12:13
3/11/2014

Dziś w naszym cyklu Poniedziałek z Prawnikiem temat na czasie — standard obsługi i kolejki w państwowej służbie zdrowia spowodowały, że firmy chętnie wykupują swoim pracownikom ubezpieczenia medyczne w prywatnych firmach i klinikach. Niektórzy z nas często zmieniają pracę, a wraz z nowym pracodawcą przechodzą też do kolejnej prywatnej firmy medycznej. W każdej z nich powstają zbiory wrażliwych informacji na temat zdrowia… Czy jako klienci, możemy je “czyścić”? Zastanawia się jeden z klientów i jest zaskoczony odpowiedzią Lux medu…

grupa-luxmed

Luxmed nie chce skasować moich danych

To są jakieś żarty… Firma, z której usług w ogóle nie korzystam, nie chce skasować moich danych, i to danych cholernie wrażliwych, bo dotyczących historii mojego leczenia. Czy to naprawdę jest zgodne z prawem?

Pyta nasz czytelnik. Co go tak oburzyło? Odpowiedź, jaką uzyskał od firmy Luxmed, kiedy poprosił ją o skasowanie danych zebranych na jego temat. Opdowiedź cytujemy poniżej:

W wyniku Pana zgłoszenia dot. chęci skorzystania z usługi medycznej w LUX MED, powstał w naszych zbiorach zapis, zawierający nie tylko Pana dane osobowe, ale także informację medyczną (rodzaj specjalności medycznej, z której korzysta osoba, to jest informacja medyczna).

Wymagania prawne w zakresie ochrony danych medycznych zawierają m. im. następujące akty prawne:
– Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t. jedn. Dz. U. z 2012 r. poz. 159 ze zm.)
– Rozporządzenie Ministra Zdrowia dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. 2010 r. Nr 252 poz. 1697).

Zgodnie z treścią art. 3 ust. 1 pkt. 4 ustawy z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta termin Pacjent oznacza „osobę zwracającą się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny”.

LUX MED chroni dane medyczne swoich Pacjentów zgodnie z w/w przepisami prawa. Mamy obowiązek przestrzegać w tym zakresie nie tylko ustawy o ochronie danych osobowych (mniej rygorystycznej w tym przypadku), ale także w/w aktów prawnych, dedykowanych specjalnie branży medycznej (wymagania silniejszej ochrony zapisów). W odniesieniu do danych medycznych obowiązuje nas 20-letni okres przechowywania zapisów. W związku z powyższym, jesteśmy zmuszeni odmówić Pani usunięcia zapisów zawierających Pani dane osobowe, w tym dane medyczne.
Zapewniamy, że wszelkie dane naszych Pacjentów są przetwarzane z najwyższą starannością i z poszanowaniem wszystkich wymagań prawnych.
W razie wątpliwości służymy dodatkowymi wyjaśnieniami.

Sprawę, nie tak oczywistą, jak mogłoby się wydawać, komentuje Michał Kluska z kancelarii Olesiński i Współnicy:

Trudno odmówić Luxmed racji w zakresie tego, że faktycznie istnieje prawny obowiązek do przechowywania (czyli w tym samym przetwarzania) dokumentacji medycznej przez okres 20 lat (termin ten jest liczony od końca roku kalendarzowego, w którym dokonano ostatniego wpisu w dokumentacji). Jak zwykle jednak diabeł tkwi w szczegółach. W informacji od Czytelnika zabrakło informacji na jakiej podstawie Luxmed pozyskał Jego dane osobowe, a także czy faktycznie korzystał z usług tego podmiotu. Dlatego dalsza odpowiedź będzie miała charakter generalny.

Aktualnie w przepisach prawa bardzo trudno jest ustalić jednoznacznie (na podstawie definicji ustawowej) czym jest dokumentacja (informacja) medyczna. Generalnie to pojęcie należy rozumieć bardzo szeroko. Odpowiedzenie sobie czym jest dokumentacja medyczna jest istotne bo trzeba ustalić czy po stronie Luxmed taka dokumentacja odnośnie Czytelnika miała szansę w ogóle powstać.

Mimo że przepisy ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia nie stanowią aktu prawnego, który powinien definiować pojęcie „dokumentacja medyczna” szeroko stosowane w systemie prawa, zawierają jej najpełniejszą postać. W tym akcie zdefiniowano pojęcie „elektronicznej dokumentacji medycznej” stanowiąc, że termin ten oznacza:

1. (…)
2. dokumentację medyczną, o której mowa w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, wytworzoną w postaci elektronicznej, zawierającą dane o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, w tym dokument elektroniczny umożliwiający usługobiorcy uzyskanie świadczenia opieki zdrowotnej określonego rodzaju, w przypadku usługodawcy innego niż wymieniony w ust. 1.

Zatem elementem elektronicznej dokumentacji medycznej będzie już nawet fakt o planowanych świadczeniach opieki zdrowotnej – np. wizyty lekarskiej lub badania. Przy okazji tego pytania zwracam również uwagę na treść art. 32 ustawy o ochronie danych osobowych. Każda osoba może (np. mailowo) odpytać administratora o elementy (informacje) zawarte w tym przepisie.

Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2;
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane;
7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację;
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych;
9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.

Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa powyżej w pkt 1-5, nie częściej niż raz na 6 miesięcy.

Aby ograniczyć możliwość korzystania z danych osobowych Czytelnika wyłącznie do ich przechowywania – możliwe jest:

  • cofnięcie zgody na otrzymywanie informacji handlowych (o ile była wyrażana taka zgoda)
  • wniesienie sprzeciwu wobec przetwarzania danych osobowych dla celów marketingu towarów i usług własnych administratora danych osobowych,
  • cofnięcie dodatkowych zgód np. dot. udostępnienia danych.

Dokładne określenie realizowanych przez administratora celów i zakresu danych możliwe jest właśnie w oparciu o art. 32 ustawy.

michal_kluska_o_w Michał Kluska, adwokat i Starszy Konsultant w Kancelarii Olesiński & Wspólnicy (biuro w Warszawie). Zajmuje się problematyką mediów elektronicznych, ze szczególnym uwzględnieniem ochrony danych osobowych w internecie, oraz tematyką usług świadczonych drogą elektroniczną. Członek zespołu TMT. Prelegent podczas licznych konferencji z zakresu prawnych aspektów działalności gospodarczej online, informatyki śledczej oraz ochrony prywatności w internecie.

O Kancelarii:
Olesiński & Wspólnicy to aktualnie 70 doradców, 4 miasta w Polsce (Warszawa, Kraków, Gliwice, Wrocław), 10 lat doświadczenia, 12 wyspecjalizowanych obszarów doradztwa, ponad 40 publikacji i 30 szkoleń rocznie, setki rozwiązanych problemów z obszaru IT/bezpieczeństwa/e-commerce.

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Nagle zacząłem się zastanawiać, czy legitymowanie się fałszywymi dokumentami osobie/firmie prywatnej (jak LuxMed czy np. hotel) jest nielegalne/przestępstwem. Przy założeniu oczywiście, ze należycie płacę za usługe/towar (gotówka, bezimienna karta prepaid itp).

    • To jest poświadczenie nieprawdy i jest karalne.

  2. Sprawa z Lux-Med jest o wiele bardziej skomplikowana. Przepychamy się z nimi od jakiegś czasu w kwestii powierzenia przetwarzania. Może gdy do czegoś dojdziemy, będzie temat na fajny, długi tekst…

    • @pcs – o jakim powierzeniu piszesz? kto komu i jakie dane?

  3. Z treści komentarza wynika, że to czytelniczka nie czytelnik. Drobny błąd, a razi.

    • W treści komentarza nigdzie nie widzę czegokolwiek co mogło by wskazywać na płeć osoby która go napisała. Jednak w odpowiedzi można już przeczytać “W wyniku Pana zgłoszenia “, co wskazuje konkretnie i bez potrzeby domyślania się na to, że nie ma żadnego błędu.

    • “W związku z powyższym, jesteśmy zmuszeni odmówić Pani usunięcia zapisów zawierających Pani dane osobowe, w tym dane medyczne.”

    • Być może nasz czytelnik nie był pierwszym, który o to prosił i dostał niezbyt dokładnie wyedytowany szablon odpowiedzi na tego typu zapytanie?

    • qt W odpowiedzi Lxmed petent zmienia płeć. Pierwszy akapit
      “W wyniku Pana zgłoszenia dot …”
      Drugie zdanie w wytłuszczonym fragmenie:
      ” W związku z powyższym, jesteśmy zmuszeni odmówić Pani usunięcia zapisów”
      Mi się od razu rzuciło w oczy.

      Pozdrawiam

    • gender :) albo celowy zabieg anonimizacji :)

    • Albo w planach była operacja zmiany płci… :)

  4. A ja mam pomysł na kolejny Poniedziałek:
    Co można zrobić z natrętnymi telefonami marketingowymi?
    Są firmy które “losują” numery, a później dzwonią po ludziach. Mimo wielokrotnych próśb usłyszałem, że nie przechowują danych osobowych w związku z czym nie muszę mnie wykreślać z listy.
    Pozostają tylko aplikacje typu BlackList, czy da się to jeszcze jakoś rozwiązać, albo chociaż jakoś sensownie “postraszyć” ?

    • Zapytać w jaki sposób uzyskali (odpowiedź w 100% przypadków: komputer wylosował). Powołać się na artykuł 172 ustęp 1 ustawy Prawo Telekomunikacyjne, który mówi:
      “Zakazane jest używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.”
      100% przypadków to rzucenie słuchawką i spokój na dłuższy okres. Choć jedna baba się ze mną kłóciła że taki przepis nie istnieje ;)
      http://isap.sejm.gov.pl/DetailsServlet?id=WDU20041711800 – tekst ujednolicony

    • @kitor: Rzucenie słuchawką i nic więcej nie uzyskasz. Jeśli miałeś “spokój na dłuższy okres” to tylko zbieg okoliczności. Nie bądź naiwny.

    • Ja problem rozwiazalem tak. Oni dzwonią na losowy numer telefonu, a ja podaję losowe dane i losowy adres do wysylki zaproszen na super wspaniale pokazy kulinarne, etc… Mysle, ze jest to sprawiedliwe.

    • Dzięki, podejrzewam, że i jeden i drugi sposób wykorzystam, przynajmniej będę miał trochę zabawy ;)

  5. To infantylne winić firmę prywatną za to, że w polsce jest ustanowione prawo, które zobowiązuje ją przechowywania danych. Banki przetrzepują transakcje, dobierają reklamy pod to co się kupuje i gdzie płaci. Spróbujcie w banku usunąć historię :) z taśm backupowych również.

  6. A mnie zastanawia w kontekście art. 32, pkt. 3 jak to jest z dostępem do dokumentacji medycznej. W kontekście innej ustawy (o prawach pacjenta) wydanie kopii dokumentacji medycznej może być odpłatne (przy czym ustawa ogranicza wysokość opłat). Czy jeśli powołam się, zamiast na ustawę o prawach pacjenta, na art. 32, pkt. 3, to placówka medyczna w ramach informowania mnie o rodzaju i treści przetwarzanych danych ma obowiązek wydać mi pełną dokumentację za darmo? Zakładam, że w swoim żądaniu do placówki nie będę nawet słowem wspominał o udostępnieniu mi kopii dokumentacji medycznej, tylko o udostępnieniu mi treści przetwarzanych moich danych osobowych.

    • Papierowych nie przetwarzają. Dostaniesz tylko to, co jest w SI.

  7. Lux Med to jest przede wszystkim „dodatkowa opieka medyczna”, czyli możliwość korzystania z usług medycznych finansowanych przez pracodawcę. W opisanym wypadku brakuje nieco danych, ale wygląda to dla mnie w ten sposób, że przetwarzają dane w związku z realizacją umowy dodatkowej opieki medycznej, a nie w celu świadczenia usług medycznych. Różnica jest spora, bo takie dane mogą przetwarzać nawet jeżeli nie skorzystaliśmy z żadnego świadczenia medycznego.

    Żądanie dopełnienia obowiązku informacyjnego na podstawie art. 32 uodo będzie tu rzeczywiście najlepszym rozwiązaniem na początek. Polecam korzystanie ze swoich praw przysługujących każdemu na podstawie tego przepisu. Świetna zabawa, gdy widzi się jak spamerzy i ich niedouczeni prawnicy wiją się po otrzymaniu takiego wniosku :)

    • @pcs: nie ma czegoś takiego jak “dodatkowa usługa medyczna”, ty jako klient możesz sobie taką usługę traktować jako dodatkową (do NFZ) ale z punktu widzenia LM jest to poprostu usługa medyczna, zresztą ciążą na nich obowiązki te same jak na każdej państwowej placówce, obowiązuje karta praw pacjenta itp…

      Ustawa nakazuje przetrzymywanie danych, koniec kropka, tyle w temacie, nie rozumiem w czym problem….

      Acha, być może można zażądać usunięcia adresu zamieszkania, nr. tel, email, które nie są danymi medycznymi…

    • @Mariusz
      Może trochę żargon :)
      Mam na myśli opiekę medyczną finansowaną przez pracodawcę, niezwiązaną z podstawowymi badaniami związanymi z medycyną pracy.

      Bo w tym drugim wypadku mamy oczywiście do czynienia z danymi przetwarzanymi w dokumentacji medycznej. Ale dane przetwarzane w związku z samym faktem zawarcia umowy i _możliwością_ korzystania z opieki medycznej finansowanej przez pracodawcę, moim zdaniem w dokumentacji medycznej nie powinny się znajdować. Co oczywiście nie znaczy, że LM nie ma prawa ich przetwarzać.

    • @pcs,

      Usługa medyczna to usługa medyczna – w momencie pierwszej wizyty i wprowadzenia do Twojej dokumentacji danych medycznych, Twoja dokumentacja staje się “de iure” dokumentacją medyczną i nie podlega tylko przepisom UODO, lecz również powołanym przez “andrzeja” przepisom prawa sektorowego.
      Co do zakresu danych – mogą żądać podania przez Ciebie wszystkich danych, które są niezbędne do poprawnego i skutecznego świadczenia usługi.

      Sprecyzuj proszę jakie wg Ciebie dane nie powinny być przetwarzane, wtedy będę mógł się odnieść.

      Czekam również na odpowiedź w sprawie umowy powierzenia – ciekaw jestem o co chodzi ;).

  8. “Sprawa z Lux-Med jest o wiele bardziej skomplikowana. Przepychamy się z nimi od jakiegś czasu w kwestii powierzenia przetwarzania. Może gdy do czegoś dojdziemy, będzie temat na fajny, długi tekst…”

    @pcs – o jakim powierzeniu piszesz? kto komu i jakie dane?

  9. Archiwalna dokumentacja zakładu jest przechowywana przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. W przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon – po upływie tego terminu zostaje zniszczona w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła – § 51.1 i 51.2.

    7. Zdjęcia rentgenowskie, przechowywane poza dokumentacją indywidualną wewnętrzną, są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie – po upływie tego terminu zostaje zniszczona w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła – § 51.3.

    8. Skierowania na badania lub zlecenia lekarza są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym zrealizowano świadczenie będące przedmiotem skierowania lub zlecenia – po upływie tego terminu zostaje zniszczona w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła – § 51.4.

  10. http://isap.sejm.gov.pl/DetailsServlet?id=WDU20140000177 rozporządzenie

  11. Inna ciekawostka – ich klientem nie hestem jakis czas, a teraz dostaje od nich mase spamu.

    Ciekaw jestem opinii prawnika, jak moge w tej sytuacji ich… dotknac.

    Niestety, wiekszosc firmn stwierdza ze wyrazilem zgode elektronicznie i nie sa w zoobowiazane przedstawic mi dowodu innego niz ich stwierdzenie, ze sie zgodzilem. Jest to cos co milo by bylo jakby zostalo u Wws opisane:-) tzn jak dojechac. Taka nieyczciwa firme. Ps sorki za bledy, era szybkiej informacji i niechlujstwa ;)

    • @filip,
      Zależy czego dotyczy komunikacja przesyłana do Ciebie przez LM. Wystarczy, że wniesiesz sprzeciw dotyczący przesyłania ofert marketingowych i muszą go odnotować i respektować.
      Wysyłać Ci mogą tylko komunikację niezbędną do realizacji usługi i do tego nie potrzebują zgody – w przypadku, gdy już nie jesteś ich pacjentem mogliby tylko poinformować Cię, gdyby nagle istniało zagrożenie Twojego życia lub zdrowia. A jest to mało prawdopodobne, skoro już się u nich nie leczysz.

  12. A spotkał się może kto z “automatycznym generowaniem numerów” zamiast bazy danych? Dzwoni do mnie firma, z którą nigdy nie miałem wcześniej kontaktu, na moje zapytanie: “skąd posiadają oni mój numer”, odpowiadają, że te numery są automatycznie generowane, oni baz danych nie posiadają i jak ten do kogo dzwonią sobie tego nie życzy, to wtedy taki numer blokują. Ktoś coś słyszał i coś wie?

    • Hej, prawo telekomunikacyjne zabrania automatycznego generowania numerow – nie pomne teraz ktory art ale to powinno Ci wystarczyc :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.