Wielu administratorów podmiotów leczniczych staje przed pytaniem: jak długo należy przechowywać wykaz udostępnionej dokumentacji medycznej, skoro sam wykaz nie jest dokumentacją medyczną w rozumieniu ustawy o prawach pacjenta? Sprawa wydaje się prosta, dopóki nie spojrzymy na nią przez pryzmat kontroli organów nadzoru oraz przepisów RODO.
Poniżej wyjaśniam, jakie są możliwości i najlepsze praktyki w zakresie ustalenia okresu retencji takich danych, oraz jak prawidłowo zapisać ten okres w klauzuli informacyjnej.
Czym jest wykaz udostępnionej dokumentacji medycznej?
Wykaz udostępnionej dokumentacji medycznej to ewidencja prowadzona przez podmiot wykonujący działalność leczniczą, w której odnotowuje się każdorazowe udostępnienie dokumentacji medycznej. Wynika to z art. 27 ust. 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (u.p.p.).
🔹 W praktyce taki wykaz często ma formę zbiorczej tabeli, gdzie na jednym arkuszu znajdują się wpisy dotyczące różnych pacjentów i różnych osób upoważnionych.
🔹 Ważne: wykaz nie jest dokumentacją medyczną w rozumieniu art. 29 u.p.p., a więc nie obowiązuje go automatycznie 20-letni okres przechowywania wynikający z tej ustawy.
Brak ustawowego okresu przechowywania – co to oznacza?
W przeciwieństwie do dokumentacji medycznej, dla której ustawa przewiduje konkretne okresy retencji, ustawodawca nie wskazał wprost, jak długo przechowywać sam wykaz udostępnień.
To powoduje, że administrator danych musi samodzielnie określić ten okres, biorąc pod uwagę m.in.:
- cel prowadzenia wykazu (ewidencja kto, kiedy i komu udostępnił dokumentację),
- możliwość kontroli ze strony organów (Rzecznik Praw Pacjenta, UODO, organ rejestrowy),
- zasadę minimalizacji okresu przechowywania danych (art. 5 ust. 1 lit. e RODO).
Dwa podejścia do ustalenia okresu retencji
Z uwagi na brak przepisów szczególnych w tym zakresie, można przyjąć dwa praktyczne rozwiązania:
1. Okres tożsamy z przechowywaniem dokumentacji medycznej – rekomendowany
- Logika: skoro wykaz jest prowadzony w celu dokumentowania udostępnień, powinien być dostępny tak długo, jak długo można zweryfikować dane udostępnienie na podstawie samej dokumentacji medycznej.
- Przykład: dokumentacja medyczna danego rodzaju jest przechowywana 20 lat – wykaz również 20 lat.
- Zaleta: pełna możliwość odtworzenia historii udostępnień w przypadku kontroli lub sporu sądowego.
2. Stały okres 5-letni
- Wzorowany na praktyce dotyczącej przechowywania pisemnych wniosków o udostępnienie dokumentacji medycznej.
- Może być stosowany, jeśli uznamy, że po tym czasie ryzyko konieczności odtworzenia danych jest minimalne.
- Zaleta: krótszy czas przetwarzania danych osobowych, zgodny z zasadą ograniczenia przechowywania z RODO.
Jak określić okres w klauzuli informacyjnej RODO?
W przypadku zbiorczego wykazu, w którym dane wielu osób są zapisane na jednej karcie, pojawia się pytanie: jak długo przetwarzać dane osoby upoważnionej, która została wpisana do wykazu?
Rekomendacja:
- W klauzuli informacyjnej nie podajemy jednej konkretnej daty, ale opisujemy okres jako „do końca okresu przechowywania dokumentacji medycznej, której dotyczyło udostępnienie, a następnie przez okres niezbędny do zabezpieczenia ewentualnych roszczeń”.
- Można też wskazać, że dane będą przechowywane przez okres wynikający z przyjętej przez administratora polityki retencji, np. 20 lat od dokonania wpisu lub 5 lat w przypadku przyjęcia krótszego okresu.
Przykładowy zapis w klauzuli:
Dane będą przetwarzane przez okres przechowywania dokumentacji medycznej, której dotyczyło udostępnienie, a po jego upływie – przez okres niezbędny do zabezpieczenia ewentualnych roszczeń, jednak nie dłużej niż 2 lata od zakończenia podstawowego okresu przechowywania.
Praktyczne przykłady
Przykład 1 – podejście równe okresowi przechowywania dokumentacji medycznej
Przychodnia „MediLux” prowadzi wykaz udostępnień dokumentacji pacjentów. Dokumentacja medyczna w tej placówce jest przechowywana 20 lat od ostatniego wpisu. W polityce retencji zapisano, że wykaz udostępnień jest przechowywany również 20 lat, co umożliwia pełną weryfikację w razie kontroli.
Przykład 2 – podejście 5-letnie
Centrum Rehabilitacji „RehaMax” ustaliło, że wnioski o udostępnienie dokumentacji i sam wykaz będą przechowywane 5 lat od dnia wpisu. Po tym czasie dane są anonimizowane, a oryginalne formularze niszczone. Placówka uznała, że taki okres wystarczy dla celów dowodowych i kontroli.
Podsumowanie
- Wykaz udostępnionej dokumentacji medycznej nie jest dokumentacją medyczną – brak ustawowego okresu retencji.
- Najbezpieczniej jest przechowywać go tak długo, jak dokumentację medyczną, której dotyczy (np. 20 lat), co pozwala na pełną weryfikację udostępnień.
- Alternatywnie można przyjąć okres 5-letni, zgodny z praktyką dotyczącą przechowywania wniosków o udostępnienie.
- W klauzuli informacyjnej należy określić okres przechowywania w sposób powiązany z celem przetwarzania i polityką retencji administratora.
Podstawa prawna
- art. 27 ust. 4, art. 29 – ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
- art. 5 ust. 1 lit. e – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
Tematy porad zawartych w poradniku:
- okres przechowywania wykazu udostępnionej dokumentacji medycznej
- RODO w placówkach medycznych
- polityka retencji danych w podmiotach leczniczych
- przechowywanie danych osób upoważnionych
Przydatne linki do stron urzędowych:
- https://www.gov.pl/web/rpp – Rzecznik Praw Pacjenta
- https://uodo.gov.pl – Urząd Ochrony Danych Osobowych
- https://isap.sejm.gov.pl – Internetowy System Aktów Prawnych