Naruszenie RODO w ochronie zdrowia - rola prawnika i prawa pacjenta
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Dane dotyczące zdrowia należą do szczególnych kategorii danych osobowych (art. 9 RODO) i podlegają wzmocnionej ochronie. Naruszenie ich bezpieczeństwa w placówce medycznej rodzi obowiązki po stronie administratora oraz uprawnienia po stronie pacjentów. Prawnik wspiera obie strony: doradza placówkom w zakresie zgodności, a poszkodowanym pacjentom pomaga dochodzić ich praw.
Obowiązki placówki po naruszeniu danych
Po stwierdzeniu naruszenia ochrony danych administrator (placówka medyczna) ma obowiązek zgłosić je organowi nadzorczemu — Prezesowi Urzędu Ochrony Danych Osobowych — bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób, należy bez zbędnej zwłoki zawiadomić również samych pacjentów (art. 34 RODO). Każde naruszenie — także niezgłoszone organowi — musi być wewnętrznie udokumentowane. Placówki przetwarzające dane zdrowotne na dużą skalę mają obowiązek wyznaczyć Inspektora Ochrony Danych (art. 37 RODO).
Prawa pacjenta i odszkodowanie
Pacjent, którego dane naruszono, może złożyć skargę do Prezesa UODO oraz dochodzić odszkodowania. Art. 82 RODO przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. W polskim porządku roszczenia te dochodzi się przed sądem cywilnym; orzecznictwo TSUE potwierdza, że samo naruszenie nie wystarcza — trzeba wykazać rzeczywistą szkodę i związek przyczynowy, choć nie ma progu minimalnej wagi szkody.
Kary za naruszenie RODO
Administracyjne kary pieniężne za naruszenie RODO mogą sięgać 20 mln euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego obrotu z poprzedniego roku — zależnie od tego, która kwota jest wyższa (art. 83 RODO). Wysokość kary zależy m.in. od charakteru, wagi i czasu trwania naruszenia, jego umyślności oraz podjętych działań naprawczych. W Polsce kary wymierza Prezes UODO. Podmioty publiczne podlegają niższym limitom kar przewidzianym w ustawie o ochronie danych osobowych.
Jak zgłosić naruszenie jako pacjent
Pacjent powinien udokumentować okoliczności naruszenia (co, kiedy, jakich danych dotyczyło), zgłosić sprawę Inspektorowi Ochrony Danych placówki, a w razie potrzeby złożyć skargę do Prezesa UODO. Skargę można wnieść niezależnie od innych środków, w tym powództwa cywilnego o odszkodowanie. Warto zachować całą korespondencję, bo stanowi ona dowód w ewentualnym postępowaniu.
Najczęstsze pytania
W jakim terminie placówka musi zgłosić naruszenie RODO?
Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33 RODO). Przy wysokim ryzyku dla praw pacjentów trzeba też bez zbędnej zwłoki zawiadomić samych pacjentów (art. 34 RODO).
Jakie kary grożą za naruszenie RODO?
Administracyjne kary pieniężne mogą sięgać 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa (art. 83 RODO). W Polsce nakłada je Prezes UODO.
Czy pacjent może żądać odszkodowania za wyciek danych?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową lub niemajątkową. Pacjent musi jednak wykazać rzeczywistą szkodę i jej związek z naruszeniem; samo naruszenie nie przesądza automatycznie o odszkodowaniu.
Gdzie zgłosić naruszenie danych medycznych?
Najpierw do Inspektora Ochrony Danych placówki, a następnie skargą do Prezesa Urzędu Ochrony Danych Osobowych. Równolegle można dochodzić odszkodowania przed sądem cywilnym.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę