Po upływie jakiego maksymalnego czasu należy usunąć dokumentację medyczną pacjenta?

PYTANIE SZCZEGÓŁOWE

Pytanie dotyczy przechowywania dokumentacji medycznej przez lekarzy. Zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta okres przechowywania wynosi 20 lat, w przypadku zgonu – 30 lat. Jednak z doświadczenia wiem, że lekarze przechowują dokumentację medyczną dłużej – właściwie nie usuwają jej w ogóle. Uzasadnienie lekarzy jest następujące: po pierwsze technicznie jest to bardzo trudne do wykonania, ponieważ dokumenty archiwizowane są alfabetycznie – wyszukanie tych, które przekroczyły 20 lat, wymagałoby bardzo dużego nakładu finansowego; po drugie dokumentacja medyczna sprzed 20 lat często jest wykorzystywana przez specjalistów, np. dla kardiologa informacje o przebiegu całej choroby lub objawach, które następowały w odległym czasie, mają bardzo duże znaczenie w leczeniu; po trzecie lekarze nie otrzymują informacji o zgonach pacjentów, tym samym nie wiedzą, które dokumenty należałoby przechowywać dłużej. Zatem czy lekarze, przychodnie i poradnie mogą przechowywać dokumentację powyżej 30 lat? Co w sytuacji, gdy nie mogą tak robić, a usunięcie danych jest praktycznie niemożliwe?

ODPOWIEDŹ

Okres przechowywania dokumentacji medycznej – wynoszący co do zasady 20, a  w przypadku zgonu 30 lat – jest maksymalnym czasem, przez jaki lekarze, a tym samym administratorzy danych, mogą przechowywać dokumentację medyczną i przetwarzać dane osobowe w niej zawarte. Z punktu widzenia przepisów RODO przechowywanie danych osobowych po upływie tego ustalonego okresu będzie naruszało zasadę ograniczonego przechowywania z art. 5 ust. 1 lit. d RODO. Wskazuje ona, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane. Zakreślony ustawowo okres 20 (30) lat na archiwizację dokumentacji medycznej jest zatem maksymalnym czasem, przez jaki można dane osobowe przetwarzać do tego właśnie celu. Po tym okresie dane osobowe (dokumentacja medyczna) powinny być usunięte.

Jeśli zaś chodzi o argumentację dotyczącą tego, że nie da się ustalić, kiedy mija w danym przypadku okres 20 lat, to może nie być ona wystarczającym usprawiedliwieniem podczas ewentualnej kontroli ze strony organu nadzorczego. Obowiązkiem administratora danych osobowych jest bowiem wdrożenie odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi nałożone przepisami RODO (art. 24 ust. 1 RODO). Zatem powinnością administratora danych jest w tym przypadku zadbanie o taką organizację pracy, aby wiedzieć, kiedy dokonano ostatniego wpisu w dokumentacji medycznej i kiedy upłynie 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – co pozwoli następnie na usunięcie takiej dokumentacji medycznej. Wynika to wprost z art. 29 ust. 1 i 2 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.