Bezpieczne dane o stanie zdrowia – jak uniknąć błędów i przygotować placówkę medyczną na kontrolę UODO?

12 marca 2025 |

Placówki medyczne to jeden z sektorów o najwyższym ryzyku naruszeń, jeśli chodzi o ochronę danych osobowych. W końcu dane pacjentów to nie tylko imię i nazwisko, ale także informacje o stanie zdrowia, historia leczenia czy wyniki badań – prawdziwa skarbnica wrażliwych informacji, które wymagają szczególnej ochrony. W styczniowym alercie prawnymPlan kontroli sektorowych UODO na 2025 r. – które branże znalazły się na radarze? informowaliśmy, że Urząd Ochrony Danych Osobowych (UODO) zapowiedział wzmożone działania w sektorze medycznym. To oznacza, że placówki lecznicze powinny jak najszybciej sprawdzić, czy ich procedury spełniają wymogi RODO i krajowych regulacji.

Od polityki do praktyki – czyli skuteczne zarządzanie dokumentacją medyczną

Każdy podmiot leczniczy przetwarza ogromne ilości dokumentacji pacjentów, zarówno w formie papierowej, jak i elektronicznej. Skuteczne zabezpieczenie tych danych jest kluczowe dla ochrony prywatności pacjentów oraz zgodności z przepisami prawnymi.

Wskazuje się, że placówki medyczne powinny zrewidować stosowane środki ochrony danych i dostosować je do specyfiki przetwarzania danych pacjentów, biorąc pod uwagę ich szczególnie wrażliwy charakter. Podkreślenia wymaga, że nie wystarczy jedynie wdrożyć polityki bezpieczeństwa – kluczowa jest ich faktyczna realizacja oraz zgodność z analizą ryzyka. Oznacza to, że administratorzy danych powinni sprawdzić, czy zabezpieczenia stosowane w ich placówce rzeczywiście funkcjonują w praktyce, a nie pozostają jedynie zapisami w dokumentacji[1].

Weryfikacja środków technicznych i organizacyjnych – co sprawdzić?

Administratorzy powinni szczegółowo przeanalizować, czy ich placówka spełnia standardy w zakresie zabezpieczeń technicznych, m.in.:

  • Czy przetwarzanie danych medycznych odbywa się wyłącznie przy użyciu narzędzi zatwierdzonych przez administratora, np. służbowej skrzynki e-mail, do której dostęp mają jedynie upoważnione osoby?
  • Czy dane pacjentów są szyfrowane i poddane pseudonimizacji, aby zminimalizować ryzyko ich nieuprawnionego ujawnienia?
  • Czy system informatyczny posiada mechanizmy tworzenia i weryfikacji kopii zapasowych, a także zabezpieczenia antywirusowe i antyspamowe?
  • Czy pomieszczenia, w których przechowywana jest dokumentacja medyczna, są odpowiednio zabezpieczone przed dostępem osób nieuprawnionych?
  • Czy kontrola dostępu do danych osobowych działa prawidłowo, np. czy po zakończeniu współpracy z pracownikiem jego konto zostaje natychmiast zablokowane?
  • Czy stosowane procedury zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta określają zasady dostępu do dokumentacji medycznej oraz jej udostępniania uprawnionym podmiotom?

Poza aspektami technicznymi, podkreśla się również, że duże znaczenie mają procedury organizacyjne, które powinny być na bieżąco aktualizowane i stosowane w praktyce. Warto zweryfikować, czy:

  • Dostęp do dokumentacji medycznej mają wyłącznie osoby upoważnione, a uprawnienia są automatycznie odbierane po ustaniu zatrudnienia lub dłuższej nieobecności pracownika.
  • Personel placówki jest odpowiednio przeszkolony w zakresie ochrony danych – np. czy wie, jak prawidłowo weryfikować tożsamość pacjenta przy wydawaniu wyników badań (czy okazanie dokumentu jest standardem, czy może nadal dopuszczalne jest podawanie numeru PESEL ustnie?).
  • Osoby trzecie, np. serwisanci lub personel sprzątający, mogą przebywać w pomieszczeniach z dokumentacją medyczną jedynie pod nadzorem pracowników placówki.
  • Administrator zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym udostępnia informacje o pacjentach, a także zadbał o określenie wspólnych zasad ochrony danych w takich przypadkach.
  • Placówka ma procedury na wypadek naruszenia ochrony danych, które określają, jakie działania należy podjąć, by ograniczyć skutki incydentu i nie dopuścić do jego eskalacji.

W tym miejscu należy, w szczególności zwrócić uwagę na art. 5 RODO, który stanowi swoisty kompas wskazując właściwy kierunek dla każdego, kto przetwarza dane osobowe. Przestrzeganie tych zasad jest kluczowe dla każdej organizacji, która chce zgodnie z prawem przetwarzać dane osobowe.

Kto ma dostęp do danych pacjentów?

Dostęp do dokumentacji zarówno papierowej, jak i elektronicznej powinien być ograniczony tylko do tych pracowników, którzy rzeczywiście potrzebują tych informacji do wykonywania swoich obowiązków. Zasada „im mniej, tym lepiej” sprawdza się tutaj doskonale. Nie zapominajmy bowiem, że RODO nakłada obowiązek minimalizacji danych, co oznacza, że przetwarzane powinny być tylko te informacje, które są absolutnie niezbędne do realizacji określonych celów. Zbieranie danych „na wszelki wypadek” może prowadzić do większych problemów niż korzyści. Przestrzeganie tej zasady pomaga w ograniczeniu ryzyka naruszenia prywatności pacjentów oraz w zapewnieniu zgodności z przepisami prawnymi.

Należy zadbać o stosowne upoważnienia dla pracowników mających styczność z danymi osobowymi pacjentów. Na podstawie obowiązujących przepisów będą to zarówno osoby wykonujące zawód medyczny, jak również inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych (np. rejestratorki, higienistki). Upoważnienie musi konkretnie określać, kto, do jakich danych i w jakim zakresie będzie miał dostęp. Ponadto do zadań podmiotu należy zapoznanie upoważnionych osób z zasadami dotyczącymi ochrony danych osobowych oraz regularne podnoszenie świadomości w tym zakresie osób zatrudnionych w placówce.

Monitorowanie dostępu do dokumentacji pacjentów jest niezwykle istotne, a do tego służy nam rejestr upoważnień. Rejestr upoważnień do dokumentacji medycznej to kluczowy element zarządzania dostępem do danych pacjentów. Służy on do ewidencjonowania osób, które zostały upoważnione przez pacjenta do wglądu w jego dokumentację medyczną. Warto również śledzić, kto i kiedy przeglądał te dane, aby zapewnić ich bezpieczeństwo. Nowoczesne systemy informatyczne mogą automatycznie rejestrować takie działania, co pozwala na bieżąco kontrolować dostęp do wrażliwych informacji.

Kolejny kluczowy element ochrony danych to szkolenie personelu. Czasami bowiem nawet najlepsze procedury nie przyniosą oczekiwanych rezultatów, jeśli pracownicy nie będą świadomi zasad ochrony danych. Regularne szkolenia, nawet w formie krótkich przypomnień czy quizów, mogą pomóc uniknąć naruszeń i błędów w zakresie przetwarzania danych osobowych.

A skoro o błędach mowa…

„Houston, mamy problem” – jak reagować na incydenty?

Żaden system nie jest w 100% niezawodny, a do tego dochodzi nam tzw. „czynnik ludzki” dlatego każda placówka medyczna powinna być przygotowana na sytuację, w której dochodzi do wycieku lub nieuprawnionego dostępu do danych pacjentów. W takich przypadkach kluczowe jest szybkie i skuteczne działanie.

Pierwszym krokiem jest natychmiastowe zabezpieczenie danych. Może to obejmować m.in. odcięcie dostępu do systemu informatycznego, w którym przechowywane są dokumenty. Ważne jest, aby jak najszybciej zminimalizować ryzyko dalszego naruszenia.

W zależności od rodzaju incydentu i jego skali należy dokonać jego analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. W razie konieczności incydent powinien zostać zgłoszony do Inspektora Ochrony Danych (IOD), jeśli placówka go posiada. Inspektor jest odpowiedzialny za podjęcie dalszych kroków, w tym ocenę skali naruszenia. Jeśli istnieje ryzyko, że incydent wpłynie na prawa i wolności pacjentów, należy zgłosić go do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin.

Jeśli incydent może skutkować negatywnymi konsekwencjami dla prywatności pacjentów, kolejnym krokiem jest ich poinformowanie o incydencie. Transparentność w takich sytuacjach jest kluczowa, aby pacjenci mogli podjąć odpowiednie środki ostrożności.

Należy zważyć na fakt, iż ignorowanie naruszeń danych może prowadzić do poważnych konsekwencji, dlatego każda placówka medyczna powinna mieć opracowane procedury reagowania na incydenty i regularnie je aktualizować. Istotnym elementem zarządzania bezpieczeństwem danych jest prowadzenie rejestru naruszeń. Rejestr naruszeń służy do dokumentowania wszystkich incydentów związanych z naruszeniem ochrony danych osobowych. Zawiera informacje o rodzaju naruszenia, jego przyczynach, skutkach oraz podjętych działaniach naprawczych.

Lepiej zapobiegać niż leczyć  

W wielu placówkach wciąż zdarzają się niedopatrzenia w zakresie ochrony danych pacjentów. Warto zawczasu zweryfikować opisane w niniejszym artykule obszary, ponieważ obecne działania PUODO pokazują, że sprawdzanie przestrzegania przepisów w placówkach medycznych nie jest teoretyczne, a tegoroczna kontrola sektorowa sprawia, że nadzór nad nimi jest jeszcze bardziej szczegółowy i rzeczywisty.

Nasza kancelaria oferuje kompleksową pomoc w weryfikacji, czy Twoja placówka spełnia wszelkie wymogi pod kątem RODO. W razie potrzeby, pomożemy wdrożyć odpowiednie środki zabezpieczające, aby zapewnić najwyższy poziom ochrony danych osobowych. Skontaktuj się z nami, aby dowiedzieć się więcej o naszych usługach i jak możemy wspierać Cię w zapewnieniu zgodności z przepisami.

[1] Łukaszyk Joanna, Kontrola UODO 2025 – przetwarzanie danych o stanie zdrowia


Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