Naruszenie RODO w ochronie zdrowia - rola prawnika i prawa pacjenta
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Dane o stanie zdrowia należą do najściślej chronionej kategorii informacji. RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) zalicza je do tzw. szczególnych kategorii danych osobowych, których przetwarzanie jest co do zasady zakazane i dozwolone tylko w ściśle określonych przypadkach (art. 9 RODO). Dla podmiotów leczniczych - szpitali, przychodni, gabinetów, laboratoriów - oznacza to obowiązek wdrożenia podwyższonych zabezpieczeń. Gdy dochodzi do naruszenia ochrony danych (wyciek dokumentacji, kradzież sprzętu, błędne wysłanie wyników, nieuprawniony dostęp), w grę wchodzi zarówno odpowiedzialność placówki przed Urzędem Ochrony Danych Osobowych (UODO), jak i prawa pacjentów do informacji i odszkodowania. W tym artykule wyjaśniamy, jaką rolę pełni prawnik po obu stronach - doradzając placówce, jak zachować zgodność, oraz reprezentując pacjenta, którego prawa naruszono. Opisujemy stan prawny obowiązujący w Polsce: RODO oraz krajową ustawę o ochronie danych osobowych z 10 maja 2018 r.
Dlaczego dane medyczne są chronione szczególnie
Zgodnie z art. 4 pkt 15 RODO dane dotyczące zdrowia to dane osobowe o stanie fizycznym lub psychicznym osoby, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie zdrowia. Należą one - obok danych genetycznych i biometrycznych - do szczególnych kategorii danych z art. 9 RODO. Ich przetwarzanie w ochronie zdrowia jest dopuszczalne między innymi do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej (art. 9 ust. 2 lit. h RODO), pod warunkiem zachowania tajemnicy zawodowej. Naruszenie tych danych jest szczególnie dotkliwe, bo może ujawnić informacje o chorobach, leczeniu psychiatrycznym czy uzależnieniach. Dlatego ustawodawca i organ nadzorczy oczekują od placówek medycznych podwyższonego standardu staranności: szyfrowania, kontroli dostępu, pseudonimizacji i regularnych audytów (art. 32 RODO - bezpieczeństwo przetwarzania).
Obowiązki placówki: IOD, DPIA i rejestr czynności
Podmioty wykonujące działalność leczniczą mają obowiązek wyznaczenia Inspektora Ochrony Danych (IOD), ponieważ przetwarzają na dużą skalę szczególne kategorie danych (art. 37 ust. 1 lit. c RODO). IOD monitoruje przestrzeganie przepisów, doradza i jest punktem kontaktu dla pacjentów oraz UODO. Placówka powinna też prowadzić rejestr czynności przetwarzania (art. 30 RODO) oraz - tam, gdzie przetwarzanie może powodować wysokie ryzyko dla praw i wolności - przeprowadzić ocenę skutków dla ochrony danych, czyli DPIA (art. 35 RODO). Rolą prawnika jest tu wsparcie merytoryczne: weryfikacja podstaw prawnych przetwarzania, przygotowanie i przegląd umów powierzenia przetwarzania danych z podmiotami zewnętrznymi (art. 28 RODO, np. firmy IT, laboratoria, firmy niszczące dokumentację), opracowanie polityk bezpieczeństwa i klauzul informacyjnych zgodnych z art. 13 i 14 RODO.
Co to jest naruszenie ochrony danych i jak je zgłosić
Naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych. W placówkach medycznych typowe przykłady to: zgubienie nośnika z danymi, wysłanie wyników badań do niewłaściwego pacjenta, włamanie do systemu, kradzież laptopa czy udostępnienie dokumentacji osobie nieupoważnionej. Administrator (placówka) ma obowiązek zgłosić naruszenie do Prezesa UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko, placówka musi też bez zbędnej zwłoki zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Prawnik pomaga ocenić ryzyko, przygotować zgłoszenie i komunikat do pacjentów oraz udokumentować incydent.
