Czy placówka medyczna musi mieć zgodę pacjenta na przetwarzanie danych o zdrowiu?

Nie zawsze. Świadczenie opieki zdrowotnej przez personel związany tajemnicą zawodową jest samodzielną podstawą przetwarzania danych zdrowotnych (art. 9 ust. 2 lit. h RODO), niezależną od zgody. Wyraźna zgoda jest potrzebna głównie tam, gdzie nie ma innej podstawy, np. przy marketingu czy badaniach niewynikających z leczenia.

Jakie kary grożą za nielegalne przetwarzanie danych medycznych?

Na gruncie karnym art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a przy danych szczególnych kategorii do 3 lat. Niezależnie od tego Prezes UODO może nałożyć administracyjną karę pieniężną, a poszkodowany może dochodzić odszkodowania na drodze cywilnej.

Gdzie zgłosić naruszenie ochrony danych pacjenta?

Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Można to zrobić pisemnie, przez ePUAP lub elektroniczny formularz. Warto dołączyć opis zdarzenia i dostępne dowody, np. korespondencję czy zrzuty ekranu.

Czym zajmuje się prawnik od ochrony danych medycznych pacjentów?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Dane o stanie zdrowia należą do najsilniej chronionych informacji w polskim i unijnym porządku prawnym. RODO zalicza je do tzw. szczególnych kategorii danych (art. 9 ust. 1 RODO), których przetwarzanie jest co do zasady zakazane, chyba że zachodzi jeden z wyjątków wymienionych w art. 9 ust. 2 (m.in. wyraźna zgoda pacjenta, świadczenie opieki zdrowotnej przez personel objęty tajemnicą zawodową, obowiązek prawny). Prawnik wyspecjalizowany w tej dziedzinie nie jest administratorem ani podmiotem przetwarzającym dane pacjentów — pełni rolę doradcy placówki medycznej oraz pełnomocnika osób, których dane naruszono. To istotne rozróżnienie, którego źródłowy artykuł nie oddawał poprawnie.

Na czym polega doradztwo w zakresie zgodności z RODO

Prawnik pomaga przychodniom, szpitalom i gabinetom ustalić podstawę prawną przetwarzania danych medycznych, opracować klauzule informacyjne (art. 13–14 RODO), wdrożyć rejestr czynności przetwarzania oraz umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO). Doradza także w zakresie oceny skutków dla ochrony danych (DPIA, art. 35 RODO), która przy przetwarzaniu danych zdrowotnych na dużą skalę jest praktycznie obowiązkowa. Celem jest zapewnienie zgodności z zasadami z art. 5 RODO: legalności, rzetelności, przejrzystości, minimalizacji danych oraz integralności i poufności.

Kiedy nielegalne przetwarzanie danych staje się przestępstwem

Poza administracyjnymi karami pieniężnymi nakładanymi przez Prezesa UODO (do 20 mln euro lub 4% obrotu), polskie prawo przewiduje odpowiedzialność karną. Zgodnie z art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych szczególnych kategorii (np. danych o zdrowiu z art. 9 RODO), górna granica kary rośnie do 3 lat (art. 107 ust. 2). Prawnik reprezentuje zarówno osoby pokrzywdzone naruszeniem, jak i osoby, którym postawiono zarzuty z tego przepisu.

Jak pacjent może bronić swoich praw

Pacjent, którego dane przetworzono bezprawnie, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, zażądać od administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania (art. 15–18 RODO), a także dochodzić odszkodowania za szkodę majątkową lub niemajątkową na drodze cywilnej (art. 82 RODO). Prawnik pomaga ocenić, która droga jest najskuteczniejsza, oraz prawidłowo udokumentować naruszenie. Wbrew temu, co sugerował pierwowzór tekstu, RODO nie wyznacza sztywnego trzymiesięcznego terminu na zgłoszenie naruszenia do organu nadzorczego — skargę można złożyć, dopóki roszczenie nie ulegnie przedawnieniu na zasadach ogólnych.

Najczęstsze pytania

Czy placówka medyczna musi mieć zgodę pacjenta na przetwarzanie danych o zdrowiu?
Nie zawsze. Świadczenie opieki zdrowotnej przez personel związany tajemnicą zawodową jest samodzielną podstawą przetwarzania danych zdrowotnych (art. 9 ust. 2 lit. h RODO), niezależną od zgody. Wyraźna zgoda jest potrzebna głównie tam, gdzie nie ma innej podstawy, np. przy marketingu czy badaniach niewynikających z leczenia.
Jakie kary grożą za nielegalne przetwarzanie danych medycznych?
Na gruncie karnym art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a przy danych szczególnych kategorii do 3 lat. Niezależnie od tego Prezes UODO może nałożyć administracyjną karę pieniężną, a poszkodowany może dochodzić odszkodowania na drodze cywilnej.
Gdzie zgłosić naruszenie ochrony danych pacjenta?
Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Można to zrobić pisemnie, przez ePUAP lub elektroniczny formularz. Warto dołączyć opis zdarzenia i dostępne dowody, np. korespondencję czy zrzuty ekranu.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę