust. 1 lit. e RODO. Obecnie obowiązująca regulacja u.p.p.r.p.p. skłania do przyjęcia, że dane osobowe dotyczące zdrowia udostępniane są w zasadzie w dwojakiego rodzaju formie: poprzez udzielenie informacji o stanie zdrowia pacjenta oraz w formie kwalifikowanej – udostępnienia dokumentacji medycznej. Do wniosku takiego prowadzi analiza art. 13 i art. 14 ust. 2 i 3 u.p.p.r.p.p. oraz art. 26 u.p.p.r.p.p. Art. 13 u.p.p.r.p.p. ustanawia oczywiście prawo pacjenta do tajemnicy informacji, ale już w art. 14 ust. 2 i 3 u.p.p.r.p.p. wskazano na istotne odstępstwa od tej zasady. O ile przesłanki wskazane w ust. 2 omawianej regulacji nie nastręczają znacznych trudności interpretacyjnych, o tyle ta wyszczególniona w ust. 3 budzi już uzasadnione wątpliwości. Jej zastosowanie powoduje bowiem, że w zasadzie każda informacja o stanie zdrowia pacjenta, po jego śmierci, można zostać ujawniona dowolnie wskazanemu przez osobę bliską zmarłego podmiotowi. Stosownie do art. 3 ust. 1 pkt 2 u.p.p.r.p.p. osobą bliską jest małżonek, krewny lub powinowaty do drugiego stopnia w linii prostej, przedstawiciel ustawowy, osoba pozostająca we wspólnym pożyciu lub osoba wskazana przez pacjenta. Na marginesie jedynie można zauważyć, jak szeroki może to być krąg osób. Obejmuje on przecież nie tylko członków rodziny, ale w zasadzie każdego, kto wykaże, że pozostawał z pacjentem we wspólnym pożyciu, lub każdego, kogo wskaże pacjent. Osoba taka ma zatem uprawnienie do domagania się bezpośrednio od lekarza do udzielenia wszystkich informacji, które obejmuje tajemnica medyczna. W praktyce może to oznaczać, że określone żądanie nie będzie mogło być zrealizowane inaczej, niż poprzez udostępnienie dokumentacji medycznej. Wskazana powyżej regulacja w praktyce znacząco utrudnia precyzyjne ustalenie osób, którym przysługuje prawo do informacji o pacjencie, ale także – co jest znacznie ważniejsze z punktu widzenia ochrony danych osobowych dotyczących zdrowia – osób, które mogą sprzeciwić się ujawnieniu danych. Na uwadze trzeba mieć przecież, że każda bliska osoba ma nie tylko uprawnienie do dostępu do informacji, ale także dysponuje uprawnieniem tamującym możliwość pozyskania informacji przez inne osoby bliskie w postaci sprzeciwu. W ślad za stanowiskiem Prezesa Naczelnej Rady Lekarskiej należy opowiedzieć się za racjonalnym podejściem do kwestii ustalania osób uprawnionych do uzyskania informacji o pacjencie po jego śmierci. Słusznie zakłada ono, że lekarz (jak i pozostały personel podmiotu leczniczego) nie ma obowiązku ustalania wszystkich osób bliskich i informowania ich o prawie wyrażenia zgody lub sprzeciwu w omawianej kwestii. Powyższe oznacza, że w takich sytuacjach decydujące zdanie będzie miała ta osoba, która jako pierwsza zgłosi wolę ujawnienia przez lekarza lub nieujawniania takich informacji. Jasne jest także, że lekarz ma w niektórych okolicznościach możliwość zweryfikowania, czy osoba występująca z określonym żądaniem jest osobą najbliższą, czy to na podstawie dokumentacji medycznej, czy też na podstawie okazanego dokumentu tożsamości. Zupełnie odmiennie kształtuje się krąg podmiotów uprawnionych do uzyskania dokumentacji medycznej. Ogranicza się on do pacjenta, jego przedstawiciela ustawowego lub osoby upoważnionej przez pacjenta (art. 26 ust. 1 u.p.p.r.p.p.). Warto przy tym mieć na uwadze, że stosownie do stanowiska Naczelnego Sądu Administracyjnego, wyrażonego w wyroku z 17 września 2013 r., sygn. akt II OSK 1539/13, pacjent może sporządzić oświadczenie o zgodzie na udostępnienie dokumentacji zarówno w ramach, jak i poza dokumentacją medyczną i tylko od jego woli zależało będzie jaką treść i jaki zakres upoważnienia obejmie to oświadczenie. Jeśli oświadczenie to przybiera najszerszą możliwą formę, tj. upoważnienia określonej osoby do uzyskiwania dokumentacji medycznej pacjenta po jego śmierci i zostanie załączone do dokumentacji medycznej określonej jednostki chorobowej, w konkretnej jednostce służby zdrowia, to niezależnie od tego, który podmiot medyczny będzie później świadczeniodawcą wytwarzającym dokumentację medyczną, ma obowiązek respektowania oświadczenia wskazującego upoważnioną osobę do uzyskiwania dokumentacji po śmierci pacjenta. Jeżeli więc osoba wnioskująca o wydanie dokumentacji medycznej przedstawi takie ogólne upoważnienie, to będzie ono podstawą do jej wydania. Nadto ustawodawca przewidział, że dostęp do dokumentacji medycznej pacjenta, nawet pomimo braku jego upoważnienia, będą miały inne podmioty – zarówno publiczne, jak i prywatne – których sprawowane funkcje uzasadniają dostęp do tejże dokumentacji. Wyszczególnione one zostały w art. 26 ust. 3, ust. 3a oraz ust. 3b u.p.p.r.p.p. Dokumentacja medyczna udostępniania jest podmiotom uprawnionym poprzez: 1) wgląd, w tym także do baz danych w zakresie ochrony zdrowia, w miejscu udzielania świadczeń zdrowotnych, z wyłączeniem medycznych czynności ratunkowych, w siedzibie podmiotu udzielającego świadczeń zdrowotnych, z zapewnieniem możliwości sporządzenia notatek lub zdjęć; 2) sporządzenie wyciągu, odpisu, kopii lub wydruku; 3) wydanie oryginału za potwierdzeniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, na żądanie organów władzy publicznej albo sądów powszechnych, a także w przypadku gdy zwłoka w wydaniu dokumentacji mogłaby spowodować zagrożenie dla życia lub zdrowia pacjenta; 4) środki komunikacji elektronicznej; 5) informatyczny nośnik danych. Ponadto, dokumentacja medyczna, która prowadzona jest w postaci papierowej, może być udostępniona przez sporządzenie kopii w formie odwzorowania cyfrowego (skanu) i przekazana w sposób określony w pkt 4 i 5, jeżeli zażąda tego pacjent, uprawniony organ lub inny podmiot uprawniony i przewiduje to regulamin organizacyjny podmiotu udzielającego świadczeń zdrowotnych. Za udostępnienie dokumentacji w ten sposób, a także i ten, który określony został w pkt 2 i 5, podmiot udzielający świadczeń zdrowotnych może pobrać opłatę. Opłaty nie pobiera się, gdy udostępnienie dokumentacji następuje na potrzeby związane z postępowaniem przed wojewódzką komisją ds. orzekania o zdarzeniach medycznych. Udostępnienie dokumentacji medycznej następuje bez zbędnej zwłoki. ,,W przypadku gdy udostępnienie dokumentacji nie jest możliwe, odmowę przekazuje się w postaci papierowej lub elektronicznej, zgodnie z żądaniem uprawnionego organu lub podmiotu. W każdym przypadku wymagane jest podanie przyczyny odmowy”. Z wyjątkiem obowiązku udostępniania dokumentacji medycznej we wskazanej wyżej formie, podmiot udzielający świadczeń zdrowotnych zobowiązany jest również prowadzić wykaz, który musi zawierać następujące informacje dotyczące udostępnianej dokumentacji: imię (imiona) i nazwisko pacjenta, którego dokumentacja dotyczy; sposób i zakres jej udostępnienia; imię (imiona) i nazwisko osoby innej niż pacjent, której dokumentacja została udostępniona; nazwę uprawnionego organu lub podmiotu, któremu dokumentacja została udostępniona; imię (imiona) i nazwisko oraz podpis osoby, która udostępniła dokumentację; datę jej udostępnienia. Trzeba jednak pamiętać i o regulacji art. 14 ust. 3 u.p.p.r.p.p., który stwarza obowiązek udzielenia stosownych informacji także i w inny sposób, niż poprzez dostęp do dokumentacji medycznej. Lekarz na odpowiednie żądanie osoby uprawnionej może jej przecież udzielić ustnie, pisemnie, czy też w formie dokumentowej, czy elektronicznej. Wówczas nie będziemy mieli do czynienia z żadnym ze sposobów udostępnienia dokumentacji medycznej, ale niewątpliwie będzie to przekazanie określonego rodzaju chronionych prawem danych osobowych. Jasne zatem jest, że norma art. 14 ust. 3 u.p.p.r.p.p. jest nieprecyzyjna i stwarza możliwość odstępstw od restrykcyjnego przestrzegania reżimu udostępniania dokumentacji medycznej, co należy także zweryfikować przez pryzmat wymienionych norm RODO. Warto jeszcze zaznaczyć, że odpowiednikiem art. 14 ust. 3 w ustawie o zawodach lekarza i lekarza dentysty43 jest art. 40 ust. 3. Odrębnym zagadnieniem jest także udostępnianie elektronicznej dokumentacji medycznej. Odbywa się to w trybie art. 32–35 u.s.i.o.z. Ustawa ta wskazuje, że jednostkowe dane z systemu teleinformatycznego udostępniane są za zgodą usługobiorcy, jego przedstawiciela ustawowego lub osoby przez niego upoważnionej. W zgodzie takiej należy określić zakres czasowy i przedmiotowy dostępu do danych (art. 35 ust. 1 u.s.i.o.z.). Nie jest ona jednak wymagana, gdy dane udostępniane są pracownikowi medycznemu wykonującemu zawód u usługodawcy do danych osobowych i innych jednostkowych danych medycznych usługobiorcy, przetwarzanych w systemie informacji medycznej, które wytworzył w związku z wykonywaniem zawodu u tego usługodawcy, jeżeli jest to niezbędne do prowadzenia diagnostyki lub zapewnienia ciągłości leczenia (art. 35 ust. 1a u.s.i.o.z.). Nadto, gdy idzie o przetwarzanie danych, w tym danych osobowych, w ramach systemu informacji w ochronie zdrowia, to ustawodawca w u.s.i.o.z. wskazał szczególny obowiązek podmiotów prowadzących bazy danych w zakresie ochrony zdrowia do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych. Obowiązek ten ma zabezpieczać te dane przede wszystkim przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą (art. 37 u.s.i.o.z.). Z obowiązkiem tym powiązano szczególną procedurę kontrolną i nadzorczą, wykonywaną przez ministra właściwego do spraw zdrowia (art. 38–40 u.s.i.o.z.). Ciągle ewoluująca regulacja poświęcona ochronie szczególnej kategorii danych osobowych, jaką są te o zdrowiu pacjenta dzięki RODO niewątpliwie została znacząco wzmocniona. W związku z rozpoczęciem stosowania RODO, polski prawodawca zmuszony będzie zweryfikować także i regulacje u.p.p.r.p.p. Już bowiem niniejsze opracowanie ujawnia pewne niedostatki krajowego prawodawstwa. Wejście w życie RODO to niewątpliwie wyzwanie dla każdego podmiotu leczniczego. Do już skomplikowanych unormowań związanych choćby z tajemnicą lekarską, dojdą zupełnie nowe obowiązki i znacznie wyższe wymagania co do poziomu staranności, który w związku z danymi o stanie zdrowia będzie musiał być stosowany. Dochowania tych wysokich standardów z pewnością nie ułatwia także różnorodność stosunków prawnych, w których uczestniczy taki podmiot, zakładając, że działalność leczniczą prowadzi co najmniej w średniej skali. Z jednej bowiem strony jego sytuacja jest regulowana szczególną umową z Narodowym Funduszem Zdrowia – podmiotem finansującym udzielanie świadczeń opieki zdrowotnej. Relacja ta zakłada obowiązek bieżącego raportowania udzielanych świadczeń opieki zdrowotnej, w tym przekazywania podstawowych danych pacjentów w formie elektronicznej (w tym imię, nazwisko, PESEL, datę rozpoczęcia i zakończenia udzielania świadczenia, rodzaj świadczenia). Z drugiej częstokroć podmiot taki korzysta z usług innych podmiotów leczniczych, np. w zakresie badań obrazowych, czy zawierając liczne umowy o których mowa w art. 26–27 ustawy o działalności leczniczej, a i sam może być takim „podwykonawcą” dla innego podmiotu leczniczego. Z trzeciej zaś zawiera umowy z dostawcami różnego rodzaju usług, bez których współcześnie działalności leczniczej nie sposób jest prowadzić, jak np. na dostawy specjalistycznych systemów informatycznych lub teleinformatycznych, w których przetwarzane są m.in. dane osobowe pacjentów. Z czwartej wreszcie udziela świadczeń opieki zdrowotnej pacjentom. Każdy z aspektów tej działalności wymaga drobiazgowego podejścia do ochrony danych osobowych, począwszy od tak podstawowych czynności, jak zawarcie umowy powierzenia przetwarzania danych osobowych, a na zabezpieczeniu teleinformatycznym tych danych skończywszy. Ponadto, należy pamiętać, że prawodawca unijny przewidział za naruszenie zasad przetwarzania danych dotyczących zdrowia kary pieniężne w wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO), co miejmy nadzieję, że w jeszcze większym stopniu przyczyni się do poprawy ochrony danych osobowych. Mając powyższe na względzie, aktualny pozostaje wciąż pogląd A. Preisnera, który już szesnaście lat temu przewidział, że największy wpływ na sferę praw człowieka będzie miała nie tyle nauka prawa, ile biotechnologia. To m.in. rozwój technologii medycznych jest przyczyną powstawania tych stanów faktycznych, które ostatecznie zostają uregulowane w przepisach prawa. W dużej części współczesny standard ochrony danych osobowych jest przecież odpowiedzią na bardzo dynamiczny rozwój medycyny. Jest to zresztą jedna z przyczyn przyjęcia RODO.