Prawa pacjenta po naruszeniu jego danych
Pacjent, którego dane naruszono, nie jest bezbronny. Przede wszystkim ma prawo do informacji o naruszeniu, jeżeli wiąże się ono z wysokim ryzykiem (art. 34 RODO). Niezależnie od tego przysługują mu stałe prawa wynikające z RODO: prawo dostępu do danych (art. 15), sprostowania (art. 16), usunięcia w dopuszczalnym zakresie (art. 17 - z zastrzeżeniem, że dokumentacja medyczna podlega obowiązkowym okresom przechowywania), ograniczenia przetwarzania (art. 18) oraz sprzeciwu. Pacjent może złożyć skargę do Prezesa UODO (art. 77 RODO), który prowadzi postępowanie administracyjne i może nałożyć na placówkę administracyjną karę pieniężną lub nakazać określone działania. Co istotne, pacjent ma także prawo do odszkodowania za szkodę majątkową i niemajątkową (krzywdę) poniesioną w wyniku naruszenia RODO - i może dochodzić go bezpośrednio przed sądem cywilnym (art. 82 RODO), niezależnie od postępowania przed UODO.
Rola prawnika reprezentującego poszkodowanego pacjenta
Gdy doszło do wycieku danych medycznych, prawnik reprezentujący pacjenta najpierw ocenia, czy rzeczywiście doszło do naruszenia i jaka szkoda lub krzywda powstała. Następnie może przygotować i złożyć skargę do Prezesa UODO, wskazując okoliczności naruszenia i żądając podjęcia działań nadzorczych. Równolegle prawnik przygotowuje pozew o zadośćuczynienie i odszkodowanie na podstawie art. 82 RODO. Polskie sądy zasądzają już zadośćuczynienia za samo ujawnienie danych medycznych, jeśli pacjent wykaże szkodę niemajątkową, taką jak stres, utrata poczucia bezpieczeństwa czy obawa przed wykorzystaniem danych - przy czym to administrator musi udowodnić, że nie ponosi winy za naruszenie (odwrócony ciężar dowodu z art. 82 ust. 3 RODO). Prawnik gromadzi dowody: korespondencję, zawiadomienie placówki o naruszeniu, decyzję UODO (jeśli zapadła) i dokumentację potwierdzającą skutki naruszenia dla pacjenta.
Kary za naruszenie RODO - ile naprawdę grozi placówce
RODO przewiduje administracyjne kary pieniężne sięgające do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa - w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO). To górny pułap, stosowany przy najpoważniejszych naruszeniach. W praktyce wysokość kary zależy od wagi naruszenia, liczby poszkodowanych, umyślności lub niedbalstwa, podjętych działań naprawczych i współpracy z organem (art. 83 ust. 2 RODO). Warto podkreślić specyfikę polską: zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes UODO może nałożyć na podmioty publiczne (np. publiczne szpitale, jednostki sektora finansów publicznych) administracyjną karę pieniężną w wysokości do 100 000 zł, a na niektóre instytucje kultury do 10 000 zł. Oznacza to, że publiczne placówki medyczne podlegają w Polsce łagodniejszemu pułapowi kar niż podmioty prywatne, do których stosuje się pełne stawki z art. 83 RODO. Oprócz kary administracyjnej pozostaje odpowiedzialność cywilna wobec pacjentów (art. 82 RODO).
Jak budować kulturę zgodności w placówce medycznej
Najlepszą obroną jest prewencja. Placówka powinna wdrożyć i regularnie aktualizować politykę ochrony danych, prowadzić cykliczne szkolenia całego personelu (medycznego, rejestracji i administracji), egzekwować zasadę ograniczonego dostępu (minimum niezbędne uprawnienia) oraz logować dostęp do dokumentacji. Kluczowe jest wyznaczenie kompetentnego IOD i zapewnienie mu realnej niezależności oraz zasobów. Warto przygotować z góry procedurę reagowania na incydenty (kto, kiedy i jak ocenia ryzyko oraz dokonuje zgłoszenia w ciągu 72 godzin) i przeprowadzać testy bezpieczeństwa. Umowy powierzenia z dostawcami zewnętrznymi muszą spełniać wymogi art. 28 RODO. Taka kultura zgodności nie tylko ogranicza ryzyko kar, ale przede wszystkim chroni pacjentów i buduje zaufanie - a w razie incydentu udokumentowane działania prewencyjne łagodzą ewentualną odpowiedzialność placówki.
Najczęstsze pytania
Gdzie pacjent może zgłosić naruszenie swoich danych medycznych?
Pacjent może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO) na podstawie art. 77 RODO. Warto najpierw skontaktować się z Inspektorem Ochrony Danych (IOD) placówki, ale prawo do skargi do UODO przysługuje niezależnie od reakcji placówki. Skargę można złożyć pisemnie lub elektronicznie. Niezależnie od tego pacjent może dochodzić odszkodowania na drodze cywilnej (art. 82 RODO).
Czy pacjent może żądać pieniędzy za wyciek danych o zdrowiu?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową oraz zadośćuczynienia za szkodę niemajątkową (krzywdę), na przykład stres czy utratę poczucia bezpieczeństwa. Roszczenia dochodzi się przed sądem cywilnym. Korzystne dla pacjenta jest to, że to administrator danych (placówka) musi wykazać, że nie ponosi winy za naruszenie.
Jakie kary grożą szpitalowi za naruszenie RODO?
RODO przewiduje kary do 20 mln euro lub 4% rocznego światowego obrotu (art. 83 ust. 5). W Polsce jednak podmioty publiczne, w tym publiczne szpitale, podlegają na mocy art. 102 ustawy o ochronie danych osobowych łagodniejszemu limitowi - do 100 000 zł. Prywatne placówki podlegają pełnym stawkom unijnym. Wysokość kary zależy od wagi naruszenia, liczby poszkodowanych i współpracy z organem.
Czy placówka zawsze musi zgłosić naruszenie w ciągu 72 godzin?
Co do zasady tak - administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w 72 godziny od stwierdzenia naruszenia (art. 33 RODO). Wyjątek dotyczy sytuacji, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, placówka musi dodatkowo zawiadomić samych pacjentów (art. 34 RODO).
Czy każda placówka medyczna musi mieć Inspektora Ochrony Danych?
Tak. Podmioty lecznicze przetwarzają na dużą skalę szczególne kategorie danych (dane o zdrowiu), dlatego mają obowiązek wyznaczenia IOD na podstawie art. 37 ust. 1 lit. c RODO. IOD doradza w zakresie zgodności, monitoruje przestrzeganie przepisów i jest punktem kontaktu dla pacjentów oraz organu nadzorczego.
Czy pacjent może żądać usunięcia swojej dokumentacji medycznej?
Prawo do usunięcia danych (art. 17 RODO) jest tu ograniczone. Dokumentacja medyczna podlega obowiązkowym okresom przechowywania wynikającym z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (co do zasady 20 lat). Placówka nie może jej usunąć przed upływem tego terminu, nawet na żądanie pacjenta, ponieważ przechowywanie wynika z obowiązku prawnego.
Powiązane poradniki
- Naruszenie ochrony danych osobowych w internecie - prawa, skargi i odszkodowanie (RODO)
- Wyciek danych osobowych - obowiązki, kary RODO i obrona prawna w Polsce
- Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
- Niedopełnienie obowiązków ochrony danych (RODO): odpowiedzialność i obrona administratora
Podstawa prawna i źródła
- Rozporządzenie (UE) 2016/679 (RODO) - art. 9, 33, 34, 82, 83
- Ustawa z 10 maja 2018 r. o ochronie danych osobowych (art. 102 - kary dla podmiotów publicznych)
- Urząd Ochrony Danych Osobowych - zgłaszanie naruszeń i skargi
- Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta - przechowywanie dokumentacji medycznej
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę