Nieuprawnione udostępnienie dokumentacji medycznej - jakie prawa ma pacjent i jak dochodzić roszczeń
RODO i dane osobowe · 4 min czytania · Redakcja zaufanyprawnik.pl
Dokumentacja medyczna należy do najściślej chronionych kategorii danych osobowych - to dane o stanie zdrowia, czyli tzw. dane szczególnej kategorii w rozumieniu art. 9 RODO. Ich nieuprawnione ujawnienie narusza jednocześnie prawo pacjenta do zachowania tajemnicy informacji o nim, przepisy o ochronie danych osobowych oraz dobra osobiste chronione w Kodeksie cywilnym. Pacjent, którego dokumentacja trafiła w niepowołane ręce, nie jest bezradny: ma do dyspozycji kilka równoległych dróg - od zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych, przez skargę do Rzecznika Praw Pacjenta, po powództwo cywilne o zadośćuczynienie i ewentualne zawiadomienie o przestępstwie. Poniżej wyjaśniamy, jakie konkretnie przepisy chronią pacjenta w Polsce, jak udokumentować naruszenie i krok po kroku dochodzić swoich praw. Artykuł ma charakter informacyjny; w indywidualnej sprawie warto skonsultować się z prawnikiem.
Co oznacza nieuprawnione udostępnienie dokumentacji medycznej
O nieuprawnionym udostępnieniu mówimy, gdy dane o stanie zdrowia pacjenta trafiają do osoby lub podmiotu, który nie miał prawa ich poznać, bez podstawy prawnej i bez zgody pacjenta. Może to być przekazanie wyników badań niewłaściwej osobie, wgląd pracownika placówki w kartotekę bez uzasadnienia, wysłanie skierowania na błędny adres e-mail, pozostawienie dokumentów w miejscu dostępnym dla osób trzecich czy wyciek danych z systemu informatycznego. Zasady prowadzenia, przechowywania i udostępniania dokumentacji medycznej reguluje ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (rozdział 7) oraz ustawa o działalności leczniczej. Dokumentacja może być udostępniana wyłącznie pacjentowi, jego przedstawicielowi ustawowemu, osobie upoważnionej oraz - na zasadach określonych w ustawie - uprawnionym organom i podmiotom. Każde wyjście poza ten katalog bez podstawy prawnej jest naruszeniem.
Trzy reżimy odpowiedzialności: ochrona danych, prawa pacjenta i Kodeks cywilny
Nieuprawnione ujawnienie dokumentacji medycznej uruchamia trzy uzupełniające się reżimy. Po pierwsze, ochrona danych osobowych: dane o zdrowiu to dane szczególnej kategorii (art. 9 RODO), a ich przetwarzanie bez podstawy prawnej narusza RODO i polską ustawę z 10 maja 2018 r. o ochronie danych osobowych. Po drugie, prawa pacjenta: ustawa z 6 listopada 2008 r. gwarantuje prawo do zachowania w tajemnicy informacji związanych z pacjentem (art. 13-14). Po trzecie, prawo cywilne: zdrowie, prywatność i tajemnica korespondencji to dobra osobiste chronione na podstawie art. 23 i 24 Kodeksu cywilnego, a za ich naruszenie można żądać zadośćuczynienia pieniężnego na podstawie art. 448 KC. W grę wchodzi też odpowiedzialność karna - ujawnienie informacji objętej tajemnicą zawodową (lekarską) wyczerpuje znamiona przestępstwa z art. 266 Kodeksu karnego.
Gdzie złożyć skargę i do kogo się zwrócić
Najwłaściwszą drogą w sprawach o nieuprawnione ujawnienie danych zdrowotnych jest skarga do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). To organ nadzorczy właściwy w sprawach naruszeń RODO; może prowadzić postępowanie, nakazać administratorowi usunięcie nieprawidłowości i nałożyć administracyjną karę pieniężną. Równolegle pacjent może złożyć skargę do Rzecznika Praw Pacjenta, który bada naruszenia praw pacjenta, w tym prawa do tajemnicy. Jeśli naruszenia dopuścił się lekarz lub inny przedstawiciel zawodu medycznego, możliwe jest zawiadomienie właściwego rzecznika odpowiedzialności zawodowej (np. okręgowej izby lekarskiej). W przypadku podejrzenia przestępstwa z art. 266 KK składa się zawiadomienie do prokuratury lub na policję. Roszczeń pieniężnych (zadośćuczynienie, odszkodowanie) dochodzi się natomiast przed sądem powszechnym - cywilnym, a nie administracyjnym.
Odszkodowanie i zadośćuczynienie - na jakiej podstawie i w jakiej wysokości
Pacjent może dochodzić zarówno zadośćuczynienia za krzywdę (cierpienie, stres, naruszenie prywatności), jak i odszkodowania za szkodę majątkową. Podstawą krajową jest art. 448 KC w związku z art. 23 i 24 KC - zadośćuczynienie za naruszenie dóbr osobistych. Niezależnie od tego art. 82 RODO przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia przepisów RODO, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Polskie sądy coraz częściej zasądzają zadośćuczynienie na podstawie art. 82 RODO za sam fakt naruszenia ochrony danych, jeżeli wykazano realną krzywdę. Wysokość zależy ściśle od okoliczności: zakresu ujawnionych danych, kręgu odbiorców, skutków dla pacjenta i stopnia winy podmiotu. Nie istnieje sztywna ustawowa kwota maksymalna - sąd ocenia każdą sprawę indywidualnie.
