Nielegalne pozyskanie danych medycznych - jakie grozi odpowiedzialność?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Dane dotyczące zdrowia należą do tzw. szczególnych kategorii danych osobowych, objętych najwyższym poziomem ochrony. Ich przetwarzanie jest co do zasady zakazane, z wyjątkami przewidzianymi w art. 9 RODO (m.in. zgoda, cele zdrowotne, obowiązek prawny). Nielegalne pozyskanie takich danych - np. nieuprawniony dostęp do dokumentacji medycznej - może rodzić odpowiedzialność administracyjną, cywilną, a w niektórych przypadkach karną. Poniżej przedstawiamy ramy prawne; konkretna strategia obrony zawsze zależy od okoliczności sprawy i powinna być ustalana z prawnikiem.
Podstawy ochrony danych medycznych w Polsce
Ochronę danych o zdrowiu tworzą przede wszystkim RODO (rozporządzenie 2016/679), ustawa z 10 maja 2018 r. o ochronie danych osobowych oraz ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Ta ostatnia nakłada na podmioty lecznicze obowiązek zachowania tajemnicy informacji o pacjencie oraz właściwego zabezpieczenia dokumentacji medycznej. Naruszenie tych obowiązków może skutkować administracyjnymi karami pieniężnymi nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych oraz roszczeniami odszkodowawczymi pacjentów.
Kiedy w grę wchodzi odpowiedzialność karna
Nieuprawniony dostęp do informacji może wypełniać znamiona przestępstw z Kodeksu karnego. Art. 267 KK penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy poprzez przełamanie zabezpieczeń lub podłączenie się do systemu (do 2 lat pozbawienia wolności). Bezprawne ujawnienie lub wykorzystanie cudzych danych osobowych może być oceniane na gruncie przepisów ustawy o ochronie danych osobowych. Z kolei ujawnienie tajemnicy zawodowej (np. lekarskiej) przez osobę zobowiązaną może stanowić przestępstwo z art. 266 KK. Kwalifikacja zależy od konkretnego sposobu działania sprawcy i jego pozycji wobec danych.
Środki techniczne i organizacyjne wymagane przez prawo
RODO (art. 32) wymaga od administratora i podmiotu przetwarzającego wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych - adekwatnych do ryzyka. W praktyce oznacza to m.in. kontrolę dostępu opartą na rolach, uwierzytelnianie wieloskładnikowe, szyfrowanie, prowadzenie rejestrów dostępu i regularne audyty. Wykazanie, że takie środki były wdrożone, ma znaczenie zarówno dla obrony przed zarzutem naruszenia, jak i dla ograniczenia odpowiedzialności administratora. W razie naruszenia ochrony danych obowiązuje zgłoszenie do PUODO w terminie 72 godzin (art. 33 RODO).
Najczęstsze pytania
Czy dane o zdrowiu są szczególnie chronione?
Tak. Art. 9 RODO zalicza dane o zdrowiu do szczególnych kategorii danych, których przetwarzanie jest zasadniczo zakazane poza wyjątkami (m.in. wyraźna zgoda, cele opieki zdrowotnej, obowiązek prawny). Obowiązuje wobec nich podwyższony standard ochrony.
Co grozi za nieuprawniony dostęp do dokumentacji medycznej?
Możliwa jest odpowiedzialność administracyjna (kary pieniężne PUODO), cywilna (odszkodowanie i zadośćuczynienie dla pacjenta) oraz karna - m.in. z art. 267 KK za nielegalny dostęp do informacji (do 2 lat) lub z art. 266 KK za naruszenie tajemnicy zawodowej.
W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Co do zasady administrator zgłasza naruszenie ochrony danych osobowych Prezesowi UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw osób.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę