Akt korporacyjny

Lekarz.2018.6.22

| Akt nieoceniany
Wersja od: 22 czerwca 2018 r.

STANOWISKO Nr 9/18/VIII
PREZYDIUM NACZELNEJ RADY LEKARSKIEJ
z dnia 22 czerwca 2018 r.
w sprawie projektu Kodeksu branżowego dla sektora medycznego

Prezydium Naczelnej Rady Lekarskiej, po zapoznaniu się z projektem Kodeksu branżowego dla sektora medycznego, przekazanego przez przedstawiciela podmiotów wspierających - Kancelarię Domański, Zakrzewski, Palinka popiera ideę utworzenia takiego dokumentu. Doceniając z jednej strony potrzebę zapewnienia adekwatnego poziomu ochrony pacjentów w związku z przetwarzaniem ich danych osobowych przez podmioty wykonujące działalność leczniczą, z drugiej zaś strony specyfikę funkcjonowania podmiotów ochrony zdrowia, należy uznać za godną poparcia inicjatywę stworzenia kodeksu postępowania mającego pomóc we właściwym stosowaniu niniejszego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: RODO.

W ocenie Prezydium Naczelnej Rady Lekarskiej rozwiązania zawarte w projekcie Kodeksu realizują podstawowe założenia kodeksów postepowania, o których mowa w art. 40 RODO i co do zasady uwzględniają specyfikę działania podmiotów wykonujących działalność leczniczą różnych rozmiarów, m.in. indywidualnych praktyk lekarskich w aspekcie stosowania przepisów ww. Rozporządzenia, wskazując wyraźnie na odrębność regulacji ochrony danych w placówkach medycznych od innych działów gospodarki.

Prezydium Naczelnej Rady Lekarskiej przedstawia poniżej uwagi szczegółowe do projektowanego Kodeksu:

1) W miejsce definicji Badania klinicznego (punkt 2. lit (a) projektu Kodeksu) Prezydium Naczelnej Rady Lekarskiej proponuje wprowadzenie definicji Eksperymentu medycznego. Prezydium Naczelnej Rady Lekarskiej wskazuje bowiem, że eksperyment medyczny w rozumieniu ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2018 r. poz. 617 z późn. zm.) jest najszerszą kategorią prowadzonych przez lekarzy i lekarzy dentystów badań z udziałem ludzi. Podkreślenia wymaga fakt, iż w przeprowadzanych eksperymentach medycznych (obejmujących eksperyment leczniczy i badawczy) przetwarzane są dane osobowe uczestników tych eksperymentów. Każdy z uczestników eksperymentu medycznego musi wyrazić zgodę na udział w nim. Co więcej, kategoria eksperymentu medycznego obejmuje także badania kliniczne, w tym badanie produktów leczniczych. Zgodnie z definicją badań klinicznych zawartą w art. 37 a ust. 2 ustawy z dnia 6 września 2001 r. Prawo farmaceutyczne (t.j. Dz. U. z 2017 r. poz. 2211 z późn. zm.) - badanie kliniczne produktu leczniczego jest eksperymentem medycznym z użyciem produktu leczniczego przeprowadzanym na ludziach w rozumieniu przepisów ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty.
2) Zawarta w punkcie 2. lit (g) projektu Kodeksu definicja Pacjenta pomija osoby, które nie zwracają się aktualnie o udzielenie świadczenia, a ich dane są nadal przetwarzane przez podmioty wykonujące działalność leczniczą, dalej: PWDL. Są to osoby, które korzystały ze świadczeń zdrowotnych, wobec których aktualnie ustały przyczyny dalszego pobierania świadczenia. PWDL w takiej sytuacji nadal przechowuje dokumentację medyczną takich osób, które nie przestają być pacjentami tylko dlatego, że aktualnie z żadnych świadczeń nie korzystają. Nie ulega wątpliwości, że dane osobowe pacjenta odnoszące się do informacji odnośnie jego stanu zdrowia nie tylko aktualnego, ale i przeszłego, wymagają ochrony. W stosunku do takich osób dochodzi bowiem do "przetwarzania" w rozumieniu art. 4 pkt 2) RODO w postaci przechowywania. Tym samym za Pacjenta nie powinno się uważać li tylko osobę zwracająca się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych, lecz również osobę, która skorzystała w przeszłości ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny.
3) W definicji Podmiotu wykonującego działalność leczniczą (PWDL) (punkt 2. bez litery projektu Kodeksu) należy uściślić, że chodzi także o lekarza dentystę oraz położną wykonujących zawód w ramach działalności leczniczej jako praktykę zawodową. W ocenie Prezydium Naczelnej Rady Lekarskiej wymienienie tylko lekarza oraz pielęgniarki mogłoby prowadzić do pominięcia lekarzy dentystów i położnych, co może mieć wpływ na interpretację dalszych postanowień Kodeksu.
4) Zgodnie z pkt 4.1.1. projektowanego Kodeksu branżowego, podstawą prawną przetwarzania danych osobowych Pacjentów przez podmioty wykonujące działalność leczniczą są bezpośrednio właściwe przepisy RODO pozostające w związku z przepisami krajowego prawa medycznego. W przypadku realizacji praw wskazanych w art. 13, 14 oraz 15 RODO, Administrator danych w odniesieniu do podstawy prawnej przetwarzania podaje co najmniej przepis RODO i nazwę aktu prawnego na poziomie ustawy, określonego w szczególności w pkt. 4.1.4 i 4.1.5. W ocenie Prezydium Naczelnej Rady Lekarskiej w przypadku podstawy prawnej przetwarzania co do zasady za wystarczające należałoby uznać wskazanie właściwego przepisu RODO, a jedynie w przypadku, gdy przepis RODO uzależnia przetwarzanie od istnienia obowiązku prawnego lub szczególnego uprawnienia administratora wynikających z przepisów prawa należałoby podawać również nazwę aktu prawnego, z którego uprawnienie lub obowiązek wynika.
5) W punktach 4.1.1.1. oraz 4.1.1.2 projektu Kodeksu zostały wyodrębnione dwa odrębne cele przetwarzania danych osobowych: 1) diagnoza medyczna i leczenie oraz 2) zapewnienie opieki zdrowotnej oraz zarządzanie systemami i usługami opieki zdrowotnej. W ocenie Prezydium Naczelnej Rady Lekarskiej diagnoza medyczna i leczenie mieści się w pojęciu zapewnienia opieki zdrowotnej. Zapewnienie opieki zdrowotnej polega bowiem m.in. na udzielaniu świadczeń zdrowotnych, świadczenia zdrowotne to z kolei działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania. Pojęcie świadczenia zdrowotnego obejmuje swoim zakresem diagnozę medyczną oraz leczenie, a co za tym idzie nie ma konieczności rozdzielania tych dwóch celów przetwarzania danych osobowych.
6) W związku z projektowaną zmianą ustawy o działalności leczniczej, wprowadzającą regulacje dotyczące zakładania i prowadzenia praktyk zawodowych przez fizjoterapeutów Prezydium Naczelnej Rady Lekarskiej proponuje uwzględnienie po pkt 4.6.3.4 również praktyki zawodowej fizjoterapeutów. Powyższe rozwieje wątpliwości, iż również w przypadku fizjoterapeutów PWDL będący administratorem danych nie ma obowiązku zawierania z nimi umów powierzenia przetwarzania danych, o której mowa w art. 28 RODO.
7) W ocenie Prezydium Naczelnej Rady Lekarskiej zasadne wydaje się poszerzenie wymienionych w punkcie 4.6.3.5. projektu Kodeksu katalogu podmiotów wykonujących działalność leczniczą o następujące formy: indywidualna specjalistyczna praktyka lekarska i indywidualna specjalistyczna praktyka pielęgniarki. Wskazać bowiem należy, że zarówno lekarze, jak i pielęgniarki, prowadzące indywidualne specjalistyczne praktyki zawierają umowy z podmiotami leczniczymi celem udzielania świadczeń medycznych w zakładach leczniczych tych podmiotów.
8) Zasadne wydaje się dodanie grupowej praktyki lekarskiej i pielęgniarskiej do grupy działalności leczniczej prowadzonej przez osoby wykonujące zawód medyczny przy ocenie kryterium przetwarzania danych osobowych. Ponadto, do rozważenia pozostaje uwzględnienie także podmiotów leczniczych prowadzonych przez lekarzy, których działalność dotyczy udzielania ambulatoryjnych świadczeń zdrowotnych.
9) Wątpliwości Prezydium Naczelnej Rady Lekarskiej budzą zapisy Rozdziału 5, Podrozdziału 5.1 Pojęcie przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Przyjęte w projektowanym kodeksie ilości graniczne, których przekroczenie miałoby oznaczać przetwarzanie szczególnych kategorii danych osobowych na dużą skalę są w ocenie Prezydium Naczelnej Rady Lekarskiej zbyt małe. Realizacja świadczeń w ramach Ambulatoryjnej Opieki Specjalistycznej (AOS) dla nie więcej niż 600 unikalnych pacjentów w okresie 3 miesięcy oznacza, iż średnio AOS mógłby przyjąć tylko 10 unikalnych pacjentów dziennie. Limit 2750 pacjentów przypisanych do PWDL również należy uznać za niedostateczny. Liczby te tak naprawdę równają się z ilością pacjentów przyjmowanych w indywidualnych praktykach lekarskich. Przyjęcie tego rodzaju założeń oznacza, iż każdy podmiot, w którym zatrudnionych jest co najmniej 2 lekarzy przetwarza dane na dużą skalę, a z tego rodzaju założeniem nie sposób się zgodzić. Prezydium postuluje, aby przyjąć, że z przetwarzaniem na dużą skale nie mamy do czynienia w przypadku indywidualnej praktyki lekarskiej, niezależnie od liczby pacjentów przyjmowanych czy zarejestrowanych. Wynika to z faktu istnienia oczywistych ograniczeń fizycznych w realizacji przez jednoosobową praktykę świadczeń medycznych na dużą skalę. W tym miejscu warto również zwrócić uwagę na to, iż jeszcze przed 25 maja 2018 r., na stronie GIODO pojawił się proponowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony zdrowia. W zakresie przetwarzania na dużą skalę w wykazie tym wskazane zostały jedynie szpitale. Stąd też uznając za w pełni uzasadnione wprowadzenie limitów przetwarzania, których przekroczenie oznacza przetwarzanie danych na dużą skalę, Prezydium Naczelnej Rady Lekarskiej zwraca uwagę na konieczność ich dostosowania do realiów udzielania świadczeń zdrowotnych przez średnie lub małe podmioty wykonując działalność leczniczą i zwiększenie podanej liczby pacjentów. Postuluje się także, aby w pkt 5.1.1.1. Kodeksu wskazać, że dotyczy on nie tylko jednoosobowej działalności gospodarczej prowadzonej przez osobę wykonującą zawód medyczny, ale także grupowych praktyk lekarskich. Uzasadnione wydaje się również zdefiniowanie podjęcia "unikalnego pacjenta".
10) Odnośnie do rozdziału 5.5. Kodeksu Prezydium Naczelnej Rady Lekarskiej zwraca uwagę, iż kwestia opłat za udostępnienie dokumentacji medycznej została uregulowana w art. 28 ustawy z dnia 6 listopada 2008 r o prawach pacjenta i Rzeczniku Praw (Dz. U. z 2017 r. poz. 1318 z późn. zm.). Przepis ten należy uznać za dozwolone na gruncie RODO ograniczenie od stosowania art. 15 RODO w przypadku udostępniania dokumentacji medycznej. Prezydium Naczelnej Rady Lekarskiej postuluje zmianę zapisów projektowanego punkt 5.5.3. Kodeksu, który w aktualnej wersji projektu Kodeksu ma następujące brzmienie: PWDL informuje Pacjenta o możliwości uzyskania nieodpłatnej pierwszej kopii przetwarzanych danych osobowych, w tym danych zawartych w dokumentacji medycznej zgodnie z art. 15 ust. 3 RODO, w sposób wskazany w pkt. 5.3.2. Kodeksu, poprzez wykreślenie wyrażenia "w tym danych zawartych w dokumentacji medycznej". Z tych samych względów proponuje się również wykreślenie:
a) wyrażenia "w tym kopii danych zawartych w dokumentacji medycznej oraz innych danych osobowych Pacjenta" z punktu 5.5.5.3. projektu Kodeksu.
b) wyrażenia "Za kolejne kopie uznaje się w szczególności dokumentację medyczną w zakresie w jakim była uprzednio udostępniona (uprzednio udostępnione i nie zmienione dokumenty dokumentacji medycznej)" z punktu 5.5.8. opiniowanego projektu Kodeksu oraz
c) wykreślenie całej treści punktu 5.5.9. projektowanego Kodeksu.
11) Projekt kodeksu zakłada spełnienie obowiązku informacyjnego poprzez podjęcie co najmniej dwóch ze wskazanych poniżej działań podjętych jednocześnie przez PWDL:
a) 6.3.2.1.1. - umieszczenie klauzul informacyjnych w dokumentach przekazywanych Pacjentowi (np. umowa o świadczenie usług medycznych); lub
b) 6.3.2.1.2. - umieszczenie klauzul informacyjnych na stronie internetowej PWDL lub w systemie informatycznym PWDL dostępnym dla Pacjenta (tzw. Portal Pacjenta); lub
c) 6.3.2.1.3. umieszczenie informacji na tablicach informacyjnych w przestrzeniach ogólnodostępnych, najczęściej wykorzystywanych przez Pacjentów (w szczególności ciągi komunikacyjne lub izba przyjęć lub rejestracja lub poczekalnia);

W ocenie Prezydium Naczelnej Rady Lekarskiej obowiązek informacyjny należałoby uznać za wykonany przez podjęcie któregokolwiek z działań wskazanych w pkt od 6.3.2.1.1. do 6.3.2.1.3. Wprowadzanie obowiązku podjęcia aż dwóch ze wskazanych działań wydaje się zbędnym obciążeniem PWDL, tym bardziej, że sposobami informowania są klauzule informacyjne umieszczone w dokumentach przekazywanych Pacjentom oraz tablice informacyjne umieszczone w przestrzeniach ogólnodostępnych. Szczególnie zaś za nieuzasadnione należy uznać zobowiązanie do ponownego wykonania obowiązku informacyjnego w sytuacji, gdy klauzula informacyjna została zamieszczona w dokumencie przekazywanym pacjentowi indywidualnie (np. w umowie o świadczeniu usług medycznych).

12) Prezydium Naczelnej Rady Lekarskiej pozytywnie ocenia zapisy projektu Kodeksu rozróżniające marketing bezpośredni od zarządzania usługami opieki zdrowotnej, na które nie jest potrzebna zgoda pacjenta.
13) W ocenie Prezydium Naczelnej Rady Lekarskiej należałoby stworzyć spis aktów prawnych, które powoływane są w treści Kodeksu i przypisanie im aktualnych na moment certyfikowania Kodeksu publikatorów. Wydaje się, iż ten na pozór techniczny zabieg pozwoli zachować aktualność Kodeksu pomimo mogących zaistnieć w przyszłości zmian ustawodawczych, a także w odpowiedni sposób odsyła do danego przepisu w określonym jego brzmieniu.
14) Prezydium Naczelnej Rady Lekarskiej zwraca ponadto uwagę na potrzebę poprawienia na dalszym etapie prac zastosowanej w projekcie Kodeksu numeracji punktów i podpunktów.