Po upływie jakiego maksymalnego czasu należy usunąć dokumentację medyczną pacjenta?
ODPOWIEDŹ
Okres przechowywania dokumentacji medycznej – wynoszący co do zasady 20, a w przypadku zgonu 30 lat – jest maksymalnym czasem, przez jaki lekarze, a tym samym administratorzy danych, mogą przechowywać dokumentację medyczną i przetwarzać dane osobowe w niej zawarte. Z punktu widzenia przepisów RODO przechowywanie danych osobowych po upływie tego ustalonego okresu będzie naruszało zasadę ograniczonego przechowywania z art. 5 ust. 1 lit. d RODO. Wskazuje ona, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane. Zakreślony ustawowo okres 20 (30) lat na archiwizację dokumentacji medycznej jest zatem maksymalnym czasem, przez jaki można dane osobowe przetwarzać do tego właśnie celu. Po tym okresie dane osobowe (dokumentacja medyczna) powinny być usunięte.
Jeśli zaś chodzi o argumentację dotyczącą tego, że nie da się ustalić, kiedy mija w danym przypadku okres 20 lat, to może nie być ona wystarczającym usprawiedliwieniem podczas ewentualnej kontroli ze strony organu nadzorczego. Obowiązkiem administratora danych osobowych jest bowiem wdrożenie odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi nałożone przepisami RODO (art. 24 ust. 1 RODO). Zatem powinnością administratora danych jest w tym przypadku zadbanie o taką organizację pracy, aby wiedzieć, kiedy dokonano ostatniego wpisu w dokumentacji medycznej i kiedy upłynie 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – co pozwoli następnie na usunięcie takiej dokumentacji medycznej. Wynika to wprost z art. 29 ust. 1 i 2 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.