Czym zajmuje się prawnik od bezpieczeństwa danych medycznych pacjentów?
RODO i dane osobowe · 3 min czytania · Redakcja zaufanyprawnik.pl
Dane o stanie zdrowia to w prawie polskim i unijnym jedna z najściślej chronionych kategorii informacji. RODO zalicza je do tzw. szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO), których przetwarzanie jest co do zasady zakazane i dopuszczalne tylko w wąsko określonych przypadkach (np. świadczenie opieki zdrowotnej, art. 9 ust. 2 lit. h RODO). Placówka medyczna, lekarz prowadzący prywatną praktykę czy podmiot świadczący usługi telemedyczne odpowiada za bezpieczeństwo dokumentacji pacjenta na kilku płaszczyznach jednocześnie: administracyjnej (RODO i ustawa z 10 maja 2018 r. o ochronie danych osobowych), karnej (Kodeks karny) oraz cywilnej (odszkodowanie i zadośćuczynienie). Prawnik wyspecjalizowany w tej dziedzinie pomaga zarówno zapobiegać naruszeniom, jak i prowadzić placówkę przez kryzys po wycieku danych. Uwaga: w polskim porządku prawnym nie obowiązuje amerykańska ustawa HIPAA - to akt prawa Stanów Zjednoczonych, a punktem odniesienia dla polskich podmiotów jest RODO oraz przepisy krajowe.
Jakie przepisy chronią dane medyczne w Polsce
Podstawowym aktem jest RODO (rozporządzenie 2016/679), uzupełnione krajową ustawą z 10 maja 2018 r. o ochronie danych osobowych. Obowiązki dotyczące samej dokumentacji medycznej reguluje dodatkowo ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia wykonawcze Ministra Zdrowia. Administrator danych (placówka) musi wdrożyć odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO) - np. szyfrowanie, kontrolę dostępu, kopie zapasowe. Rolą prawnika jest przełożenie tych ogólnych obowiązków na konkretne procedury: politykę ochrony danych, rejestr czynności przetwarzania, umowy powierzenia przetwarzania (art. 28 RODO) z dostawcami systemów IT oraz laboratoriami zewnętrznymi.
Co dzieje się po wycieku danych - obowiązek zgłoszenia
W razie naruszenia ochrony danych administrator ma obowiązek zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób, których dane dotyczą, trzeba także zawiadomić samych pacjentów (art. 34 RODO). Prawnik ocenia, czy zgłoszenie jest konieczne, przygotowuje jego treść, dokumentuje incydent i reprezentuje placówkę w ewentualnym postępowaniu kontrolnym PUODO. Błędna ocena na tym etapie - zaniechanie zgłoszenia mimo realnego ryzyka - sama w sobie bywa podstawą kary.
Najczęstsze pytania
Czy pacjent może żądać odszkodowania za wyciek swoich danych medycznych?
Tak. Na podstawie art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia przepisów, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Roszczeń można też dochodzić z tytułu naruszenia dóbr osobistych (art. 24 i 448 k.c.). Sądy zasądzają zadośćuczynienie m.in. za naruszenie prywatności i poczucie zagrożenia, choć trzeba wykazać szkodę i związek z naruszeniem.
Czy w Polsce obowiązuje ustawa HIPAA?
Nie. HIPAA to ustawa Stanów Zjednoczonych i nie ma zastosowania w Polsce. Polskie placówki medyczne podlegają RODO, ustawie o ochronie danych osobowych z 2018 r. oraz ustawie o prawach pacjenta. Powoływanie się na HIPAA w polskich realiach jest błędem.
W jakim terminie trzeba zgłosić naruszenie danych do PUODO?
Co do zasady bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeśli zgłoszenie nastąpi później, należy dołączyć wyjaśnienie przyczyn opóźnienia. Naruszenia o niskim ryzyku dla praw osób można nie zgłaszać, ale i tak trzeba je odnotować w wewnętrznym rejestrze.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę