Ochrona danych wrażliwych w medycynie – odpowiedzialność i rola adwokata
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Dane o stanie zdrowia należą do najbardziej chronionych informacji w polskim i unijnym porządku prawnym. W sektorze medycznym – w szpitalach, przychodniach, gabinetach, aptekach i firmach przetwarzających dokumentację medyczną – ich ujawnienie lub bezprawne przetwarzanie może rodzić nie tylko odpowiedzialność administracyjną (kary Prezesa UODO), lecz także cywilną (odszkodowanie i zadośćuczynienie) oraz karną. Adwokat lub radca prawny specjalizujący się w ochronie danych pełni tu podwójną rolę: doradza placówkom medycznym, jak zgodnie z prawem przetwarzać dane pacjentów, a w razie naruszenia reprezentuje zarówno administratorów, jak i poszkodowanych pacjentów. W tym artykule wyjaśniamy, dlaczego dane medyczne są traktowane wyjątkowo, na czym polega odpowiedzialność za ich bezprawne przetwarzanie w polskim prawie, jak wygląda obrona i dochodzenie roszczeń oraz jakie kroki powinna podjąć placówka i pacjent po stwierdzeniu naruszenia.
Dlaczego dane o zdrowiu to szczególna kategoria danych (art. 9 RODO)
Dane dotyczące zdrowia, a także dane genetyczne i biometryczne, należą do tzw. szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO (rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679). Zasadą jest zakaz ich przetwarzania – wolno je przetwarzać tylko wtedy, gdy zachodzi jeden z wyjątków z art. 9 ust. 2 RODO. W praktyce medycznej najczęściej są to: wyraźna zgoda pacjenta (art. 9 ust. 2 lit. a), przetwarzanie do celów profilaktyki zdrowotnej, diagnozy, zapewnienia opieki lub leczenia przez personel zobowiązany do tajemnicy zawodowej (art. 9 ust. 2 lit. h) oraz ochrona żywotnych interesów osoby (art. 9 ust. 2 lit. c). Co istotne – w typowym leczeniu podstawą nie jest zgoda, lecz właśnie art. 9 ust. 2 lit. h w połączeniu z przepisami o dokumentacji medycznej. To częsty błąd placówek, które bezzasadnie odbierają od pacjentów zgody na cele lecznicze. Niezależnie od podstawy obowiązują zasady z art. 5 RODO: legalność, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania oraz integralność i poufność.
Tajemnica lekarska i obowiązki wynikające z polskiego prawa
Ochrona danych medycznych w Polsce to nie tylko RODO. Nakłada się na nią tajemnica lekarska – art. 40 ustawy o zawodach lekarza i lekarza dentysty, oraz analogiczne obowiązki innych zawodów medycznych. Prawa pacjenta do poufności informacji i do dostępu do dokumentacji reguluje ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta. Zasady prowadzenia, przechowywania i udostępniania dokumentacji medycznej określają przepisy wykonawcze. Te reżimy działają równolegle: dane mogą być przetwarzane zgodnie z RODO, a mimo to dojść może do naruszenia tajemnicy lekarskiej, i odwrotnie. Dla placówki oznacza to konieczność spójnej polityki – od umów powierzenia przetwarzania (art. 28 RODO), przez środki techniczne i organizacyjne (art. 32 RODO), po procedury udostępniania dokumentacji wyłącznie osobom uprawnionym. Rzetelny doradca prawny ocenia zgodność jednocześnie z RODO i z ustawami sektorowymi, bo organy i sądy patrzą na oba reżimy.
Odpowiedzialność karna za bezprawne przetwarzanie danych (art. 107 ustawy o ochronie danych osobowych)
W polskim prawie istnieje odrębna odpowiedzialność karna za bezprawne przetwarzanie danych. Zgodnie z art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do którego nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli czyn dotyczy danych szczególnych kategorii (a więc m.in. danych o zdrowiu) lub danych dotyczących wyroków skazujących, art. 107 ust. 2 przewiduje surowsze zagrożenie – do lat trzech. Przestępstwo to jest umyślne, co ma kluczowe znaczenie dla obrony: sprawca musi działać świadomie wbrew prawu. Warto dodać sprostowanie do częstego nieporozumienia – wysokie kwoty 'do 20 mln euro lub 4% obrotu' to administracyjne kary pieniężne nakładane przez Prezesa UODO na podstawie art. 83 RODO, a nie kary kryminalne; to dwa różne reżimy odpowiedzialności, które mogą się kumulować.
Rola adwokata po stronie placówki medycznej (administratora)
Doradzając administratorowi danych – szpitalowi, przychodni czy gabinetowi – prawnik pomaga ustalić prawidłową podstawę przetwarzania (najczęściej art. 9 ust. 2 lit. h RODO, a nie zgoda), zbudować rejestr czynności przetwarzania, wdrożyć obowiązki informacyjne (art. 13-14 RODO) oraz zapewnić realizację praw pacjentów: dostępu do danych, sprostowania, ograniczenia i – w dopuszczalnym zakresie – usunięcia (art. 15-22 RODO; uwaga: prawo do usunięcia danych z dokumentacji medycznej jest mocno ograniczone obowiązkowymi okresami przechowywania). Kluczowe są też: ocena skutków dla ochrony danych (DPIA – art. 35 RODO) przy operacjach wysokiego ryzyka, umowy powierzenia z podwykonawcami (art. 28 RODO) oraz procedura zgłaszania naruszeń. Zgodnie z art. 33 RODO administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin, a w razie wysokiego ryzyka dla pacjentów zawiadamia także osoby, których dane dotyczą (art. 34 RODO). Wczesne wsparcie prawnika pozwala uniknąć błędów, które później przesądzają o wysokości kary.
Rola adwokata po stronie pacjenta i dochodzenie roszczeń
Pacjent, którego dane zostały ujawnione lub bezprawnie przetworzone, ma kilka równoległych dróg. Może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, który prowadzi postępowanie i może nałożyć na placówkę karę administracyjną oraz nakazać usunięcie nieprawidłowości. Niezależnie od tego pacjent ma prawo do odszkodowania na podstawie art. 82 RODO – zarówno za szkodę majątkową, jak i niemajątkową (krzywdę). W polskim porządku roszczenia o zadośćuczynienie za naruszenie dóbr osobistych (prywatności, czci) można też opierać na art. 23 i 24 oraz art. 448 Kodeksu cywilnego. W najpoważniejszych przypadkach możliwe jest również zawiadomienie o podejrzeniu popełnienia przestępstwa z art. 107 ustawy o ochronie danych osobowych. Adwokat pomaga wybrać właściwą ścieżkę (często kilka równolegle), zgromadzić dowody naruszenia, wykazać związek przyczynowy między naruszeniem a szkodą oraz oszacować realną wysokość roszczenia – bez obiecywania z góry konkretnych kwot.
Jak placówka powinna zareagować na naruszenie ochrony danych
Po stwierdzeniu naruszenia liczy się czas i dokumentacja. Po pierwsze, należy natychmiast ograniczyć skutki – odciąć nieuprawniony dostęp, zabezpieczyć systemy i nośniki. Po drugie, udokumentować zdarzenie w wewnętrznym rejestrze naruszeń: co się stało, jakich danych i ilu osób dotyczy, jakie są możliwe konsekwencje i jakie podjęto działania (wymóg z art. 33 ust. 5 RODO). Po trzecie, ocenić ryzyko dla praw i wolności pacjentów – od tego zależy, czy konieczne jest zgłoszenie do Prezesa UODO (zasadniczo w 72 godziny) i zawiadomienie pacjentów. Po czwarte, zaangażować inspektora ochrony danych (IOD) oraz – przy poważnym incydencie – prawnika, który oceni odpowiedzialność i przygotuje komunikację z organem. Po piąte, wdrożyć działania naprawcze, by zapobiec powtórzeniu. Przemyślana, udokumentowana reakcja jest często okolicznością łagodzącą przy ocenie sprawy przez organ nadzorczy.
Jak pacjent może zgłosić naruszenie i czego się spodziewać
Pacjent, który podejrzewa, że jego dane medyczne zostały ujawnione lub źle przetworzone, powinien najpierw zwrócić się do administratora (placówki) i do jej inspektora ochrony danych z żądaniem wyjaśnień i realizacji swoich praw. Jeżeli to nie przyniesie skutku, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych – pisemnie, elektronicznie przez ePUAP lub osobiście. RODO nie wyznacza sztywnego, kilkumiesięcznego terminu na samą skargę do organu, choć warto działać niezwłocznie ze względu na zabezpieczenie dowodów i ewentualne terminy przedawnienia roszczeń cywilnych. W skardze należy opisać, czyje i jakie dane oraz w jaki sposób zostały naruszone, dołączyć dowody i wskazać administratora. Co do roszczeń odszkodowawczych z art. 82 RODO oraz z tytułu naruszenia dóbr osobistych – te dochodzi się przed sądem cywilnym, a obowiązują tu terminy przedawnienia z Kodeksu cywilnego. Wsparcie prawnika pomaga prawidłowo sformułować żądania i ocenić szanse.
Najczęstsze pytania
Jakie kary grożą za bezprawne przetwarzanie danych medycznych?
W reżimie karnym art. 107 ustawy o ochronie danych osobowych z 2018 r. przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a gdy chodzi o dane szczególnych kategorii (np. o zdrowiu) – do 3 lat. Odrębnie Prezes UODO może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO (do 20 mln euro lub 4% obrotu).
Czy placówka medyczna zawsze potrzebuje zgody pacjenta na przetwarzanie danych?
Nie. W typowym leczeniu podstawą jest zwykle art. 9 ust. 2 lit. h RODO (profilaktyka, diagnoza, leczenie przez personel zobowiązany do tajemnicy), a nie zgoda. Odbieranie zgody na cele lecznicze bywa błędem. Zgoda (art. 9 ust. 2 lit. a) jest potrzebna głównie poza zakresem opieki zdrowotnej, np. do celów marketingowych.
Jak pacjent może dochodzić odszkodowania za wyciek danych medycznych?
Pacjent może żądać odszkodowania na podstawie art. 82 RODO – za szkodę majątkową i niemajątkową (krzywdę). W polskim prawie możliwe jest też zadośćuczynienie za naruszenie dóbr osobistych (art. 23, 24 i 448 Kodeksu cywilnego). Roszczenia dochodzi się przed sądem cywilnym; warto wcześniej zebrać dowody naruszenia i jego skutków.
W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Administrator (placówka) zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO), a przy wysokim ryzyku zawiadamia też pacjentów (art. 34 RODO). Pacjent składający skargę do organu nie ma sztywnego terminu, ale powinien działać niezwłocznie.
Czym różni się kara administracyjna UODO od odpowiedzialności karnej?
To dwa odrębne reżimy. Kara administracyjna (art. 83 RODO) jest pieniężna i nakłada ją Prezes UODO na administratora lub podmiot przetwarzający. Odpowiedzialność karna (art. 107 ustawy o ochronie danych) dotyczy konkretnej osoby fizycznej działającej umyślnie i grozi jej grzywna, ograniczenie albo pozbawienie wolności. Reżimy mogą się kumulować.
Czy mam prawo żądać usunięcia moich danych z dokumentacji medycznej?
Tylko w ograniczonym zakresie. Prawo do bycia zapomnianym (art. 17 RODO) jest wyłączone tam, gdzie przetwarzanie jest konieczne do wypełnienia obowiązku prawnego – a dokumentację medyczną trzeba przechowywać przez okresy określone w przepisach. Pacjent ma natomiast pełne prawo dostępu do danych i ich sprostowania.
Powiązane poradniki
- Nielegalne przetwarzanie danych osobowych – jakie masz prawa i kiedy grozi odpowiedzialność karna
- Przestępstwa przeciwko ochronie danych osobowych — kary z art. 107 i 108 UODO oraz RODO
- Wyciek danych osobowych - obowiązki, kary RODO i obrona prawna w Polsce
- Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
Podstawa prawna i źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – szczególne kategorie danych (art. 9), zasady przetwarzania (art. 5-6), obowiązki informacyjne (art. 13-14), prawa osoby (art. 15-22), powierzenie i bezpieczeństwo (art. 28, 32), zgłaszanie naruszeń (art. 33-34), odszkodowanie (art. 82), kary administracyjne (art. 83)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (odpowiedzialność karna za bezprawne przetwarzanie – art. 107; rola Prezesa UODO)
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (prawo do poufności i dostępu do dokumentacji medycznej)
- Urząd Ochrony Danych Osobowych (UODO) – informacje o składaniu skarg i zgłaszaniu naruszeń ochrony danych
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę