Zalana dokumentacja medyczna, czyli naruszenie ochrony danych w podmiocie leczniczym

 

Jak wszyscy wiemy, we wrześniu zachodnią i południową Polskę nawiedziła tragiczna w skutkach powódź. Mieszkańcy zalanych terenów, a także przedsiębiorcy prowadzący na takich terenach działalność gospodarczą, ponieśli ogromne straty materialne. Niestety, dla niektórych, nie był to koniec kłopotów.  

Wielka woda nie wybierała – „sprawiedliwie” zalewała zarówno domy mieszkalne, jak i placówki użyteczności publicznej, w tym szpitale, przychodnie i inne podmioty lecznicze. Spotkało to również mojego klienta, prowadzącego poradnię ortopedyczną. 

Czy powyższe może mieć jakiś związek z RODO? 

Obowiązkiem podmiotu udzielającego świadczeń zdrowotnych, jest prowadzenie przechowywanie i udostępnianie dokumentacji medycznej 

Każdy podmiot udzielający świadczeń zdrowotnych, jest obowiązany prowadzić przechowywać i udostępniać dokumentację medyczną, zgodnie z właściwymi przepisami. Jednym z podstawowych praw pacjenta jest natomiast prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych. 

Na skutek powodzi, została całkowicie zniszczona archiwalna dokumentacja medyczna prowadzona przez mojego klienta. Pomieszczenie archiwum zostało zalane, papierowa dokumentacja przez kilka dni znajdowała się pod wodą. Nietrudno się domyślić, że zostały bezpowrotnie utracone dane zawarte w zniszczonej dokumentacji, bez możliwości ich odtworzenia. 

I co dalej? 

Po pierwsze – naruszenie praw pacjenta 

Co do zasady, brak zapewnienia ochrony i właściwego zabezpieczenia dokumentacji medycznej przed zniszczeniem lub utratą, może stanowić praktykę naruszającą zbiorowe prawa pacjenta. W takim przypadku, istnieje ryzyko wszczęcia postępowania przez Rzecznika Praw Pacjenta. Może ono zakończyć się wydaniem decyzji nakazującej podjęcie określonych działań np. odzyskania lub odtworzenia dokumentacji. Za niewykonanie decyzji Rzecznika, placówka może zostać ukarana karą pieniężną do 500.000 złotych. Do tego dochodzą potencjalne roszczenia cywilne pacjentów, w tym również z tytułu naruszenia przepisów o ochronie danych osobowych. Pacjentowi, z samego tytułu braku dostępu do dokumentacji medycznej, nie przysługuje roszczenie o zadośćuczynienie (przewidziane w art. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta), jeżeli jednak doznał szkody w związku z brakiem dokumentacji, to przysługują mu roszczenia odszkodowawcze na zasadach ogólnych (na podstawie kodeksu cywilnego).  

A co w przypadku, gdy utrata dokumentacji jest skutkiem powodzi?  

Wówczas mamy do czynienia z tzw. siłą wyższą. Całkiem zgrabnie wyjaśnia to poniższy wyrok NSA: 

„Przechowywanie dokumentacji medycznej wpomieszczeniu zdojściem do maszynowni windy, do obsługi urządzeń wentylacyjnych ido skrzynki alarmowej (…) nie stanowi ozapewnieniu odpowiednich warunków zabezpieczających dokumentację przed zniszczeniem, uszkodzeniem lub utratą idostępem osób nieupoważnionych. Konieczność konserwacji ww. urządzeń może spowodować, że dostęp do tej dokumentacji medycznej będą miały osoby wykonujące ww. czynności, awięc osoby nieupoważnione. Wdodatku dokumentacja ta nadal jest narażona na zniszczenie, utratę lub uszkodzenie. […] Wykonanie tego obowiązku [zcytowanego wcześniej art. 24 ustawy] obciążającego podmiot udzielający świadczeń zdrowotnych wymaga podjęcia działań zapewniających ochronę dokumentacji medycznej, przy czym przy jego wykonaniu obowiązany jest do dołożenia szczególnej staranności wtym iwystąpienia okoliczności utraty kontroli nad dokumentacją medyczną. Zaniechanie działania, które obarczone jest cechą szczególnej staranności, stanowi praktykę naruszającą zbiorowe prawa pacjenta. Od takiej oceny zaniechania naruszającego zbiorowe prawa pacjenta podmiot udzielający świadczeń zdrowotnych może się uwolnić, gdy utrata dokumentacji medycznej następuje wwyniku zdarzeń, których rozsądnie przewidująca jednostka nie mogła przewidzieć (np. zdarzenie siły wyższej, kradzież). Wrazie, gdy okoliczności utraty przez podmiot udzielający świadczeń zdrowotnych dokumentacji medycznej można było przewidzieć, wynikały bowiem zokoliczności faktycznej, wjakiej podmiot udzielający świadczeń zdrowotnych ją wykonywał, nie można przyjąć, że nie było to bezprawne zaniechanie. (…) Brak zatem przez zaniechanie zabezpieczenia dokumentacji medycznej wypełnia przesłankę bezprawnego zaniechania naruszającego zbiorowe prawa pacjenta”.  

Po drugie – naruszenie ochrony danych osobowych 

Nie ma przepisów nakazujących poinformowanie jakichkolwiek służb bądź instytucji o utracie dokumentacji medycznej. Są jednak przepisy – RODO – nakazujące dokonanie zgłoszenia naruszenia ochrony danych. Co oczywiste – w dokumentacji medycznej znajdują się dane osobowe, w tym dotyczące zdrowia, czyli dane szczególnej kategorii. 

Zgodnie z art. 33 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (PUODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.  

Co więcej, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 

Naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Zatem: 

  1. czy utrata dokumentacji medycznej stanowi naruszenie ochrony danych? TAK 
  2. czy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? TAK, doszło do naruszenia prawa pacjenta do dostępu do dokumentacji medycznej – bezpowrotnie utracono dane dotyczące stanu zdrowia oraz udzielonych świadczeń zdrowotnych; utrata dokumentacji medycznej może także stanowić utrudnienie w ratowaniu życia lub zdrowia pacjenta, którego dotyczy dokumentacja 

Czy w związku z naruszeniem organ nałoży karę administracyjną? 

Raczej nie, chociaż tego nie możemy wiedzieć na pewno. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, a organ bierze pod uwagę m.in. umyślny lub nieumyślny charakter naruszenia oraz  wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy.  

Natomiast wiemy na pewno, że kara grozi za brak zgłoszenia naruszenia w przypadku, gdy istniał taki obowiązek. UODO radzi przy tym, żeby w sytuacjach, w których administrator danych ma jakiekolwiek wątpliwości – po prostu dokonywać zgłoszenia, a jeśli dany przypadek nie będzie spełniał kryteriów, urząd umorzy postępowanie. 

 

PODSUMOWANIE 

Obowiązkiem podmiotu udzielającego świadczeń zdrowotnych, jest prowadzenie przechowywanie i udostępnianie dokumentacji medycznej. Utrata dokumentacji, np. w wyniku powodzi, może stanowić nie tylko naruszenie praw pacjentów, ale także regulowane przez RODO naruszenie ochrony danych. 

 

Jak zgłosić naruszenie? Jak zawiadomić podmiot danych? Zapraszam do śledzenia kolejnych wpisów!