Naruszenie ochrony danych medycznych - odpowiedzialność i rola prawnika
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Dane o zdrowiu to jedna z najwrażliwszych kategorii informacji o człowieku. Ich wyciek - kradzież dokumentacji, udostępnienie wyników badań osobie nieuprawnionej, błąd systemu informatycznego szpitala - rodzi odpowiedzialność placówki i konkretne uprawnienia pacjenta. Sprawa o naruszenie ochrony danych medycznych przebiega na kilku płaszczyznach: administracyjnej (postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych), cywilnej (roszczenie o zadośćuczynienie i odszkodowanie), a niekiedy karnej. Ten artykuł wyjaśnia, jakie przepisy regulują ochronę danych zdrowotnych w Polsce, jaka odpowiedzialność grozi za ich naruszenie, jakie prawa przysługują poszkodowanemu pacjentowi oraz na czym polega praca prawnika - zarówno po stronie placówki, jak i po stronie pacjenta. Ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Jakie przepisy chronią dane medyczne w Polsce
Podstawą jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych). Dane dotyczące zdrowia należą do szczególnych kategorii danych osobowych - ich przetwarzanie jest co do zasady zakazane (art. 9 ust. 1 RODO), chyba że zachodzi jeden z wyjątków z art. 9 ust. 2 RODO, np. przetwarzanie do celów profilaktyki zdrowotnej, diagnozy, zapewnienia opieki zdrowotnej (art. 9 ust. 2 lit. h) albo wyraźna zgoda osoby. RODO uzupełnia polska ustawa z 10 maja 2018 r. o ochronie danych osobowych (m.in. tryb postępowania przed Prezesem UODO i odpowiedzialność krajowa). W ochronie zdrowia obowiązuje nadto ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta - reguluje ona prawo pacjenta do zachowania w tajemnicy informacji z nim związanych (tajemnica medyczna) oraz prawo dostępu do dokumentacji medycznej. Tajemnica lekarska wynika dodatkowo z ustawy o zawodach lekarza i lekarza dentysty. To te akty, a nie ogólnikowo rozumiane 'regulacje opieki zdrowotnej', wyznaczają obowiązki placówki.
Czym jest naruszenie ochrony danych i obowiązek jego zgłoszenia
RODO definiuje naruszenie ochrony danych osobowych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (art. 4 pkt 12 RODO). W placówce medycznej będzie to np. zgubienie nośnika z wynikami, wysłanie skierowania do niewłaściwego adresata, atak ransomware na system czy wgląd personelu bez podstawy. Administrator (np. szpital, przychodnia) ma obowiązek zgłosić naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko, administrator musi nadto zawiadomić bez zbędnej zwłoki same osoby, których dane dotyczą (art. 34 RODO). Zaniechanie tych obowiązków jest samodzielną podstawą odpowiedzialności - dlatego prawidłowa reakcja na incydent bywa kluczowa dla późniejszej oceny sprawy.
Odpowiedzialność administracyjna - kary nakładane przez Prezesa UODO
Najbardziej znaną sankcją są administracyjne kary pieniężne nakładane przez Prezesa UODO na podstawie art. 83 RODO. Maksymalne pułapy zależą od rodzaju naruszenia: do 10 mln euro lub 2% całkowitego rocznego światowego obrotu (za naruszenia m.in. obowiązków administratora, jak zgłaszanie naruszeń czy zabezpieczenia z art. 32 RODO) oraz do 20 mln euro lub 4% obrotu - przy czym stosuje się kwotę wyższą - za naruszenia podstawowych zasad przetwarzania i praw osób (art. 83 ust. 4-6 RODO). Są to górne granice, a nie kary 'automatyczne': Prezes UODO ustala wysokość kary, uwzględniając m.in. charakter, wagę i czas trwania naruszenia, jego umyślność, działania podjęte w celu zminimalizowania szkody oraz stopień współpracy z organem. W polskich realiach kary wobec podmiotów medycznych bywały znacznie niższe niż maksymalne pułapy. Niezależnie od kary Prezes UODO może wydać nakaz dostosowania przetwarzania do przepisów lub upomnienie.
Odpowiedzialność cywilna - zadośćuczynienie i odszkodowanie dla pacjenta
Pacjent, którego dane naruszono, może dochodzić roszczeń bezpośrednio od administratora lub podmiotu przetwarzającego. Art. 82 RODO przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, prawo do uzyskania odszkodowania - obejmuje to także krzywdę (szkodę niemajątkową), np. stres, utratę kontroli nad informacją o zdrowiu, naruszenie prywatności. Administrator odpowiada, chyba że udowodni, iż nie ponosi winy za zdarzenie (odpowiedzialność oparta na domniemaniu winy). Niezależnie od RODO ujawnienie informacji objętej tajemnicą medyczną może stanowić naruszenie dóbr osobistych (prawo do prywatności i tajemnicy informacji o stanie zdrowia), co otwiera drogę do roszczeń z art. 23 i 24 oraz art. 448 Kodeksu cywilnego, a w razie szkody majątkowej - z art. 415 k.c. Sąd przy ustalaniu zadośćuczynienia bierze pod uwagę rozmiar krzywdy, wrażliwość ujawnionych danych i okoliczności naruszenia.
Odpowiedzialność karna i zawodowa za ujawnienie danych o zdrowiu
W poważniejszych przypadkach wchodzi w grę odpowiedzialność karna. Bezprawne ujawnienie lub wykorzystanie informacji, z którą sprawca zapoznał się w związku z pełnioną funkcją lub wykonywaną pracą (w tym tajemnicy medycznej), może wyczerpywać znamiona przestępstwa z art. 266 Kodeksu karnego (do 2 lat pozbawienia wolności, ścigane na wniosek pokrzywdzonego). Polska ustawa o ochronie danych osobowych z 2018 r. przewiduje też przestępstwo przetwarzania danych, których przetwarzanie jest niedopuszczalne albo do których przetwarzania osoba nie jest uprawniona - z surowszą sankcją, gdy dotyczy danych szczególnych kategorii, jak dane o zdrowiu (art. 107 tej ustawy). Lekarza, pielęgniarkę czy innego pracownika medycznego może nadto spotkać odpowiedzialność zawodowa (dyscyplinarna) za naruszenie tajemnicy. Te reżimy są niezależne - to samo zdarzenie może rodzić odpowiedzialność administracyjną, cywilną, karną i zawodową równocześnie.
Jakie prawa ma pacjent po wycieku jego danych
Poszkodowany pacjent ma realny pakiet uprawnień. Po pierwsze, prawo do informacji o naruszeniu, jeśli powoduje ono wysokie ryzyko (art. 34 RODO). Po drugie, prawo dostępu do swoich danych i informacji o tym, kto i na jakiej podstawie je przetwarza (art. 15 RODO), a także prawo do sprostowania (art. 16), usunięcia w określonych przypadkach (art. 17) i ograniczenia przetwarzania (art. 18). Po trzecie, prawo wniesienia skargi do Prezesa UODO (art. 77 RODO) - to bezpłatny tryb, w którym organ bada legalność przetwarzania. Po czwarte, prawo do skutecznego środka ochrony prawnej przed sądem (art. 79 RODO) oraz do dochodzenia odszkodowania i zadośćuczynienia (art. 82 RODO). Praktyczne kroki dla pacjenta: zachować dowody (korespondencję, powiadomienie o naruszeniu, zrzuty ekranu), wystąpić do placówki o wyjaśnienia i kopię dokumentacji, a w razie potrzeby złożyć skargę do UODO i rozważyć pozew cywilny.
Rola prawnika - obrona placówki i reprezentacja pacjenta
Po stronie administratora (placówki) prawnik weryfikuje, czy doszło do naruszenia w rozumieniu RODO, czy zgłoszenie do UODO i zawiadomienie osób były wymagane i czy dochowano terminów, ocenia adekwatność zastosowanych zabezpieczeń (art. 32 RODO), przygotowuje stanowisko w postępowaniu przed Prezesem UODO i reprezentuje placówkę w sporach cywilnych oraz - gdy trzeba - karnych. Istotne jest wykazanie należytej staranności i działań minimalizujących szkodę, bo wpływa to na wymiar ewentualnej kary. Po stronie pacjenta prawnik pomaga sformułować skargę do UODO, wycenić i udokumentować krzywdę, przygotować pozew o zadośćuczynienie z art. 82 RODO lub z tytułu naruszenia dóbr osobistych oraz prowadzić sprawę w sądzie. W obu rolach kluczowe są: znajomość RODO i ustaw krajowych, umiejętność oceny dowodów technicznych (logi dostępu, polityki bezpieczeństwa) oraz rzetelna, empatyczna komunikacja z klientem. Żaden rzetelny prawnik nie obieca z góry konkretnej kwoty zadośćuczynienia ani 'pewnej' wygranej - obietnica gwarantowanego wyniku to sygnał ostrzegawczy.
Najczęstsze pytania
Jaka kara grozi placówce za naruszenie ochrony danych medycznych?
Administracyjna kara pieniężna nakładana przez Prezesa UODO na podstawie art. 83 RODO może sięgać do 10 mln euro lub 2% rocznego światowego obrotu (m.in. za uchybienia obowiązkom administratora) albo do 20 mln euro lub 4% obrotu za naruszenie podstawowych zasad przetwarzania. To górne pułapy - faktyczna kara zależy m.in. od wagi naruszenia, winy i współpracy z organem. Niezależnie grożą roszczenia cywilne pacjentów oraz, w poważnych przypadkach, odpowiedzialność karna i zawodowa.
Czy pacjent może żądać pieniędzy za wyciek danych o zdrowiu?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową i niemajątkową (krzywdę) wyrządzoną naruszeniem przepisów - administrator odpowiada, chyba że udowodni brak winy. Niezależnie ujawnienie informacji o zdrowiu może naruszać dobra osobiste, co pozwala dochodzić zadośćuczynienia na podstawie art. 24 i 448 Kodeksu cywilnego. Wysokość zależy od rozmiaru krzywdy i okoliczności sprawy - z góry nie da się jej zagwarantować.
W jakim terminie placówka musi zgłosić naruszenie ochrony danych?
Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności osób. Gdy naruszenie powoduje wysokie ryzyko, trzeba dodatkowo zawiadomić bez zbędnej zwłoki same osoby, których dane dotyczą (art. 34 RODO).
Gdzie pacjent może złożyć skargę na wyciek swoich danych medycznych?
Pacjent może bezpłatnie złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO), który zbada legalność przetwarzania i może nałożyć sankcje na placówkę. Niezależnie przysługuje prawo do sądowego środka ochrony (art. 79 RODO) oraz do dochodzenia odszkodowania i zadośćuczynienia przed sądem cywilnym (art. 82 RODO). Warto wcześniej zwrócić się do placówki o wyjaśnienia i zabezpieczyć dowody.
Czy ujawnienie danych o zdrowiu może być przestępstwem?
Tak. Bezprawne ujawnienie informacji objętej tajemnicą, z którą sprawca zapoznał się w związku z pracą lub funkcją, może wyczerpywać znamiona przestępstwa z art. 266 Kodeksu karnego (do 2 lat pozbawienia wolności, ściganego na wniosek pokrzywdzonego). Polska ustawa o ochronie danych osobowych z 2018 r. przewiduje też karę za bezprawne przetwarzanie danych szczególnych kategorii, jak dane o zdrowiu (art. 107). Możliwa jest również odpowiedzialność zawodowa personelu medycznego.
Czy zgoda pacjenta jest zawsze potrzebna do przetwarzania danych medycznych?
Nie zawsze. Dane o zdrowiu są szczególną kategorią danych i ich przetwarzanie jest co do zasady zakazane (art. 9 ust. 1 RODO), ale RODO przewiduje wyjątki - m.in. przetwarzanie niezbędne do profilaktyki, diagnozy i sprawowania opieki zdrowotnej (art. 9 ust. 2 lit. h). W takim zakresie placówka medyczna może przetwarzać dane bez odrębnej zgody, jednak nadal musi przestrzegać zasad bezpieczeństwa i tajemnicy medycznej.
Powiązane poradniki
Podstawa prawna i źródła
- Rozporządzenie (UE) 2016/679 (RODO) - art. 4, 9, 15-18, 32-34, 77, 79, 82, 83
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (m.in. art. 107)
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 266 - naruszenie tajemnicy)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę