Zmiany w ustawach dotyczących ochrony zdrowia wynikające z ustawy wdrażającej RODO

Rozporządzenie RODO wpłynęło na liczne zmiany w polskim porządku prawnym, w tym dotyczących ochrony zdrowia. Ustawy regulujące sektor zdrowia musiały zostać dostosowane do wymogów RODO, zwłaszcza w zakresie przetwarzania danych osobowych pacjentów. Zmiany dotyczyły m.in. monitoringu wizyjnego w placówkach medycznych, umów powierzenia przetwarzania danych, roli Rzecznika Praw Pacjenta czy dostępu do dokumentacji medycznej.

Tematyka: RODO, ochrona zdrowia, zmiany prawne, monitorowanie wizyjne, przetwarzanie danych osobowych, Rzecznik Praw Pacjenta, dokumentacja medyczna

Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L Nr 119 z 4.5.2016 r., s. 1, ze zm., dalej jako: RODO)
spowodowało konieczność wprowadzenia licznych zmian w krajowym porządku prawnym. W celu wdrożenia
zmian uchwalono ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia
2016/679 (Dz.U. z 2019 r. poz. 730 ze zm.). Zmiany objęły również wiele ustaw regulujących sferę ochrony
zdrowia, ponieważ art. 9 RODO wprost zabrania przetwarzania danych osobowych dotyczących zdrowia. Nie
jest to jednak zakaz absolutny.
W związku z koniecznością dostosowania krajowego porządku prawnego do RODO wprowadzono zmiany
w następujących ustawach odnoszących się do ochrony zdrowia: w ustawie z 19.8.1994 r. o ochronie zdrowia
psychicznego (t.j.: Dz. U. z 2018 r. poz. 1878 ze zm., dalej jako: ZdrPsychU), w ustawie z 5.12.1996 r. o zawodach
lekarza i lekarza dentysty (t.j.: Dz.U. z 2019 r. poz. 537 ze zm., dalej jako: ZawLekU), w ustawie z 22.8.1997 r.
o publicznej służbie krwi (t.j.: Dz.U. z 2017 r. poz. 1371 ze zm., dalej jako: PublSłKrewU), w ustawie z 15.4.2011 r.
o działalności leczniczej (t.j.: Dz.U. z 2018 r. poz. 2190 ze zm., dalej jako: DziałLeczU), w ustawie z 6.11.2008 r.
o prawach pacjenta i Rzeczniku Praw Pacjenta (tj. Dz.U. z 2017 r. poz. 1318 ze zm., dalej jako: PrPacjRPPU),
w ustawie z 28.4.2011 r. o systemie informacji w ochronie zdrowia (t.j.: Dz.U. z 2019 r. poz. 408 ze zm., dalej jako:
SystInformOchrZdrU), w ustawie z 25.6.2015 r. o leczeniu niepłodności (t.j.: Dz.U. z 2017 r. poz. 865 ze zm., dalej
jako: NiepłU), w ustawie z 27.10.2017 r. o podstawowej opiece zdrowotnej (t.j.: Dz.U. z 2019 r. poz. 357 ze zm.,dalej
jako: PodstOpZdrU) oraz w ustawie z 27.8.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków
publicznych (t.j.: Dz.U. z 2018 r. poz. 1510 ze zm., dalej jako: ŚOZŚrPubU).
Działalność lecznicza
Zmiany w przepisach DziałLeczU mają na celu uregulowanie kwestii monitoringu wizyjnego w pomieszczeniach
podmiotów wykonujących działalność leczniczą. W artykule 23 DziałLeczU wprowadzono regulację
umożliwiającą obserwację pomieszczeń ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia
bezpieczeństwa pacjentów lub pracowników podmiotu wykonującego działalność leczniczą. W innych
pomieszczeniach – w pokojach łóżkowych, w pomieszczeniach higieniczno-sanitarnych, przebieralniach,
szatniach – monitoring jest, jeżeli odrębne przepisy nie stanowią inaczej, zakazany. Nagrania obrazu
zawierające dane osobowe pacjentów, pracowników i innych osób, które można na podstawie tych nagrań
zidentyfikować, podmiot wykonujący działalność leczniczą przetwarzałby wyłącznie do celów, dla których zostały
zebrane i przechowywałby przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
Zmiany w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta
W PrPajRPPU uchylono art. 24 ust. 4 oraz art. 30a ust. 10, które regulowały dotychczas kwestie umowy
powierzania przetwarzania danych unormowaną aktualnie w RODO (wymagania, które musi spełniać umowa
wskazano w art. 28 ust. 3 RODO). Doprecyzowano ponadto, że osoby, którym powierzono w drodze umowy
przetwarzanie danych osobowych, zobowiązane są do zachowania ich tajemnicy także po śmierci pacjenta.
W ustawie doprecyzowano także zabezpieczenia, które powinny być stosowane przez Rzecznika Praw Pacjenta
jako administratora danych osobowych, polegające na dopuszczeniu przez administratora danych do
przetwarzania danych osobowych wyłącznie osób pisemnie do tego upoważnionych, pisemnym zobowiązaniu się
osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy, regularnym testowaniu
i doskonaleniu stosowanych środków technicznych i organizacyjnych (dodany art. 47a ust. 4 PrPajRPPU).
W ustawie nowelizującej nadano nowe brzmienie art. 28 ust. 2a PrPajRPPU statuujący zrównanie uprawnień
wynikających w tym zakresie z RODO oraz przepisów prawa krajowego w zakresie dostępu pacjenta do
dokumentacji medycznej.
Zmiany w ustawie o systemie informacji w ochronie zdrowia, w ustawie o leczeniu niepłodności oraz
w ustawie o podstawowej opiece zdrowotnej
Zmiany w SystInformOchrZdrU mają głównie charakter dostosowawczy i polegają w znacznej mierze na usunięciu
przepisów, które powielałyby normy ustanowione w RODO. Warto podkreślić, że w tej ustawie dostosowano
definicję administratora danych do definicji wynikającej z art. 4 pkt 7 RODO. W art. 19 SystInformOchrZdrU

zaproponowano uchylenie ust. 5, który byłby powtórzeniem normy zawartej w art. 21 RODO. Uchylono również art.
19 ust. 9 SystInformOchrZdrU.
Zmiany w ustawie o ochronie zdrowia psychicznego
Celem zmian wprowadzonych w ZdrPsychU jest wprowadzenie przepisu jednoznacznie wskazującego, że organem
obowiązanym do ochrony praw osób korzystających ze świadczeń zdrowotnych udzielanych przez szpital
psychiatryczny jest Rzecznik Praw Pacjenta (art. 10b ZdrPsychU), który swoje zadania realizuje w szczególności
przez Rzeczników Praw Pacjenta Szpitala Psychiatrycznego będących pracownikami Biura Rzecznika Praw
Pacjenta (art. 10d ZdrPsychU).
Zmiany w ustawie o zawodach lekarza i lekarza dentysty
W ZawLekU dodano przepisy wskazujące, jakie dane lekarzy i lekarzy dentystów związane z realizacją stażu
podyplomowego mogą przetwarzać – jako organy organizujące, finansujące oraz zapewniające warunki odbywania
stażu podyplomowego przez absolwentów studiów lekarskich i lekarsko dentystycznych – marszałek województwa
i Minister Obrony Narodowej oraz wojewoda jako organ sprawujący nadzór nad odbywaniem tego stażu (art. 15 ust.
11 ZawLekU).
Dane takie mogą być przetwarzane tylko w celu finansowania, przedłużania i nadzoru nad stażem podyplomowym
(art. 15 ust. 12 ZawLekU).
Zmiany w ustawie o publicznej służbie krwi
W PublSłKrewU wskazano, że administratorem danych gromadzonych w systemie e-krew jest minister właściwy do
spraw zdrowia (art. 17 ust. 3 PublSłKrewU).
Zmiany w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
Zgodnie z art. 6 ust. 1 lit. c RODO, w art. 188 ust. 1, 2–2c, 3, 4, w art. 188a, art. 188b, art. 188ba, art. 188c ust. 6
oraz w art. 188d ŚOZŚrPubU wskazano obowiązek przetwarzania danych przez NFZ, ministra właściwego do spraw
zdrowia i jednostki samorządu terytorialnego.
Ustawa weszła w życie 4.5.2019 r.
Sławomir Kowalski, adwokat, partner w Kancelarii Maruta Wachta sp. j.
Zmiany dostosowujące krajowe przepisy do RODO w zakresie aktów prawnych regulujących obszar szeroko pojętej
ochrony zdrowia mają bardzo zróżnicowany charakter. Częściowo są to zmiany czysto techniczne tj. polegają na
usunięciu przepisów, które pokrywały zakresem swojego zastosowania materię uregulowaną RODO. Inne zmiany
służą przesądzeniu kto pełni rolę administratora danych osobowych i w związku z tym jest odpowiedzialny za
zapewnienie zgodnego z prawem przetwarzania danych osobowych. Jeszcze inne wprowadzają wymóg pisemności
upoważnień nadawanych osobom wykonującym czynności przetwarzania danych osobowych, co w praktyce będzie
utrapieniem wielu administratorów. Za szczególnie istotną należy uznać zmianę w ustawie o prawach pacjenta
i Rzeczniku Praw Pacjenta, która przesądza kwestię odpłatności za dostęp do dokumentacji medycznej, która
w związku z wynikającym z RODO uprawnieniem do uzyskania darmowej pierwszej kopii danych budziła
kontrowersje. Zgodnie ze zmienionymi przepisami pierwsze udostępnienie dokumentacji medycznej pacjentowi i jego
przedstawicielowi ustawowemu nie będzie wymagało opłaty.

Działania legislacyjne mające na celu dostosowanie polskiego prawa do RODO przyniosły liczne zmiany w sektorze ochrony zdrowia. Nowelizacje ustaw dotyczących ochrony zdrowia psychicznego, zawodów lekarza i lekarza dentysty czy systemu informacji w ochronie zdrowia wprowadziły nowe regulacje dotyczące przetwarzania danych osobowych, monitoringu wizyjnego czy uprawnień pacjentów.