Dr Tymoteusz Zych
2025-07-22
0 Comments
By Kinga Kaniewska

Wstęp

Przetwarzanie danych osobowych pacjentów w podmiotach leczniczych to zagadnienie kluczowe zarówno dla lekarzy i placówek medycznych, jak i dla samych pacjentów.

W dobie rosnącego znaczenia ochrony danych osobowych, zgodność z przepisami RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) oraz ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta (UPP) staje się nie tylko wymogiem prawnym, ale także elementem budującym zaufanie do placówki medycznej.

Podstawy prawne przetwarzania danych osobowych pacjenta

RODO i dane szczególnej kategorii

Zgodnie z art. 4 pkt 15 RODO dane dotyczące zdrowia są danymi szczególnej kategorii, które podlegają szczególnej ochronie. Art. 9 ust. 1 RODO co do zasady zakazuje przetwarzania takich danych, ale w art. 9 ust. 2 przewidziano wyjątki, umożliwiające ich przetwarzanie. Przykładowo gdy jest to niezbędne do celów profilaktyki zdrowotnej, diagnostyki, leczenia lub zarządzania systemami opieki zdrowotnej.

Kiedy wymagana jest zgoda pacjenta na przetwarzanie danych?

Przetwarzanie danych na podstawie prawa

W większości przypadków podstawą przetwarzania danych osobowych pacjenta nie jest zgoda, lecz przepis prawa. Zgodnie z art. 9 ust. 2 lit. h RODO oraz art. 6 ust. 1 lit. c i d RODO, przetwarzanie danych osobowych pacjentów jest dopuszczalne w celu ochrony zdrowia. Jest to również możliwe w celu udzielania świadczeń medycznych, prowadzenia dokumentacji medycznej czy wypełniania obowiązków prawnych ciążących na administratorze.

Zgoda jako podstawa przetwarzania

Jest wymagana, gdy przetwarzanie danych wykracza poza ramy wyznaczone przepisami. Przykładowo w celu działań marketingowych, czy też przekazywania danych podmiotom trzecim niepowiązanym bezpośrednio z procesem leczenia.

Może również dotyczyć publikacji wizerunku czy prowadzenia badań naukowych, które nie są elementem procesu leczenia.

Musi ona być dobrowolna, konkretna, świadoma i jednoznaczna.

Przykład

Pacjent zgłasza się do poradni i podaje swoje dane w celu rejestracji oraz uzyskania porady medycznej. Podstawą przetwarzania danych jest przepis prawa, nie zgoda.

Jeśli jednak ta sama placówka chciałaby wysłać pacjentowi newsletter z ofertą komercyjną lub opublikować jego zdjęcie na stronie internetowej, potrzebna jest odrębna zgoda.

Jak powinna wyglądać zgoda na przetwarzanie danych osobowych pacjenta?

Wymogi formalne zgody

  • Dobrowolność – pacjent nie może być przymuszany do wyrażenia zgody. Jej brak nie może skutkować odmową udzielenia świadczenia zdrowotnego, jeśli nie jest to konieczne.
  • Konkretność i szczegółowość – zgoda musi odnosić się do jasno określonych celów.
  • Świadomość – pacjent musi być poinformowany, kto jest administratorem jego danych, w jakim celu dane będą przetwarzane, komu mogą być udostępnione, jak długo będą przechowywane i jakie prawa mu przysługują.
  • Jednoznaczność – zgoda powinna być wyrażona w sposób wyraźny (pisemnie, elektronicznie lub poprzez inne aktywne działanie).

Wycofanie zgody

Pacjent w każdej chwili może wycofać zgodę na przetwarzanie danych, a wycofanie nie wpływa na legalność przetwarzania, którego dokonano przed jej cofnięciem.

Dokumentowanie zgody

Administrator musi być w stanie wykazać, że uzyskał ważną zgodę – np. poprzez formularze zgody podpisane przez pacjenta lub odpowiednią adnotację w systemie informatycznym.

Orzecznictwo i stanowiska organów

Prezes UODO

W decyzjach Prezesa Urzędu Ochrony Danych Osobowych podkreśla się, że placówki medyczne nie powinny domagać się od pacjentów zgody na przetwarzanie danych w zakresie świadczeń zdrowotnych, gdyż podstawą jest prawo. W praktyce jednak często występują nadużycia, np. wymaganie podpisywania ogólnych zgód przy rejestracji, co jest błędem.

Sądy administracyjne

Wojewódzki Sąd Administracyjny w Warszawie (wyrok z dnia 19 lutego 2019 r., II SA/Wa 1572/18) potwierdził, że podmiot leczniczy nie powinien żądać zgody pacjenta na przetwarzanie danych w związku z realizacją świadczeń zdrowotnych, gdyż przetwarzanie odbywa się z mocy prawa.

Obowiązki administratora danych w podmiocie leczniczym

Informowanie pacjenta

Podmiot leczniczy ma obowiązek realizować tzw. obowiązek informacyjny zgodnie z art. 13 RODO, a więc przekazać pacjentowi wszystkie wymagane informacje, najczęściej poprzez klauzulę informacyjną.

Bezpieczeństwo danych

Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające bezpieczeństwo danych osobowych pacjenta (np. systemy informatyczne zabezpieczone hasłami, szkolenia personelu, polityki dostępu).

Prawa pacjenta

Pacjent ma prawo do:

  • dostępu do swoich danych,
  • ich sprostowania,
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • wniesienia sprzeciwu,
  • wniesienia skargi do Prezesa UODO.

Najczęstsze błędy w praktyce podmiotów leczniczych

  • Wymaganie zgody na przetwarzanie danych przy rejestracji lub udzielaniu świadczenia.
  • Brak realizacji obowiązku informacyjnego.
  • Niewłaściwe zabezpieczenie danych (np. nieuprawniony dostęp personelu, brak szyfrowania).
  • Udostępnianie danych osobom nieupoważnionym lub innym pacjentom.

FAQ – najczęstsze pytania

Czy zawsze muszę podpisywać zgodę na przetwarzanie danych w przychodni?
Nie. W zakresie udzielania świadczeń zdrowotnych podstawą przetwarzania jest przepis prawa, a nie zgoda pacjenta.

Kiedy placówka musi poprosić mnie o zgodę?
Gdy dane mają być przetwarzane w innych celach niż udzielanie świadczeń zdrowotnych, np. marketingowych, promocyjnych lub w ramach badań naukowych niepowiązanych z leczeniem.

Czy mogę wycofać zgodę?
Tak, w każdej chwili możesz wycofać zgodę na przetwarzanie swoich danych, a placówka musi zaprzestać ich przetwarzania w zakresie tej zgody.

Co zrobić, gdy podejrzewam naruszenie moich danych?
Możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Podsumowanie

Zgoda na przetwarzanie danych osobowych pacjenta w podmiocie leczniczym jest wymagana tylko w ściśle określonych przypadkach. W codziennej praktyce przetwarzanie danych osobowych pacjenta opiera się na przepisach prawa, a nie na zgodzie. Podmioty lecznicze powinny szczególnie dbać o realizację obowiązku informacyjnego, prawidłowe zabezpieczenie danych oraz respektowanie praw pacjenta. Prawidłowe wdrożenie procedur ochrony danych nie tylko minimalizuje ryzyko sankcji, ale również buduje zaufanie pacjentów do placówki.

Kancelaria Radcy Prawnego dr Tymoteusz Zych zapewnia kompleksowe wsparcie prawne dla podmiotów leczniczych w zakresie ochrony danych osobowych pacjentów oraz wdrażania zgodnych z RODO procedur przetwarzania danych w placówkach medycznych.

Oferujemy doradztwo przy opracowywaniu klauzul informacyjnych, dokumentacji i polityk bezpieczeństwa oraz reprezentację w postępowaniach przed Prezesem Urzędu Ochrony Danych Osobowych.

Zapraszamy do kontaktu pod numerem telefonu +48 726 003 505.

Autor

Kinga Kaniewska

Kinga Kaniewska

aplikantka radcowska

Specjalizuje się w prawie medycznym. Autorka artykułów z zakresu prawa medycznego i ochrony praw pacjenta. Łączy wiedzę prawniczą z podejściem interdyscyplinarnym i społecznym zaangażowaniem.

Cookies
Obsługujemy pliki cookies. Jeśli uważasz, że to jest ok, po prostu kliknij "Akceptuj wszystko". Możesz też wybrać, jakie chcesz ciasteczka, klikając "Ustawienia". Przeczytaj naszą politykę cookie
Ustawienia Zaakceptuj wszystko
Cookies
Wybierz, jakie pliki cookies chcesz zaakceptować. Twój wybór zostanie zachowany przez rok. Przeczytaj naszą politykę cookie
Zapisz Zaakceptuj wszystko