RODO

Klauzule informacyjne

Obowiązek przekazywania informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą został uregulowany w art. 14 RODO. Komentowany przepis nakłada na administratora danych obowiązek informacyjny w sytuacji pozyskiwania danych osobowych nie od osoby, której dane dotyczą, czyli tzw. wtórnego zbierania danych. Przypadki wtórnego gromadzenia danych to sytuacje, w których źródłem danych nie jest os., którą identyfikują zbierane dane osobowe – źródłem danych będą więc w szczególności inne osoby lub dokumenty, w tym zbiory danych ogólnie dostępne (wykazy, rejestry). Zwolnienia z obowiązku informacyjnego zostały uregulowane w ust. 5 ww. przepisu oraz doprecyzowane, w treści art. 4 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (dalej jako: ustawa). Zgodnie z treścią powołanego przepisu (art.4 ustawy) W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa a art. 14 ust. 1, 2, 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazania tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) narusza ochronę informacji niejawnych.
W/w. przypadku administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.

Biorąc pod uwagę powyższe, KOROUN nie jest zobowiązany do przekazywania klauzul informacyjnych wobec pacjentów, których badania są wykonywane na podstawie przepisów prawa, przez NIL. Administrator natomiast zobowiązany jest poinformować osobę, której dane dotyczą na jej wniosek, bez zbędnej zwłoki, nie później niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazywania informacji,
o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.

KOROUN informuje, że nie będzie zawierał z podmiotami realizującymi zadania z zakresu ochrony zdrowia publicznego umów powierzenia przetwarzania danych osobowych, ponieważ są one równorzędnymi podmiotami posiadającymi statut administratora danych osobowych, w zakresie w jakim przetwarzają one dane osobowe Pacjentów, których badania do przeprowadzenia zlecają NIL.

Zgodnie z treścią art. 42 ust. 1 w zw. z art. 43 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (dalej jako: ustawa) Minister właściwy do spraw zdrowia może zlecić, w drodze umowy, realizację zadań z zakresu ochrony zdrowia publicznego przed zakażeniami i chorobami zakaźnymi:
1) szpitalom i oddziałom zakaźnym zapewniającym izolację i leczenie osób chorych na choroby zakaźne oraz zapewniających całodobowo konsultacje lekarzy specjalistów
w zakresie zakażeń i chorób zakaźnych;
2) poradniom i punktom konsultacyjnym w zakresie zakażeń i chorób zakaźnych oraz szczepień ochronnych.
Jednostki, które zostały wymienione w art. 42 ust. 1., realizują zadania z zakresu ochrony zdrowia publicznego przed zakażeniami i chorobami zakaźnymi, współpracując z:
1) Państwową Inspekcją Sanitarną, Wojskową Inspekcją Sanitarną i Państwową Inspekcją Sanitarną Ministerstwa Spraw Wewnętrznych i Administracji;
2) jednostkami Systemu Państwowego Ratownictwa Medycznego, o których mowa w ustawie z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. z 2017 r. poz. 2195);
3) podstawowymi jednostkami organizacyjnymi uczelni medycznych lub innych uczelni
w rozumieniu statutów tych uczelni, placówkami naukowymi Polskiej Akademii Nauk, instytutami badawczymi oraz jednostkami organizacyjnymi posiadającymi status instytutu badawczego;
4) Narodowym Funduszem Zdrowia;
5) podmiotami wchodzącymi w skład międzynarodowego nadzoru epidemiologicznego;
6) organami samorządu terytorialnego;
7) Policją, Państwową Strażą Pożarną i Strażą Graniczną.

Natomiast podmiot udzielający świadczeń zdrowotnych udostępnia dokumentacje medyczną również:
a) podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
2) organom władzy publicznej, w tym Rzecznikowi Praw Pacjenta, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom krajowym
i wojewódzkim, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań,
w szczególności nadzoru i kontroli;
2a) podmiotom, o których mowa w art. 119 ust. 1 i 2 ustawy z dnia 15 kwietnia 2011 r.
o działalności leczniczej, w zakresie niezbędnym do przeprowadzenia kontroli na zlecenie ministra właściwego do spraw zdrowia;
2b) upoważnionym przez podmiot, o którym mowa w art. 121 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, osobom wykonującym zawód medyczny, w zakresie niezbędnym do sprawowania nadzoru nad podmiotem leczniczym niebędącym przedsiębiorcą;
3) ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuraturom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej, w związku
z prowadzonym postępowaniem;
4) uprawnionym na mocy odrębnych ustaw organom i instytucjom, jeżeli badanie zostało przeprowadzone na ich wniosek;
5) organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności, w związku
z prowadzonym przez nie postępowaniem;
6) podmiotom prowadzącym rejestry usług medycznych, w zakresie niezbędnym do prowadzenia rejestrów;
7) zakładom ubezpieczeń, za zgodą pacjenta;
7a) komisjom lekarskim podległym ministrowi właściwemu do spraw wewnętrznych, wojskowym komisjom lekarskim oraz komisjom lekarskim Agencji Bezpieczeństwa Wewnętrznego lub Agencji Wywiadu, podległym Szefom właściwych Agencji;
8) osobom wykonującym zawód medyczny, w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów
o akredytacji w ochronie zdrowia albo procedury uzyskiwania innych certyfikatów jakości,
w zakresie niezbędnym do ich przeprowadzenia;
9) wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych, o której mowa
w art. 67e ust. 1, w zakresie prowadzonego postępowania;
10) spadkobiercom w zakresie prowadzonego postępowania przed wojewódzką komisją
do spraw orzekania o zdarzeniach medycznych, o której mowa w art. 67e ust. 1;
11) osobom wykonującym czynności kontrolne na podstawie art. 39 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, w zakresie niezbędnym do ich przeprowadzenia;
12) członkom zespołów kontroli zakażeń szpitalnych, o których mowa w art. 14 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2016 r. poz. 1866, 2003 i 2173), w zakresie niezbędnym do wykonywania ich zadań.


Dane pozyskiwane przez KOROUN

Formularz „ZLECENIE BADANIA  do  KOROUN” zgodnie z Rozporządzenie Ministra Zdrowia z dnia 21 marca 2009 r. [1] zawiera pola:

a) dane pacjenta:

    • imię i nazwisko,
    • data urodzenia,
    • miejsce zamieszkania/oddział szpitalny,
    • płeć,
    • PESEL,

b) dane lekarza zlecającego badanie lub innej osoby upoważnionej do zlecenia badania,

c) dane jednostki zlecającej badania,

d) miejsce przesłania wyniku badania lub dane osoby upoważnionej do odbioru,

e) rodzaj materiału i jego pochodzenie,

f) zlecone badania,

g) data pobrania materiału do badania,

h) istotne dane kliniczne pacjenta.

W zakresie istotnych danych klinicznych (podpunkt h) KOROUN wymaga przekazania informacji dotyczących: daty wystąpienia objawów oraz daty rozpoczęcia hospitalizacji pacjenta, objawów klinicznych towarzyszących zakażeniu, zastosowanej antybiotykoterapii u pacjenta (strona 1 Zlecenia). Dodatkowo Zlecenie zawiera pola dotyczące wyników wcześniejszej diagnostyki laboratoryjnej materiałów klinicznych i szczepów bakteryjnych (strona 2 Zlecenia). Informacje te są niezbędne w działalności referencyjnej Ośrodka: interpretacji wyników badań przeprowadzonych w KOROUN, w postępowaniu przeciwepidemicznym, w monitorowaniu zakażeń inwazyjnych na poziomie krajowym i europejskim, a często również konieczne do podjęcia decyzji o rozpoczęciu lub zakończeniu badania w Ośrodku.

W Zleceniu znajdują się również dodatkowe pola pozwalające pozyskać dane kluczowe w postępowaniu przeciwepidemicznym: o szczepieniach przeciwko Neisseria menigitidis, Streptococcus pneumoniae oraz Haemophilus influenzeae przeprowadzonych u pacjenta, liczby posiadanego rodzeństwa, o uczęszczaniu do żłobka bądź przedszkola. Pozyskiwanie tych danych jest zgodne z w/w rozporządzeniem w pkt. 1.6. Zał nr 2 do rozp., które zawiera katalog otwarty tj. istotne klinicznie dane pacjenta, w szczególności: rozpoznanie, występujące czynniki ryzyka zakażenia, wcześniejsza antybiotykoterapia, wcześniejsza hospitalizacja, choroby towarzyszące. Konieczność pozyskiwania dodatkowych danych przez KOROUN wyjaśniono poniżej.

KOROUN został powołany decyzją Ministra Zdrowia i Opieki Społecznej z dnia 29.01.1997 roku w Centralnym Laboratorium Surowic i Szczepionek (obecnie Narodowy Instytut Leków) i rozpoczął działalność 1 lutego 1997 roku. Głównym zadaniem ośrodka jest monitorowanie pozaszpitalnych bakteryjnych zakażeń inwazyjnych w oparciu o potwierdzenie laboratoryjne oraz poprzez zbieranie danych o zachorowaniach, ich etiologii i częstości występowania. Dodatkowo obowiązek monitorowania sytuacji epidemiologicznej w kraju wynika z ustawy z dnia 5 grudnia 2008 r. „O zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi” [2]. Zgodnie z wyznaczonymi zadaniami Krajowy Ośrodek KOROUN dostarcza niezbędne dane epidemiologiczne m. in. dla celów tworzenia polityki szczepień, schematów (rekomendacji) terapeutycznych, diagnostycznych i profilaktycznych na potrzeby m.in.: Służby Zdrowia, Ministra Zdrowia, Służb Epidemiologicznych i Unii Europejskiej (EU).

Monitorowanie zakażeń inwazyjnych to jedno z zadań EU [3]. Zgodnie z rozporządzeniem ustanawiającym European Centre for Disease Prevention and Control (ECDC) państwa członkowskie EU muszą terminowo przekazywać ECDC dostępne dane epidemiologiczne [4]. Europejski system nadzoru (TESSy) został stworzony przez ECDC w celu gromadzenia, analizowania i rozpowszechniania danych z monitorowania chorób zakaźnych w Europie [5,6].

W Polsce istnieją dwa systemy rejestracji pozaszpitalnych zakażeń inwazyjnych o etiologii bakteryjnej. Podstawą pierwszego, obowiązkowego, prowadzonego przez Narodowy Instytut Zdrowia Publicznego – Państwowy Zakład Higieny (NIZP-PZH), są zgłoszenia lekarzy i diagnostów laboratoryjnych. Drugi system, obecnie dobrowolny (do czasu wprowadzenia rozporządzeń do Ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi), koordynowany przez KOROUN, rejestruje przypadki potwierdzone laboratoryjnie [2]. Informacje z obu systemów są rokrocznie porównywane i łączone w jednym raporcie i przesyłane do ECDC za pośrednictwem sytemu TESSy. Dane uzyskiwane przez Ośrodek pozwalają na weryfikację przypadków rejestrowanych w systemie laboratoryjnym z bazą danych NIZP-PZH. W sytuacji, gdy zakażenie jest odnotowywane tylko w jednej bazie danych, gwarantuje to uszczelnienie systemu monitorowania i lepsze rozpoznanie sytuacji epidemiologicznej kraju.

Referencje

    1. Rozporządzenie Ministra Zdrowia z dnia 21 stycznia 2009 r. zmieniające rozporządzenie w sprawie standardów jakości dla medycznych laboratoriów diagnostycznych i mikrobiologicznych ( Dz.U. 2009 nr 22 poz. 128).
    2. Ustawa z dnia 5 grudnia 2008r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2008r. Nr 234, poz. 1570 z późn. zmianami)
    3. The European Parliament and the Council. Decision no 2119/98/EC of The European Parliament and the Council of 24 September 1998, setting up a network for the epidemiological surveillance and control of communicable diseases in the Community.
    4. The European Parliament and the Council. Regulation (EC) No 851/2004 of The European Parliament and of The Council of 21 April 2004 establishing a European Centre for Disease Prevention and Control.
    5. The European Parliament and the Council. Decision no 1082/2013 of The European Parliament and of The Council of 22 October 2013 on serious cross-border threats to health and repealing Decision No 2119/98/EC (Chapter III, article 6, paragraph 3 and 4).
    6. The European Parliament and the Council. Regulation (EC) no 45/2001 of The European Parliament and of The Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data.