Jak udokumentować naruszenie - co zebrać przed wizytą u prawnika
Skuteczność roszczeń zależy od dowodów. Zacznij od ustalenia faktów: kiedy, w jaki sposób i wobec kogo doszło do ujawnienia, jakie dokładnie informacje zostały ujawnione. Zabezpiecz dowody materialne: zrzuty ekranu, korespondencję e-mail, błędnie zaadresowane przesyłki, kopie dokumentów, dane świadków, którzy widzieli ujawnienie lub którym informacje przekazano. Zachowaj korespondencję z placówką - zgłoszenia, reklamacje i ich brak odpowiedzi. Warto wystąpić do administratora z żądaniem informacji na podstawie art. 15 RODO (prawo dostępu) oraz zgłosić mu naruszenie, bo administrator ma własne obowiązki dotyczące rejestrowania i zgłaszania incydentów (art. 33-34 RODO). Jeśli ujawnienie wywołało udokumentowane skutki - stres, problemy zawodowe, koszty - zgromadź dokumentację medyczną lub psychologiczną oraz dowody poniesionych wydatków. Im pełniejszy materiał, tym mocniejsza pozycja w postępowaniu.
Środki zapobiegawcze po stronie placówek medycznych
Choć perspektywa pacjenta jest pierwszoplanowa, warto wiedzieć, do czego zobowiązane są placówki - to pomaga ocenić, czy doszło do zaniedbania. Podmiot leczniczy jako administrator danych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych (art. 24 i 32 RODO). Należą do nich: polityka ochrony danych i procedury dostępu do dokumentacji oparte na zasadzie wiedzy koniecznej, kontrola i rejestrowanie dostępu do systemów, weryfikacja tożsamości osoby odbierającej dokumentację, regularne szkolenia personelu z zakresu tajemnicy zawodowej i RODO oraz powołanie inspektora ochrony danych tam, gdzie jest to wymagane. Cykliczne audyty zgodności pozwalają wykryć luki, zanim doprowadzą do wycieku. Brak takich środków lub ich rażące zlekceważenie wzmacnia roszczenia pacjenta, bo świadczy o zawinieniu po stronie podmiotu leczniczego.
Najczęstsze pytania
Jakie dane medyczne są chronione?
Chroniona jest cała dokumentacja medyczna oraz wszelkie informacje o stanie zdrowia, rozpoznaniu, przebiegu i metodach leczenia. Dane o zdrowiu to dane szczególnej kategorii w rozumieniu art. 9 RODO, objęte zaostrzoną ochroną. Ich przetwarzanie i udostępnianie wymaga podstawy prawnej, a co do zasady - zgody pacjenta lub wyraźnego przepisu ustawy o prawach pacjenta.
Gdzie złożyć skargę na nieuprawnione ujawnienie dokumentacji?
Skargę dotyczącą naruszenia ochrony danych składa się do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Naruszenie praw pacjenta można zgłosić Rzecznikowi Praw Pacjenta, a niewłaściwe zachowanie lekarza - rzecznikowi odpowiedzialności zawodowej izby lekarskiej. Roszczeń pieniężnych dochodzi się przed sądem powszechnym (cywilnym), a nie administracyjnym.
Czy mogę żądać pieniędzy za stres po ujawnieniu danych?
Tak. Można dochodzić zadośćuczynienia za naruszenie dóbr osobistych na podstawie art. 448 w zw. z art. 23 i 24 KC oraz odszkodowania na podstawie art. 82 RODO za szkodę niemajątkową i majątkową. Trzeba jednak wykazać naruszenie i jego skutki. Wysokość zależy od okoliczności sprawy - nie ma sztywnej kwoty ustawowej.
W jakim terminie trzeba zareagować na naruszenie?
Skargę do PUODO można złożyć bez sztywnego, krótkiego terminu, choć warto działać szybko ze względu na dowody. Roszczenia cywilne o zadośćuczynienie i odszkodowanie przedawniają się co do zasady z upływem terminów z Kodeksu cywilnego (zwykle 3 lub 6 lat, w zależności od podstawy). Im wcześniej zabezpieczysz dowody i zgłosisz sprawę, tym lepsza Twoja pozycja procesowa.
Co powinienem zebrać przed wizytą u prawnika?
Przygotuj opis zdarzenia (kiedy, jak, wobec kogo doszło do ujawnienia i jakich danych), dowody materialne (zrzuty ekranu, e-maile, błędnie zaadresowane przesyłki), dane świadków, całą korespondencję z placówką oraz dokumentację skutków (np. zaświadczenia o stresie, dowody kosztów). Pomocne jest też wystąpienie do administratora z żądaniem informacji na podstawie art. 15 RODO.
Czy placówka może się zemścić za zgłoszenie naruszenia?
Działania odwetowe wobec pacjenta za zgłoszenie naruszenia są niedopuszczalne i mogą same w sobie naruszać jego dobra osobiste oraz prawa pacjenta. Placówka ma obowiązek zapewnić ciągłość i jakość świadczeń niezależnie od złożonej skargi. Gdyby doszło do działań niekorzystnych, można je zgłosić Rzecznikowi Praw Pacjenta oraz dochodzić ochrony na drodze cywilnej.
Powiązane poradniki
Podstawa prawna i źródła
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 9, 32, 33-34, 82
- Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (art. 23, 24, 448)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 266 - naruszenie tajemnicy zawodowej)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę