Wstęp
W kwietniu 2016 r. instytucje Unii Europejskiej zakończyły pracę nad reformą ochrony danych osobowych. W jej wyniku przyjęte zostały dwa akty prawne. Jednym z nich jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenie o ochronie danych, rozporządzenie lub RODO) [1].
Należy zauważyć, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej [2] (dalej: Karta praw podstawowych) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) [3] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania – przestrzeganie tych zasad podlega kontroli niezależnego organu [4].
Jak wskazano w preambule ogólnego rozporządzenia o ochronie danych, zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych. Rozporządzenie ma w założeniu przyczyniać się w szczególności do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym. Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło wszystkim mieszkańcom Unii. Prawo do ochrony danych osobowych nie jest jednak prawem bezwzględnym, należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności [5].
Celem artykułu jest przybliżenie kwestii ochrony danych osobowych w działalności ustawowego organu powołanego do ochrony praw pacjentów w Polsce, w szczególności w kontekście przepisów wspólnotowych, które weszły w tym zakresie w życie w 2018 r.
Ogólne rozporządzenie o ochronie danych pełni funkcję kompleksowego, spójnego narzędzia do stosowania we wszystkich państwach członkowskich z uwagi na jego bezpośrednie obowiązywanie, bez potrzeby implementacji. Akt obowiązuje od 25 maja 2018 r. i wprowadził szereg zmian w obowiązującym standardzie ochrony danych osobowych, co w przypadku państw członkowskich wiąże się z koniecznością analizy obowiązujących dokumentów prawnych pod kątem ich zgodności z treścią rozporządzenia i dokonania w nich niezbędnych zmian. Jak wskazali autorzy rozporządzenia, aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, trzeba zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy doprowadzić do spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie tych danych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie w myśl rozporządzenia mogą zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia. Omawiane rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej „danymi wrażliwymi”). W tym względzie rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności ich przetwarzania z prawem. Szczególne kategorie danych osobowych, zasługujące na większą ochronę, powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego [6].
Ponadto w motywie 54 preambuły wskazano, że niezbędne – z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego – może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 [7], czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy, czy zakłady ubezpieczeń i banki.
Rzecznik Praw Pacjenta, jako centralny organ administracji rządowej właściwy w sprawach ochrony praw pacjentów, powołany ustawą z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta [8] (dalej: ustawa), również wpisuje się w tę nową prawną rzeczywistość. Wskazany organ musi podjąć – tak jak wszystkie pozostałe instytucje państwowe w Polsce – analizę obszaru swojej działalności w świetle RODO.
Wskazać należy, że w myśl rozporządzenia do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE [9]; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich, części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych oraz wszelkie informacje, np. o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik ochrony zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Z kolei dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) bądź z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.
W tym miejscu należy podkreślić, że w nowej prawnej rzeczywistości znaleźli się również wszyscy interesariusze systemu ochrony zdrowia. Autor niniejszej pracy podziela pogląd wyrażony w przewodniku po RODO w służbie zdrowia przygotowanym pod auspicjami Ministrów Zdrowia i Cyfryzacji, że przepisy regulujące kwestie ochrony danych osobowych, do których stosowania zobligowane są podmioty lecznicze, a tym samym osoby wykonujące zawód medyczny (w szczególności lekarze, pielęgniarki i położne) – nie mogą dezorganizować bądź ograniczać procesu udzielania świadczeń zdrowotnych. Nie ujmując znaczeniu i doniosłości przepisów RODO, personel medyczny powinien mieć przede wszystkim na uwadze obowiązek ratowania zdrowia i życia ludzkiego – w sytuacjach krytycznych dając mu prymat przed ochroną danych osobowych.
Z perspektywy działalności Rzecznika Praw Pacjenta należy wskazać na przepis art. 6 ust. 1 lit. c i e ogólnego rozporządzenia o ochronie danych, który stanowi, że przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełnione są określone warunki, m.in. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (w przypadku Rzecznika jest to: stanie na straży praw pacjentów) lub przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (Rzecznik Praw Pacjenta – jako centralny organ administracji rządowej sprawuje władzę publiczną w delegowanym przez ustawodawcę zakresie). Z kolei art. 6 ust. 3 tego aktu wskazuje wprost, że podstawa przetwarzania w odniesieniu do ww. przesłanek (art. 6 ust. 1 lit. c i e) musi być określona w prawie Unii Europejskiej lub w prawie państwa członkowskiego, któremu podlega administrator. Ustawy powinny wskazywać na konkretny obowiązek prawny ciążący na administratorze lub zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej. Motyw 47 preambuły rozporządzenia dookreśla, że dla organów publicznych (jest nim Rzecznik Praw Pacjenta) podstawę prawną przetwarzania danych osobowych powinien wskazać ustawo-
dawca. Prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z kolei dyspozycja art. 9 ww. rozporządzenia dopuszcza wprowadzenie do ustaw szczególnych podstawy prawnej przetwarzania danych osobowych szczególnych kategorii (dane dotyczące zdrowia, seksualności, dane genetyczne, dane biometryczne), zgodnej z art. 9 ust. 2 przedmiotowego rozporządzenia. Warunkiem jest, aby przetwarzanie takich danych było niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych oraz interesów osoby, której dane dotyczą. Nie ulega wątpliwości, że
Rzecznik Praw Pacjenta realizuje na podstawie art. 47 ust. 1 ustawy szczególnie ważny interes publiczny, ponieważ stoi na straży ochrony praw pacjentów, m.in. poprzez:
• prowadzenie postępowań w sprawach praktyk naruszających zbiorowe prawa pacjentów;
• prowadzenie postępowań indywidualnych w trybie art. 50–53 ustawy;
• w sprawach cywilnych wykonywanie zadań określonych w art. 55 ustawy;
• występowanie do właściwych organów z wnios-kami o podjęcie inicjatywy ustawodawczej bądź o wydanie lub zmianę aktów prawnych w zakresie ochrony praw pacjenta;
• współpracę z organami władzy publicznej w celu zapewnienia pacjentom przestrzegania ich praw, w szczególności z ministrem właściwym do spraw zdrowia;
• przedstawianie właściwym organom władzy publicznej, organizacjom i instytucjom oraz samorządom zawodów medycznych ocen i wniosków zmierzających do zapewnienia skutecznej ochrony praw pacjenta;
• współpracę z organizacjami pozarządowymi, społecznymi i zawodowymi, do których celów statutowych należy ochrona praw pacjenta;
• współpracę w zakresie przestrzegania praw pacjenta z podmiotami udzielającymi świadczeń zdrowotnych;
• analizę skarg pacjentów w celu określenia zagrożeń i obszarów w systemie ochrony zdrowia wymagających naprawy;
W przedmiocie przetwarzania danych wrażliwych w świetle podstawowych praw i wolności, wymagających szczególnej ochrony, rozporządzenie w motywie 51 wyraźnie przewiduje wyjątki od ogólnego zakazu przetwarzania szczególnych kategorii danych osobowych. Wyjątek taki stanowi sytuacja wyrażenia przez osobę, której dane dotyczą, wyraźnej zgody lub gdy przetwarzanie danych jest konieczne ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.
W ujęciu przepisów ogólnego rozporządzenia o ochronie danych nie sposób odmówić Rzecznikowi Praw Pacjenta prawa do przetwarzania danych osobowych pacjentów, biorąc pod uwagę zakres działań podejmowanych w celu ochrony ich praw. Niniejsze stanowisko potwierdza kolejny, 52 motyw rozporządzenia. Stanowi on, iż można dopuścić wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych – o ile przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe oraz inne prawa podstawowe – jeżeli uzasadnia to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym. Taki wyjątek może być przewidziany ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej.
W realizację powyższego wpisują się uprawnienia ustawowe Rzecznika Praw Pacjenta, np. prowadzenie postępowań wyjaśniających (art. 52 ust. 1 ustawy), postępowań w przedmiocie naruszenia zbiorowych praw pacjentów (art. 59 ust. 1 pkt 1 ustawy) lub udział Rzecznika Praw Pacjenta w sprawach cywilnych na prawach przysługujących prokuratorowi (art. 55 ustawy). Przetwarzanie szczególnych kategorii danych osobowych powinno występować wyłącznie w przypadkach określonych w art. 9 ogólnego rozporządzenia o ochronie danych, gdy jest to niezbędne do realizacji celów z art. 9 ust. 2 ww. rozporządzenia, z korzyścią dla osób fizycznych i ogółu społeczeństwa (czuwanie nad tym powinno być i jest niewątpliwie rolą Rzecznika Praw Pacjenta). Dane powinny być przetwarzane dla celów kontroli jakości, pozyskiwania informacji zarządczych oraz ogólnego krajowego i lokalnego nadzoru nad systemem opieki zdrowotnej, zapewnienia ciągłości opieki zdrowotnej (w tym transgranicznej) lub do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, a także na potrzeby analiz prowadzonych w interesie publicznym w dziedzinie zdrowia publicznego. Większość ww. zadań jest realizowana lub ściśle powiązana z zadaniami Rzecznika Praw Pacjenta (art. 47 ust. 1 ustawy).
W tym miejscu należy zauważyć, że Rzecznik Praw Pacjenta wykonuje swoje zadania przy pomocy Biura Rzecznika Praw Pacjenta. Pracownikami tegoż Biura są także Rzecznicy Praw Pacjenta Szpitala Psychiatrycznego (dalej: Rzecznicy lub RzPPSzP), którzy wykonują zadania określone ustawą z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego [10] na miejscu udzielania świadczeń zdrowotnych w szpitalach psychiatrycznych, którymi – w rozumieniu art. 3 pkt 2 niniejszego aktu – są również oddziały psychiatryczne w szpitalach ogólnych, kliniki psychiatryczne, sanatoria dla osób z zaburzeniami psychicznymi oraz inne zakłady lecznicze w rozumieniu przepisów o działalności leczniczej, sprawujące całodobową opiekę psychiatryczną lub odwykową. Należy wskazać, iż szczególną ochroną i opieką państwa powinny zostać objęte właśnie osoby hospitalizowane w szpitalach psychiatrycznych, gdyż to ich prawa i wolności często były i są najbardziej narażone na naruszenie. Podkreślić należy, że prawa pacjenta mają doniosłe znaczenie społeczne. Z jednej strony są wyrazem troski ustawodawcy o obywateli, z drugiej zaś urzeczywistniają pożądane przez ustawodawcę kierunki rozwoju systemu ochrony zdrowia, stawiające na umocnienie pozycji pacjenta. Karkowska wskazuje, że pacjenci zaczynają dostrzegać, że ich potrzeby, a także prawa są w systemie przestrzegane i chronione. Istnienie dedykowanej ustawy samo w sobie kreuje ruch na rzecz ochrony interesów pacjenta. Skonstruowanie katalogu praw pacjenta przesądza o zakresie ochrony praw wszystkich pacjentów oraz stwarza szansę podwyższenia standardów jakości świadczeń opieki zdrowotnej [11].
Nowe regulacje prawne z zakresu ochrony danych osobowych zobowiązują administratorów danych, w tym Rzecznika Praw Pacjenta, do analizy przepisów dotyczących uprawnień do przetwarzania danych osobowych pacjentów (w tym danych szczególnych kategorii) i weryfikacji, na ile regulacje te spełniają swoje funkcje. W aktualnym stanie prawnym ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, jak również ustawa o ochronie zdrowia psychicznego (podstawowe akty prawne, w oparciu o które działa Rzecznik Praw Pacjenta oraz pracownicy Biura – Rzecznicy Praw Pacjenta Szpitala Psychiatrycznego), wymagają – jak się wydaje – niezbędnych zmian.
Jak wskazał Generalny Inspektor Ochrony Danych Osobowych w swoich stanowiskach [12, 13], nie ulega wątpliwości, że dla skutecznej realizacji swoich ustawowych zadań Rzecznik Praw Pacjenta powinien mieć szeroki dostęp do danych wrażliwych, w tym danych pozyskiwanych przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego. Rzecznicy ci, jako pracownicy Biura wykonujący swoje zadania przy jego pomocy, nie funkcjonują bowiem w sposób autonomiczny i nie stanowią odrębnych administratorów danych osobowych w rozumieniu przepisów ustawy o ochronie danych osobowych. Jakkolwiek trudno jest negować zasadność dostępu Rzecznika Praw Pacjenta do danych pozyskiwanych przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego, to jednak przyznać trzeba, że regulacje w tym zakresie jako niekompletne i niekompatybilne wymagają zwykłego doprecyzowania.
Tym samym Generalny Inspektor Ochrony Danych Osobowych wskazał, iż w jego opinii należy lepiej doposażyć Rzecznika Praw Pacjenta w kompetencje (wyrażone wprost) związane z dostępem do określonych danych osobowych czy nośników tych danych. Tylko bowiem precyzyjne określenie uprawnień Rzecznika w przepisach rangi ustawowej zagwarantuje możliwość właściwej realizacji przypisanych mu zadań.
Podstawowym zadaniem Rzecznika Praw Pacjenta jest troska o najszerzej i najlepiej pojęty interes pacjentów, przede wszystkim w kontekście przestrzegania ich praw. Zapewnienie właściwej realizacji przysługujących pacjentom uprawnień uzależnione jest od wielu czynników, które zazwyczaj mają zmienny charakter. Jednym z takich czynników są ramy prawne, w których realizowana jest ta ochrona. Asumptem do ich modyfikacji czy uzupełnienia jest niewątpliwie wejście w życie nowych europejskich przepisów dotyczących ochrony danych osobowych oraz wątpliwości opisane powyżej. Rzecznik w ramach swojej aktywności podejmuje niewątpliwie działania w sferze danych osobowych pacjentów, które z racji swojej wrażliwości podlegają szczególnej ochronie przed dostępem dla osób nieuprawnionych.
Realizacja przez Rzecznika Praw Pacjenta ustawowych kompetencji i obowiązków, wyszczególnionych w art. 47 ust. 1 ustawy, nierozerwalnie związana jest z przetwarzaniem przez organ danych osobowych pacjentów. Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa, w tym przepisów ogólnego rozporządzenia o ochronie danych oraz ustawy o ochronie danych osobowych*. Tym samym na Rzeczniku Praw Pacjenta, jako administratorze danych osobowych, spoczywa ciężar dochowania szczególnej staranności w celu ochrony interesów pacjentów, których dane dotyczą, przez zapewnienie, aby dane te były przetwarzane zgodnie z prawem – i jak do tej pory z obowiązku tego doskonale się wywiązuje. Z informacji pozyskanych z Biura Rzecznika Praw Pacjenta wynika, że w całym 10-letnim okresie funkcjonowania urzędu nie było przypadku naruszenia integralności danych osobowych będących w dyspozycji Rzecznika.
Jak już wskazano wcześniej, pracownikami Biura Rzecznika Praw Pacjenta są także Rzecznicy Praw Pacjenta Szpitala Psychiatrycznego powołani nowelizacją ustawy o ochronie zdrowia psychicznego, tj. ustawą z 1 lipca 2005 r. o zmianie ustawy o ochronie zdrowia psychicznego [14] dla realizacji określonych zadań z zakresu ochrony praw pacjentów przebywających w szpitalach psychiatrycznych. Kwestia ta, w tym podległości służbowej RzPPSzP – Rzecznikowi Praw Pacjenta – nie budzi wątpliwości i ustawodawca przesądził o niej w art. 56 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz w art. 10d ustawy o ochronie zdrowia psychicznego. Zatem przetwarzanie danych osobowych przez Rzecznika Praw Pacjenta Szpitala Psychiatrycznego jest jednocześnie przetwarzaniem danych przez Rzecznika Praw Pacjenta (jako administratora danych), m.in. w celu:
• realizacji obowiązku sprawowania nadzoru merytorycznego nad sprawami prowadzonymi przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego,
• podejmowania działań systemowych w wyniku weryfikacji sygnałów indywidualnych wpływających do Rzeczników Praw Pacjenta Szpitala Psychiatrycznego,
• realizacji obowiązków wynikających z ustawy o służbie cywilnej.
Należy pamiętać, że Rzecznik Praw Pacjenta jest organem właściwym w sprawach ochrony praw pacjentów określonych nie tylko w ustawie, lecz także w przepisach odrębnych, za które należy uznać te odnoszące się do prawa pacjenta szpitala psychiatrycznego do rozpatrzenia sprawy przez Rzecznika Praw Pacjenta Szpitala Psychiatrycznego – art. 10a ust. 1 i 3 ustawy o ochronie zdrowia psychicznego. Uprawnienie Rzecznika Praw Pacjenta do dostępu do danych przetwarzanych przez RzPPSzP wynika też z § 6 Rozporządzenia Ministra Zdrowia z dnia 13 stycznia 2006 r. w sprawie szczegółowego trybu i sposobu działania Rzecznika Praw Pacjenta Szpitala Psychiatrycznego [15], który mówi o tym, że RzPPSzP przedstawiają Rzecznikowi Praw Pacjenta okresowe informacje dotyczące przestrzegania praw pacjenta oraz działań podejmowanych w tym zakresie, nie rzadziej niż 2 razy do roku, a także w przypadku zażądania informacji przez Rzecznika Praw Pacjenta.
Celem działalności RzPPSzP jest ochrona praw osób korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny, a w szczególności zapewnienie osobom z zaburzeniami psychicznymi pomocy w dochodzeniu ich praw w sprawach związanych z przyjęciem, leczeniem, warunkami pobytu i wypisaniem ze szpitala psychiatrycznego. Zgodnie z przepisem RzPPSzP wyjaśniają oraz udzielają pomocy w wyjaśnieniu ustnych i pisemnych skarg tych osób, współpracują z ich rodzinami, przedstawicielami ustawowymi, opiekunami prawnymi lub faktycznymi oraz inicjują i prowadzą działalność edukacyjno-informacyjną w zakresie praw osób korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny. Rzecznicy rozpatrują sprawy zgłoszone przez pacjentów, a także ich przedstawicieli ustawowych, opiekunów prawnych oraz faktycznych. Jednocześnie należy wskazać, że jednym z istotnych zadań RzPPSzP wynikającym z § 3 rozporządzenia Ministra Zdrowia z 13 stycznia 2006 r. w sprawie szczegółowego trybu i sposobu działania Rzecznika Praw Pacjenta Szpitala Psychiatrycznego [15] jest dokonywanie z własnej inicjatywy oceny przestrzegania praw pacjenta, w szczególności w odniesieniu do pacjentów:
• przyjętych do szpitala psychiatrycznego bez zgody;
• wobec których zastosowano przymus bezpośredni;
• niezdolnych do wyrażenia zgody lub stosunku do przyjęcia albo leczenia;
• przebywających w szpitalu psychiatrycznym na mocy orzeczenia sądowego o zastosowaniu środka zabezpieczającego.
Analiza spraw rozpatrywanych przez Rzeczników wskazuje, że ich działalność ma charakter inter-
dyscyplinarny. Przyjmują bowiem zgłoszenia, których zakres przedmiotowy znacznie wykracza poza kwestie uregulowane w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawie o ochronie zdrowia psychicznego oraz wydanych na ich podstawie aktach wykonawczych. Pacjenci stosunkowo często zwracają się do Rzeczników ze sprawami, które dotyczą obszarów działalności innych instytucji, w tym sądów i ośrodków pomocy społecznej. Wskazać należy, że Rzecznicy stale gromadzą informacje o zdarzeniach i wypadkach z udziałem pacjentów. Na ich podstawie podejmują działania o charakterze prewencyjnym mające na celu ograniczenie występowania takich zdarzeń w przyszłości. W przeważającej większości przypadków w wyniku podejmowanych przez Rzeczników interwencji kierownicy oraz personel podmiotów leczniczych podejmują działania zmierzające do eliminacji przyczyn zaistniałych nieprawidłowości. Zakres kompetencji przyznanych RzPPSzP ma gwarantować możliwość monitorowania przestrzegania przez szpitale psychiatryczne praw osób hospitalizowanych.
Tak więc tylko precyzyjne określenie uprawnień Rzecznika Praw Pacjenta w przepisach rangi ustawowej (art. 7 Konstytucji RP – zasada legalizmu) zagwarantuje właściwą realizację przypisanych organowi zadań. Za powyższym rozwiązaniem przemawia okoliczność, że kwestie przetwarzania danych osobowych stanowią materię zastrzeżoną dla ustawy. Wynika to zarówno z konieczności zachowania ustawowej formy dla ograniczeń prawa do prywatności i autonomii jednostki wymaganej w art. 47 oraz art. 51 w zw. z art. 31 ust. 3 Konstytucji RP (zasada proporcjonalności), jak i prawa jednostki do nieudostępnienia informacji jej dotyczących, chyba że taki obowiązek wynika z ustawy (art. 51 ust. 1 Konstytucji RP). Ponadto, zgodnie z art. 51 ust. 5 Konstytucji RP, dla określenia zasad i trybu gromadzenia oraz udostępniania informacji o jednostce (ograniczenia w zakresie korzystania z wolności i praw obywatelskich) – właściwa jest forma ustawowa.
Trybunał Konstytucyjny w wyroku z 12 stycznia 2000 r. [16] stwierdził, że „jako naruszenie wymagań konstytucyjnych oceniać należy tak niejasne i nieprecyzyjne formułowanie przepisu, które powoduje niepewność jego adresatów co do ich praw i obowiązków. Powoduje to bowiem stworzenie nazbyt szerokich ram dla organów stosujących ten przepis, które w istocie muszą zastępować prawodawcę w zakresie tych zagadnień, które uregulował on w sposób niejasny i nieprecyzyjny. Ustawodawca nie może poprzez niejasne, ale także poprzez nieprecyzyjne formułowanie tekstu przepisów pozostawiać organom mającym je stosować nadmiernej swobody przy ustalaniu w praktyce zakresu podmiotowego i przedmiotowego ograniczeń konstytucyjnych wolności i praw jednostki. Założenie to można określić ogólnie jako zasadę określoności ustawowej ingerencji w sferę konstytucyjnych wolności i praw jednostki” [17].
Tym samym nie ulega wątpliwości, że Rzecznik Praw Pacjenta dla skutecznej realizacji swoich ustawowych zadań musi mieć zagwarantowany wprost szeroki dostęp do danych osobowych pacjentów, co wykazano powyżej w kontekście postulatów Generalnego Inspektora Ochrony Danych Osobowych – i niniejsze powinno być jasno wyartykułowane w przepisach rangi ustawowej.
W aktualnym stanie prawnym ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, jak również ustawa o ochronie zdrowia psychicznego nie przewidują wyraźnej (tj. wyrażonej wprost) podstawy prawnej w przedmiocie przetwarzania danych osobowych. Uprawnienie do przetwarzania danych o stanie zdrowia wynika oczywiście m.in. z art. 26 ust. 3 pkt 2, art. 50 ust. 3 oraz art. 55 ustawy. Samodzielną podstawę prawną do przetwarzania przez Rzecznika Paw Pacjenta danych osobowych można wyprowadzić również z art. 47 ust. 1 pkt 5, 7, 8 i 10 ustawy. Niemniej jednak, mając na uwadze przepisy ogólnego rozporządzenia o ochronie danych, zasadne jest wyposażenie Rzecznika Praw Pacjenta i RzPPSzP w jednoznaczne uprawnienia dotyczące przetwarzania danych osobowych, w tym danych szczególnych kategorii.
Należałoby zatem postulować zmiany zmierzające do zapewnienia maksymalnej ochrony danych osobowych pacjentów przetwarzanych przez Rzecznika Praw Pacjenta. Kluczowa w tym zakresie pozostaje również reforma ochrony danych osobowych Unii Europejskiej, a w związku z tym obowiązek dostosowania obecnie obowiązujących przepisów do powyższej regulacji. Tym samym nastąpiłoby wyjaśnienie dotychczasowych wątpliwości interpretacyjnych, które na przestrzeni lat pojawiły się w związku z funkcjonowaniem ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy o ochronie zdrowia psychicznego.
Zasadne – jak się wydaje – byłoby wprowadzenie do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta przepisów w zakresie przetwarzania danych osobowych analogicznych do tych, które obowiązują w ustawie z 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich [18] oraz w ustawie z 6 stycznia 2000 r. o Rzeczniku Praw Dziecka [19], oczywiście z uwzględnieniem ogólnego rozporządzenia o ochronie danych.
Sugerowane zmiany wprowadziłyby wyraźną (ustawową) podstawę prawną do przetwarzania danych osobowych pacjentów przez Rzecznika Praw Pacjenta oraz jego pracowników. Rzecznik uzyskałby precyzyjną podstawę do przetwarzania danych wrażliwych dla realizacji swoich obowiązków (wymaganą unijnymi przepisami), natomiast pracownicy Biura, w tym Rzecznicy Praw Pacjenta Szpitali Psychiatrycznych, do ich gromadzenia i przekazywania dla potrzeb wykonywanych zadań.
Należałoby więc rozważyć dodanie do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta nowej normy prawnej stanowiącej wprost prawo organu do przetwarzania danych osobowych, niezbędnych do realizacji swoich ustawowych zadań.
Identyczne w konstrukcji przepisy zostały dodane do ustawy o Rzeczniku Praw Obywatelskich – ustawą z 18 sierpnia 2011 r. o zmianie ustawy o Rzeczniku Praw Obywatelskich (dodany został art. 17c), a następnie do ustawy o Rzeczniku Praw Dziecka – ustawą z 9 lipca 2015 r. (stosunkowo niedawno) o zmianie ustawy o Rzeczniku Praw Dziecka (art. 10c). Zamiarem projektodawców wnioskujących o zmianę ww. ustaw było wypełnienie luki prawnej będącej przyczyną braku podstawy prawnej do przetwarzania danych osobowych (w tym danych wrażliwych – m.in. osób pozbawionych wolności). Nie ulega wątpliwości, że również Rzecznik Praw Pacjenta powinien zostać wyposażony w sposób wyraźny w kompetencje do przetwarzania danych wrażliwych. Przedmiotowe uprawnienie powinno być nie tylko domniemane, ale przede wszystkim wyrażone wprost w ustawie.
Zmiana w kierunku wzmocnienia ochrony danych osobowych pacjentów stanowiłaby właściwe odzwierciedlenie regulacji ogólnego rozporządzenia o ochronie danych. Motyw 45 ww. rozporządzenia objaśnia, że prawo Unii lub prawo państwa członkowskiego powinno określać cel przetwarzania danych. Ponadto, prawo wewnętrzne może doprecyzować ogólne warunki określone w przedmiotowym rozporządzeniu, dotyczące m.in. zgodności przetwarzania z prawem, rodzaj danych osobowych podlegających przetwarzaniu, ograniczenia celu oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Natomiast motyw 47 stanowi, że dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca. Prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W celu wyeliminowania wątpliwości w zakresie przetwarzania danych osobowych przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego** należy rozważyć także doprecyzowanie wprost w art. 47 ustawy zadania Rzecznika Praw Pacjenta w zakresie ochrony praw pacjentów korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny, które faktycznie i tak wykonuje przez swoich pracowników, tj. Rzeczników Praw Pacjenta Szpitala Psychiatrycznego.
Dla systemowej spójności proponowanych regulacji konsekwentnie należałoby dokonać zmiany w ustawie o ochronie zdrowia psychicznego w zakresie organu zobowiązanego do ochrony praw osób korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny (art. 10b ust. 1 ww. ustawy).
Kolejna zmiana ww. ustawy dotyczyć powinna stricte przetwarzania danych osobowych przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego w ramach przysługujących im uprawnień. W celu realizacji określonych zadań Rzecznik Praw Pacjenta Szpitala Psychiatrycznego ma prawo między innymi do wglądu w dokumentację medyczną za zgodą pacjenta, jego przedstawiciela ustawowego, opiekuna prawnego lub faktycznego [20]. Zaznaczyć przy tym należy, że zgodnie z § 3 Rozporządzenia Ministra Zdrowia z dnia 13 stycznia 2006 r. w sprawie szczegółowego trybu i sposobu działania Rzecznika Praw Pacjenta Szpitala Psychiatrycznego [15], Rzecznik Praw Pacjenta Szpitala Psychiatrycznego z własnej inicjatywy (a więc bez żadnego wniosku) dokonuje oceny przestrzegania praw pacjenta, w szczególności w odniesieniu do pacjentów:
• przyjętych do szpitala psychiatrycznego bez zgody;
• wobec których zastosowano przymus bezpośredni;
• niezdolnych do wyrażenia zgody lub stosunku do przyjęcia albo leczenia;
• przebywających w szpitalu psychiatrycznym na mocy orzeczenia sądowego o zastosowaniu środka zabezpieczającego.
Zatem w celu optymalizacji realizacji ww. zadań pożądane byłoby wyposażenie RzPPSzP w uprawnienie dostępu do dokumentacji medycznej we wszystkich formach, o których mowa w art. 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta – a nie tylko do „wglądu”. Bez tej zmiany realizacja powyższych kompetencji będzie w dalszym ciągu utrudniona.
Niezależnie od kwestii poruszonych powyżej należy wskazać na kolejne zagadnienie, które pojawiło się w związku ze stosowaniem przepisów ogólnego rozporządzenia o ochronie danych.
Mianowicie pacjent (jako osoba, której dane przetwarza podmiot leczniczy) ma prawo na podstawie rozporządzenia do bezpłatnej – pierwszej – kopii danych osobowych. Zgodnie z art. 15 ust. 3 RODO:
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
Jak się wydaje, pacjent, który będzie wnosił o dostarczenie mu kopii danych osobowych zawartych w dokumentacji medycznej, w istocie będzie chciał uzyskać po prostu dostęp do swojej dokumentacji medycznej, ale bez ponoszenia z tego tytułu żadnych opłat. Dokumentacja medyczna to bardzo ważny dokument dla pacjenta, służący do kontynuacji leczenia czy też przedłożenia różnego rodzaju organom lub instytucjom. Niemniej, aby dokumentacja medyczna spełniała swój cel, musi być całościowa i kompletna, dostarczenie pacjentowi kopii danych zwartych w dokumentacji medycznej w sposób inny aniżeli przez udostępnienie np. kopii dokumentacji medycznej będzie dla niego po prostu bezużyteczne. Z tego też względu wydaje się zasadne, aby wesprzeć pacjentów w tym zakresie i dać im możliwość uzyskania kopii danych zawartych w dokumentacji medycznej w trybie RODO w formach przewidzianych dla dokumentacji medycznej. Przemawia za tym także fakt, że istnieją elementy dokumentacji medycznej, których z istoty w ogóle nie można udostępniać inaczej niż przez udostępnienie nośnika danych, np. zdjęcia RTG, USG, generalnie wszelkie zdjęcia obrazowe, a także EKG.
Przepisy rozporządzenia nie przesądzają wszakże o formie (postaci) udostępnienia kopii danych, niemniej z praktycznego punktu widzenia udostępnienie kopii dokumentacji, czyli nośnika danych, wydaje się najszybsze, najprostsze i najlogiczniejsze. Niemniej dostęp do swojej dokumentacji medycznej, a więc i danych w niej zawartych, pacjent ma już od dawna zagwarantowany na podstawie norm prawa krajowego, tj. ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, z tą różnicą, że w tym przypadku każda kopia dokumentacji medycznej może być płatna (decyzja należy do podmiotu leczniczego).
Reasumując – jeżeli obecnie pacjent powoła się na RODO (art. 15 ust. 3), otrzyma pierwszą kopię danych (często właśnie kopię dokumentacji medycznej) nieodpłatnie, natomiast osoby, które tego nie uczynią, zostaną obciążone kosztami sporządzenia kopii dokumentacji medycznej na podstawie przepisów prawa krajowego, tj. ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, która przewiduje możliwość pobierania od pacjentów opłat z tego tytułu. Taka sytuacja w gorszej pozycji stawia osoby posiadające mniejszą świadomość prawną, głównie osoby starsze, niepełnosprawne lub z ograniczonym dostępem do informacji.
W związku z powyższym, można byłoby przyjąć na gruncie prawa krajowego, że pierwsza kopia dokumentacji medycznej jest nieodpłatna. Takie rozwiązanie byłoby korzystne dla pacjentów i zabezpieczałoby ich interesy – bez względu na ich świadomość prawną w tym obszarze.
Tym samym art. 28 ust. 2a ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, mógłby brzmieć następująco:
„2a. Opłaty, o której mowa w ust. 1, nie pobiera się w przypadku udostępnienia dokumentacji medycznej:
1) pacjentowi albo jego przedstawicielowi ustawowemu po raz pierwszy w żądanym zakresie i w sposób, o którym mowa w art. 27 ust. 1 pkt 2 i 5 oraz w ust. 3;
2) w związku z postępowaniem przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych, o której mowa w art. 67e ust. 1”.
Podsumowanie
Reasumując – należy upominać się o mądre i oczekiwane zmiany legislacyjne, ale jednocześnie dążyć do racjonalnego stosowania przepisów w zakresie ochrony danych osobowych. Ostatecznie wprowadzone rozwiązania powinny służyć zarówno pacjentom, jak i personelowi medycznemu, organom administracji powinny natomiast zapewniać przejrzyste ramy kompetencyjne. To, do czego pacjent ma prawo, jest obowiązkiem lekarza, pielęgniarki, ratownika medycznego i innych przedstawicieli zawodów medycznych – ale trzeba stworzyć takie warunki, aby możliwe było respektowanie tych praw.
*Obecnie obowiązują: ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000).
** W piśmie z 20 grudnia 2016 r. Generalny Inspektor Ochrony Danych Osobowych wskazał, że: „
Nie ulega wątpliwości, iż dla skutecznej realizacji swoich ustawowych zadań Rzecznik Praw Pacjenta powinien mieć szeroki dostęp do danych wrażliwych, w tym danych pozyskiwanych przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego”.
Oświadczenie
Autor deklaruje brak konfliktu interesów.
Piśmiennictwo
1. Dz. Urz. UE. L z 2016 r., Nr 119; 1.
2. Dz. Urz. UE. L z 2012 r., C 326/02.
3. Dz. Urz. UE. L z 2012 r., C 326/01.
4. Art. 8 ust. 1 i 2 Karty praw podstawowych, Dz. Urz. UE. L z 2012 r., C 326/02.
5. Dz. Urz. UE. L z 2016 r., Nr 119; 1-2.
6. Preambuła ogólnego rozporządzenia o ochronie danych, Dz. Urz. UE. L z 2016 r., Nr 119
7. Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz. U. L 354 z 31.12.2008, s. 70).
8. Dz. U. z 2017 r., poz. 1318 z późn. zm.
9. Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz. U. L 88 z 4.4.2011, s. 45).
10. Dz. U. Nr 111, poz. 535 z późn. zm.
11. Karkowska D. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta. Komentarz, wyd. III, Lex 2016.
12. Stanowisko Generalnego Inspektora Ochrony Danych Osobowych z 20 grudnia 2016 r.
13. Stanowisko Generalnego Inspektora Ochrony Danych Osobowych z 21 marca 2017 r.
14. Dz. U. Nr 141, poz. 1183.
15. Dz. U. Nr 16, poz. 126.
16. P 11/98, OTK 2000, Nr 1, poz. 3.
17. Wyroki TK z: 30.10.2001 r., K 33/00, OTK 2001, Nr 7, poz. 217; 22.5.2002 r., K 6/02, OTK-A 2002, Nr 3, poz. 33; 20.4.2004 r., K 45/02, OTK-A 2004, Nr 4, poz. 30).
18. Dz. U. z 2014 r., poz. 1648 z późn. zm.
19. Dz. U. z 2015 r., poz. 2086 z późn. zm.
20. Art. 10b ust. 4 pkt 3 ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego.
This is an Open Access journal, all articles are distributed under the terms of the Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International (CC BY-NC-SA 4.0). License (http://creativecommons.org/licenses/by-nc-sa/4.0/), allowing third parties to copy and redistribute the material in any medium or format and to remix, transform, and build upon the material, provided the original work is properly cited and states its license.