RODO w służbie zdrowia — jak chronić dane pacjentów zgodnie z przepisami

Sektor zdrowia to jeden z obszarów, w których przetwarzanie danych osobowych wiąże się z najwyższym ryzykiem. Dane o stanie zdrowia należą do szczególnych kategorii danych osobowych (art. 9 RODO), a ich przetwarzanie podlega surowszym zasadom niż przetwarzanie zwykłych danych. Jednocześnie ochrona zdrowia wymaga intensywnego przetwarzania tych danych — diagnostyka, leczenie, profilaktyka, badania naukowe czy refundacja świadczeń bez danych medycznych nie są możliwe.

Podmioty lecznicze, lekarze prowadzący praktyki, apteki, laboratoria diagnostyczne, firmy telemedyczne, producenci aplikacji zdrowotnych i wyrobów medycznych — wszyscy przetwarzają dane o zdrowiu i muszą jednocześnie spełniać wymagania RODO, ustawy o prawach pacjenta, ustawy o działalności leczniczej i wielu przepisów sektorowych.

W tym artykule wyjaśniam, jak stosować RODO w sektorze zdrowia — od podstaw prawnych przetwarzania danych pacjentów, przez dokumentację medyczną, telemedycynę, po DPIA i prawa pacjenta jako osoby, której dane dotyczą.

Dane o zdrowiu jako szczególna kategoria danych

Art. 4 pkt 15 RODO definiuje dane dotyczące zdrowia jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej — w tym o korzystaniu z usług opieki zdrowotnej — ujawniające informacje o stanie zdrowia tej osoby.

W praktyce dane o zdrowiu obejmują bardzo szeroki zakres informacji: rozpoznania i diagnozy (kody ICD-10), wyniki badań laboratoryjnych i obrazowych, historie chorób, recepty i leki, informacje o zabiegach i operacjach, dane z dokumentacji medycznej, informacje o niepełnosprawności, dane genetyczne, dane z urządzeń medycznych (np. monitory serca, pompy insulinowe), dane z aplikacji zdrowotnych i fitness (jeśli odnoszą się do zdrowia), informacje o wizytach lekarskich (sam fakt wizyty u specjalisty może ujawniać stan zdrowia — np. wizyta u onkologa).

Motyw 35 RODO precyzuje, że dane o zdrowiu obejmują dane dotyczące przeszłego, obecnego lub przyszłego stanu fizycznego lub psychicznego — w tym dane zebrane w trakcie rejestracji do usług opieki zdrowotnej lub podczas ich świadczenia.

Podstawy prawne przetwarzania danych o zdrowiu

Przetwarzanie danych o zdrowiu wymaga spełnienia dwóch warunków jednocześnie: podstawy z art. 6 RODO (jak dla wszystkich danych osobowych) oraz dodatkowego warunku z art. 9 ust. 2 RODO (specyficznego dla danych szczególnych kategorii).

Art. 9 ust. 2 lit. h — cele zdrowotne (najczęstsza podstawa)

Najczęściej stosowaną podstawą jest art. 9 ust. 2 lit. h RODO — przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

Warunek dodatkowy: przetwarzanie musi odbywać się na podstawie prawa UE lub państwa członkowskiego lub na podstawie umowy z pracownikiem służby zdrowia, z zastrzeżeniem tajemnicy zawodowej.

W Polsce przepisami doprecyzowującymi są m.in. ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej, ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty oraz ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.

Art. 9 ust. 2 lit. a — wyraźna zgoda

Zgoda pacjenta na przetwarzanie danych o zdrowiu musi być wyraźna (explicit consent) — surowszy wymóg niż „zwykła” zgoda z art. 6. W praktyce zgoda jest stosowana np. przy udziale w badaniach klinicznych, przy przetwarzaniu danych w aplikacjach zdrowotnych wykraczających poza świadczenie usług zdrowotnych, przy udostępnieniu danych medycznych osobom trzecim (np. rodzinie pacjenta, pracodawcy).

Ważne: zgoda nie jest wymagana do udzielania świadczeń zdrowotnych — do tego wystarczy art. 9 ust. 2 lit. h. Żądanie zgody na przetwarzanie danych w celu leczenia jest błędem — właściwą podstawą są przepisy o działalności leczniczej.

Art. 9 ust. 2 lit. i — interes publiczny w dziedzinie zdrowia publicznego

Stosowany przy przetwarzaniu danych w celach zdrowia publicznego — np. monitorowanie epidemii, zarządzanie zagrożeniami zdrowotnymi, zapewnienie jakości i bezpieczeństwa produktów leczniczych. Podstawa ta była szeroko stosowana podczas pandemii COVID-19.

Art. 9 ust. 2 lit. j — cele archiwalne, badawcze, statystyczne

Stosowany przy przetwarzaniu danych medycznych do celów badań naukowych i statystyki zdrowotnej. Wymaga odpowiednich zabezpieczeń (pseudonimizacja, minimalizacja danych).

Szczegółowy przewodnik po podstawach prawnych przetwarzania znajdziesz w naszym artykule o art. 6 RODO.

Dokumentacja medyczna a RODO

Dokumentacja medyczna to jeden z głównych zbiorów danych o zdrowiu. Jej prowadzenie, przechowywanie i udostępnianie regulują przede wszystkim ustawa o prawach pacjenta i rozporządzenie Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej.

Okres przechowywania

Dokumentacja medyczna jest przechowywana przez 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu — z istotnymi wyjątkami:

Dokumentacja dotycząca dzieci do ukończenia 2. roku życia — 22 lata.

Skierowania na badania lub zlecenia lekarza — 5 lat.

Dokumentacja w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia — 30 lat.

Zdjęcia rentgenowskie — 10 lat.

To jedne z najdłuższych okresów retencji w polskim prawie — administrator musi zapewnić bezpieczeństwo danych przez cały ten okres.

Forma dokumentacji

Od 2021 r. dokumentacja medyczna jest prowadzona co do zasady w formie elektronicznej (Elektroniczna Dokumentacja Medyczna — EDM). Forma papierowa jest dopuszczalna w sytuacjach określonych przepisami. Elektronizacja dokumentacji medycznej wiąże się z nowymi wyzwaniami RODO — bezpieczeństwo systemów IT, kontrola dostępu, kopie zapasowe, logowanie zdarzeń.

Udostępnianie dokumentacji medycznej

Pacjent ma prawo dostępu do swojej dokumentacji medycznej (art. 23 ustawy o prawach pacjenta). Dokumentacja może być udostępniona: do wglądu (w tym z możliwością sporządzenia notatek), przez sporządzenie wyciągu, odpisu, kopii lub wydruku, za pośrednictwem środków komunikacji elektronicznej, na informatycznym nośniku danych.

Dokumentacja może być również udostępniona innym podmiotom — ale tylko na podstawie przepisów prawa (np. innemu podmiotowi leczniczemu w celu zapewnienia ciągłości leczenia, organom samorządu lekarskiego, sądom, prokuraturze).

Tajemnica lekarska a RODO

Tajemnica lekarska (art. 40 ustawy o zawodach lekarza) i RODO działają równolegle. Lekarz jest zobowiązany do zachowania tajemnicy informacji związanych z pacjentem, uzyskanych w związku z wykonywaniem zawodu. Zwolnienie z tajemnicy może nastąpić wyłącznie w przypadkach określonych w przepisach prawa.

Z perspektywy RODO tajemnica lekarska realizuje wymóg poufności (art. 5 ust. 1 lit. f RODO) i jest jednym z „odpowiednich zabezpieczeń” wymaganych przy przetwarzaniu danych szczególnych kategorii. Osoby przetwarzające dane medyczne (lekarze, pielęgniarki, personel administracyjny placówek medycznych) muszą być zobowiązane do zachowania tajemnicy — art. 9 ust. 3 RODO wprost tego wymaga.

Telemedycyna i e-zdrowie a RODO

Rozwój telemedycyny — konsultacje online, e-recepty, zdalne monitorowanie pacjentów, aplikacje zdrowotne — przyniósł nowe wyzwania RODO:

Bezpieczeństwo transmisji — konsultacje wideo muszą odbywać się przez szyfrowane kanały komunikacji. Popularne komunikatory (WhatsApp, Messenger) co do zasady nie spełniają wymogów bezpieczeństwa dla danych medycznych — należy stosować dedykowane platformy telemedyczne z szyfrowaniem end-to-end.

Aplikacje zdrowotne (mHealth) — aplikacje monitorujące stan zdrowia, przypominające o lekach, śledzące parametry życiowe, przetwarzają dane o zdrowiu i podlegają RODO. Producent aplikacji jest administratorem lub procesorem — w zależności od modelu. Jeśli aplikacja jest wyrobem medycznym — podlega dodatkowo rozporządzeniu MDR.

E-recepty — system e-recept (P1) przetwarza dane osobowe pacjentów. Administratorem systemu jest Centrum e-Zdrowia. Podmioty wystawiające e-recepty muszą zapewnić bezpieczeństwo dostępu do systemu.

Zdalne monitorowanie pacjentów (RPM) — urządzenia IoT (smartwatche, opaski zdrowotne, implanty) przesyłające dane o zdrowiu w czasie rzeczywistym. Generują masowe ilości danych, często z ciągłym przetwarzaniem. DPIA jest niezbędna.

Przechowywanie danych w chmurze — coraz więcej podmiotów leczniczych korzysta z rozwiązań chmurowych. Transfer danych medycznych poza EOG wymaga szczególnie starannej analizy — dane o zdrowiu to najwrażliwsza kategoria.

Prawa pacjenta jako osoby, której dane dotyczą

Pacjent korzysta z praw wynikających zarówno z RODO, jak i z ustawy o prawach pacjenta. W praktyce oba zestawy praw się uzupełniają:

Prawo dostępu do danych (art. 15 RODO) / Prawo dostępu do dokumentacji medycznej (art. 23 ustawy o prawach pacjenta) — pacjent ma prawo uzyskać kopię swoich danych. W kontekście medycznym realizacja prawa dostępu obejmuje zarówno dane z systemów IT (RODO), jak i dokumentację medyczną (ustawa o prawach pacjenta).

Prawo do sprostowania (art. 16 RODO) — pacjent może żądać poprawienia nieprawidłowych danych osobowych. Jednak sprostowanie dokumentacji medycznej podlega ograniczeniom — lekarz może uzupełnić lub sprostować dokumentację medyczną poprzez dokonanie adnotacji, ale nie może zmieniać pierwotnych wpisów (zasada integralności dokumentacji medycznej).

Prawo do usunięcia (art. 17 RODO) — w sektorze zdrowia znacząco ograniczone. Administrator nie może usunąć dokumentacji medycznej przed upływem ustawowego okresu przechowywania (20 lat). Odmowa opiera się na art. 17 ust. 3 lit. b RODO (obowiązek prawny) i art. 17 ust. 3 lit. d (cele archiwalne w interesie publicznym).

Prawo do ograniczenia przetwarzania (art. 18 RODO) — pacjent może żądać ograniczenia przetwarzania np. na czas weryfikacji prawidłowości danych. Nie oznacza to jednak, że podmiot leczniczy może zaprzestać przetwarzania danych niezbędnych do zapewnienia ciągłości leczenia.

Prawo do przenoszenia danych (art. 20 RODO) — pacjent może żądać przeniesienia swoich danych do innego podmiotu leczniczego w formacie nadającym się do odczytu maszynowego. W praktyce realizacja jest utrudniona ze względu na różne formaty systemów medycznych.

DPIA w sektorze zdrowia

Podmioty lecznicze przetwarzające dane o zdrowiu na dużą skalę mają obowiązek przeprowadzenia DPIA (art. 35 ust. 3 lit. b RODO). Dotyczy to m.in.: szpitali i przychodni przetwarzających dane dużej liczby pacjentów, laboratoriów diagnostycznych, firm telemedycznych, producentów aplikacji zdrowotnych przetwarzających dane o zdrowiu, podmiotów prowadzących badania kliniczne.

DPIA w sektorze zdrowia powinna uwzględniać szczególne ryzyka: nieuprawniony dostęp do danych medycznych (np. podglądanie dokumentacji przez personel bez upoważnienia), naruszenie poufności (wyciek danych o stanie zdrowia), utrata danych (awaria systemu bez kopii zapasowej), manipulacja danymi (zmiana wyników badań, dawkowania leków), profilowanie pacjentów (np. systemy AI wspierające diagnostykę).

IOD w podmiotach leczniczych

Podmioty lecznicze w wielu przypadkach mają obowiązek powołania IOD — ze względu na przetwarzanie na dużą skalę danych szczególnych kategorii (art. 37 ust. 1 lit. c RODO). Dotyczy to szpitali, przychodni, laboratoriów i innych podmiotów leczniczych przetwarzających dane medyczne dużej liczby pacjentów.

IOD w podmiocie leczniczym powinien posiadać szczególną wiedzę na styku prawa ochrony danych i prawa medycznego — znajomość ustawy o prawach pacjenta, przepisów o dokumentacji medycznej, tajemnicy lekarskiej, systemu informacji w ochronie zdrowia. 

Więcej o roli IOD przeczytasz w naszym przewodniku.

Naruszenia ochrony danych w sektorze zdrowia

Naruszenia danych medycznych są szczególnie poważne ze względu na wrażliwość informacji. Najczęstsze scenariusze w sektorze zdrowia:

Wysłanie wyników badań do niewłaściwego pacjenta — pomyłka w adresie e-mail lub numerze telefonu.

Nieuprawniony dostęp personelu — przeglądanie dokumentacji medycznej pacjentów bez związku z leczeniem (np. ciekawość wobec danych znanej osoby).

Atak ransomware na system szpitalny — szyfrowanie bazy danych pacjentów i żądanie okupu.

Utrata nośnika danych — zgubienie laptopa lub pendrive’a z danymi pacjentów.

Błędna konfiguracja systemu — dane pacjentów dostępne publicznie w internecie z powodu błędu w ustawieniach systemu.

Każdy z tych scenariuszy wymaga zgłoszenia do UODO w ciągu 72 godzin (art. 33 RODO) — a w przypadku wysokiego ryzyka dla pacjentów, również ich powiadomienia (art. 34 RODO).

UODO nakładał kary na podmioty lecznicze za naruszenia ochrony danych — m.in. za brak odpowiednich środków bezpieczeństwa, niezgłoszenie naruszenia i niezawiadomienie osób dotkniętych.

Procedurę zgłaszania naruszeń opisujemy szczegółowo w osobnym artykule.

Bezpieczeństwo danych medycznych — wymogi techniczne

Ze względu na wrażliwość danych medycznych, wymagania bezpieczeństwa są szczególnie wysokie:

Szyfrowanie — danych w spoczynku (bazy danych, nośniki) i w transmisji (komunikacja z pacjentami, przesyłanie wyników, telemedycyna).

Kontrola dostępu — system uprawnień oparty na rolach (role-based access control — RBAC). Lekarz widzi tylko dane swoich pacjentów, pielęgniarka — tylko dane niezbędne do opieki, rejestratorka — tylko dane administracyjne.

Logowanie zdarzeń — rejestrowanie, kto, kiedy i jakie dane przeglądał. Pozwala wykryć nieuprawniony dostęp.

Uwierzytelnianie wieloskładnikowe (MFA) — szczególnie dla dostępu do systemów medycznych.

Kopie zapasowe — regularne, testowane pod kątem odtwarzalności. W sektorze zdrowia utrata danych może zagrażać życiu pacjenta.

Segmentacja sieci — oddzielenie systemów medycznych od sieci administracyjnej i internetu.

Zarządzanie urządzeniami mobilnymi — szyfrowanie tabletów i smartfonów używanych przez personel medyczny, zdalne wymazywanie w przypadku kradzieży.

Zgodność z normami — ISO 27001, ISO 27799 (bezpieczeństwo informacji w sektorze zdrowia), PN-EN ISO 13606 (systemy komunikacji w opiece zdrowotnej).

Checklist RODO dla podmiotów leczniczych

1. Zidentyfikuj wszystkie procesy przetwarzania danych o zdrowiu — dokumentacja medyczna, systemy IT, telemedycyna, badania.
2. Określ podstawy prawne — art. 9 ust. 2 lit. h (cele zdrowotne) jako główna, art. 9 ust. 2 lit. a (zgoda) tylko gdy niezbędna.
3. Nie żądaj zgody na przetwarzanie danych w celu leczenia — właściwą podstawą są przepisy o działalności leczniczej.
4. Przygotuj klauzule informacyjne dla pacjentów — uwzględnij specyfikę sektora zdrowia.
5. Przeprowadź DPIA — obowiązkowa przy przetwarzaniu danych o zdrowiu na dużą skalę.
6. Powołaj IOD — obowiązkowe dla większości podmiotów leczniczych.
7. Zapewnij tajemnicę lekarską — zobowiąż personel do poufności, kontroluj dostęp do dokumentacji.
8. Zabezpiecz systemy IT — szyfrowanie, kontrola dostępu, MFA, kopie zapasowe, logowanie.
9. Ureguluj telemedycynę — szyfrowane kanały komunikacji, bezpieczne platformy.
10. Określ okresy retencji — 20 lat dla dokumentacji medycznej (z wyjątkami).
11. Wdróż procedurę realizacji praw pacjenta — dostęp do dokumentacji, sprostowanie, ograniczenie.
12. Wdróż procedurę naruszeń — szybka reakcja jest krytyczna przy danych medycznych.
13. Zawrzyj umowy powierzenia — z dostawcami systemów IT, laboratorami, firmami chmurowym.
14. Prowadź RCP — uwzględnij wszystkie procesy przetwarzania danych medycznych.
15. Przeszkol personel — lekarze, pielęgniarki, rejestratorki, personel IT — wszyscy przetwarzają dane pacjentów.

Potrzebujesz wsparcia z RODO w sektorze zdrowia?

Ochrona danych pacjentów wymaga jednoczesnej znajomości RODO, prawa medycznego i specyfiki systemów IT w ochronie zdrowia. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont doradzamy podmiotom leczniczym i firmom z sektora zdrowia w zakresie zgodności z RODO — od audytu dokumentacji medycznej, przez wdrożenie procedur bezpieczeństwa, po pełnienie funkcji zewnętrznego IOD.