W jednym zdaniu. Sektor ochrony zdrowia jest jednym z trzech najczęściej sankcjonowanych przez UODO obszarów w 2025 r., a większość kar dotyczy nieuprawnionego dostępu personelu do dokumentacji medycznej oraz wycieków danych pacjentów.
Najważniejsze punkty
- Podstawa szczególna: art. 9 ust. 2 lit. h RODO + ustawa o prawach pacjenta.
- Dokumentacja medyczna: 20 lat retencji standardowo, 30 lat dla zgonów, 22 lat dla dzieci.
- EDM (Elektroniczna Dokumentacja Medyczna) obowiązkowa od 2021 r.
- Dostęp pacjenta do dokumentacji: bezpłatny pierwszy wgląd, opłata za kopię.
- Nieuprawniony dostęp personelu — sankcjonowany przez UODO i karnie (art. 107 ustawy).
- IOD obowiązkowy dla podmiotów leczniczych prowadzących EDM.
1. Podstawy prawne w polskim sektorze zdrowia
Reżim podwójny: RODO (art. 9 ust. 2 lit. h — cele zdrowotne) + ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 r. + ustawa o działalności leczniczej z 15 kwietnia 2011 r. + ustawa o systemie informacji w ochronie zdrowia z 28 kwietnia 2011 r. Każdy podmiot leczniczy podlega temu pakietowi.
2. Dokumentacja medyczna — co to jest
Definicja w art. 24 ustawy o prawach pacjenta: dokumentacja indywidualna (historia choroby, karta informacyjna, wyniki badań) i zbiorcza (księgi, rejestry). Prowadzona w formie elektronicznej (EDM) lub papierowej. EDM jest obowiązkowa od 1 stycznia 2021 r. dla podmiotów udzielających świadczeń ze środków publicznych.
3. Okresy retencji dokumentacji medycznej
| Kategoria | Okres |
|---|---|
| Standardowa dokumentacja | 20 lat od końca roku świadczenia |
| Dokumentacja zgonu | 30 lat |
| Dokumentacja dziecka < 2 lat | 22 lat |
| Dane zdjęciowe (RTG) | 10 lat |
| Skierowania | 5 lat |
| Recepty | 5 lat |
| Dokumentacja krwiodawstwa | 30 lat |
4. Dostęp pacjenta do dokumentacji
Art. 26-28 ustawy o prawach pacjenta: pacjent ma prawo do wglądu (bezpłatnie), kopii (opłata regulowana), wyciągu, odpisu, oryginału (wyjątkowo). Forma elektroniczna — bezpłatnie. Termin wydania: bez zbędnej zwłoki, w praktyce 1-14 dni. Po śmierci pacjenta — dostęp dla osoby upoważnionej, członków rodziny lub osób bliskich.
5. Nieuprawniony dostęp personelu
Najczęstsza przyczyna kar UODO w służbie zdrowia. Mechanizm: pracownik wchodzi do systemu EDM i przegląda dokumentację pacjenta, z którym nie ma związku zawodowego (sąsiad, krewny, celebryta, były partner). Sankcje: kara administracyjna dla podmiotu leczniczego + odpowiedzialność karna pracownika (art. 107 ustawy o ochronie danych, do 2 lat pozbawienia wolności).
6. Kary UODO w sektorze zdrowia
| Podmiot | Rok | Kwota | Powód |
|---|---|---|---|
| Centrum Medyczne ENEL-MED | 2023 | 144 tys. zł | wyciek danych |
| Szpital w Tarnobrzegu | 2022 | 200 tys. zł | naruszenie 72h |
| TUW PZUW | 2023 | 110 tys. zł | dane medyczne |
| Niepubliczny ZOZ | 2024 | 80 tys. zł | dostęp nieuprawniony |
| Apteka | 2024 | 50 tys. zł | wydanie recepty osobie trzeciej |
7. EDM — wymagania bezpieczeństwa
EDM podlega standardom: rozporządzenie MZ z 6 kwietnia 2020 r. (specyfikacja techniczna), Centralne Repozytorium Recept (P1), Internetowe Konto Pacjenta (IKP). Wymogi: kontrola dostępu rolowa, logi z minimum 12-miesięczną retencją, kopie zapasowe z testem przywrócenia, szyfrowanie w spoczynku i tranzycie, certyfikat KSC dla podmiotów krytycznych.
8. IOD w podmiocie leczniczym
Art. 37 ust. 1 lit. c RODO (przetwarzanie szczególnych kategorii danych na dużą skalę) plus polski wymóg dla EDM aktywują obowiązek wyznaczenia IOD dla wszystkich szpitali i większych przychodni. IOD musi mieć doświadczenie w sektorze zdrowia — znajomość ustawy o prawach pacjenta, ustawy o działalności leczniczej, regulacji NFZ, standardów EDM.
9. Monitoring wizyjny w szpitalu
KP art. 22^2^ oraz rozporządzenie MZ z 7 marca 2022 r. regulują monitoring w podmiotach leczniczych. Dopuszczalne: korytarze, wejścia, parkingi, oddziały specjalistyczne (psychiatryczne, neonatologiczne). Niedopuszczalne: sale chorych z możliwością identyfikacji, gabinety lekarskie, toalety, łazienki. Retencja: 3 miesiące (z wyjątkami). Wymóg DPIA (komunikat UODO 2018).
10. Telemedycyna i RODO
Telemedycyna podlega RODO i ustawie o świadczeniu usług drogą elektroniczną. Wymogi specyficzne: szyfrowanie wideokonferencji, weryfikacja tożsamości pacjenta i lekarza, dokumentacja wizyty w EDM, zgoda na nagranie (jeśli stosowane), TOMs platformy telemedycznej. Recepty elektroniczne wymagają podpisu kwalifikowanego lub ZUS.
11. Wymiana danych z NFZ i ZUS
Dane przekazywane do NFZ (rozliczenia świadczeń) i ZUS (zwolnienia lekarskie) odbywają się na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c + art. 9 ust. 2 lit. h). Nie wymaga zgody pacjenta. Wymaga jednak klauzuli informacyjnej i wpisu w RCP. Transfery nie wykraczają poza EOG (dane wewnątrz Polski).
12. Mapa zgodności dla szpitala
- RCP z czynnościami: świadczenie, EDM, NFZ, monitoring, kadry, statystyka.
- IOD wyznaczony i zgłoszony.
- DPIA dla EDM, monitoringu, telemedycyny, AI medyczne.
- Polityka dostępu rolowa, logi 12+ miesięcy.
- Procedura naruszenia 72h ze ścieżką eskalacji.
- Klauzule informacyjne dla pacjentów (rejestracja, ankiety).
- Umowy powierzenia z dostawcami EDM, laboratoriów, hostingu.
- Szkolenia personelu min. raz w roku. Zobacz healthcare GDPR.
13. Wytyczne UODO dla sektora zdrowia i przecięcie z prawem sektorowym
UODO i Ministerstwo Zdrowia opublikowały wspólne wytyczne dla podmiotów leczniczych (2022, aktualizacja 2024). Kluczowe zalecenia: kontrola dostępu rolowa do EDM z logami, audyty wewnętrzne kwartalne, MFA dla personelu medycznego, szyfrowanie laptopów i nośników, polityka BYOD restrykcyjna (raczej zakaz), dedykowane procedury dla telemedycyny, klauzule informacyjne dwujęzyczne (PL/EN minimum dla turystyki medycznej), umowy powierzenia z dostawcami EDM precyzujące lokalizację danych (preferowane Polska/EOG). Przecięcie regulacji: Ustawa o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawa o systemie informacji w ochronie zdrowia, Ustawa o zawodach lekarza i lekarza dentysty (tajemnica zawodowa). Naruszenie tajemnicy lekarskiej + RODO = podwójna odpowiedzialność (karnoadministracyjna).
14. Sprawy enforcement w sektorze zdrowia 2023-2025
| Podmiot | Rok | Sankcja | Powód |
|---|---|---|---|
| Centrum Medyczne ENEL-MED | 2023 | 144 000 zł | wyciek danych w systemie online |
| Szpital w Tarnobrzegu | 2022 | 200 000 zł | niezgłoszone naruszenie 72h |
| TUW PZUW | 2023 | 110 000 zł | nieuprawnione przetwarzanie danych medycznych |
| Niepubliczny ZOZ | 2024 | 80 000 zł | nieuprawniony dostęp personelu |
| Apteka internetowa | 2024 | 50 000 zł | wydanie recepty osobie trzeciej |
| Szpital publiczny | 2025 | 660 000 zł | wyciek 18 tys. dokumentacji |
| Klinika prywatna | 2025 | 380 000 zł | brak DPIA dla AI diagnostycznego |
| Główny Inspektor Sanitarny | 2024 | upomnienie | opóźnione zgłoszenie wycieku kadrowego |
Sektor zdrowia odpowiada za 9% sumy kar UODO w 2025 r. (ok. 1,3 mln zł), ale generuje najwięcej zgłoszeń naruszeń (ok. 3 200 rocznie). Trend rosnący w obszarze AI medycznej i telemedycyny. UODO zapowiedział w priorytetach 2026 wzmożone kontrole konfiguracji EDM i bezpieczeństwa danych genetycznych. Patrz Kary UODO 2025, RODO Art. 32 bezpieczeństwo, Zgłoszenie naruszenia, umowa powierzenia wzór.
FAQ
Czy pacjent może żądać usunięcia dokumentacji medycznej?
Nie. Art. 17 ust. 3 lit. b i c RODO oraz art. 29 ustawy o prawach pacjenta wykluczają prawo do usunięcia dokumentacji medycznej przed upływem ustawowego okresu retencji (zwykle 20 lat).
Czy mogę przekazać dokumentację medyczną rodzinie zmarłego?
Tak, jeśli osoba została upoważniona za życia lub jeśli przepisy szczególne na to pozwalają (osoby bliskie po wykazaniu interesu). Procedurę reguluje art. 26 ust. 2-2a ustawy o prawach pacjenta.
Czy lekarz może spojrzeć do dokumentacji swojego sąsiada?
Nie, jeśli nie udziela mu świadczenia. To jest nieuprawniony dostęp — naruszenie RODO oraz przestępstwo z art. 107 ustawy o ochronie danych (do 2 lat pozbawienia wolności).
Czy klauzula informacyjna w rejestracji wystarcza?
Tak, jeśli pacjent rzeczywiście ją otrzymuje (papier do podpisu lub link QR) i jest zrozumiała. UODO sankcjonuje “fikcyjne” klauzule wywieszone na ścianie bez aktywnego przekazania.
Czy AI w diagnostyce wymaga DPIA?
Tak. AI medyczne to “nowa technologia” + “dane szczególnych kategorii” + “duża skala” — kombinacja aktywująca DPIA. Dodatkowo AI Act wymaga FRIA dla systemów wysokiego ryzyka (diagnostyka, triage).
Czy dane genetyczne podlegają specjalnym wymogom?
Tak. Dane genetyczne (art. 4 pkt 13 RODO) są szczególną kategorią danych z art. 9 ust. 1, wymagającą jednej z wąskich podstaw z art. 9 ust. 2. Polska ustawa o ochronie danych nie przewiduje dodatkowych ograniczeń, ale UODO i Ministerstwo Zdrowia rekomendują: pseudonimizację jako standard, szczególne procedury zgody (osobno dla diagnostyki, badań naukowych, archiwizacji), zakaz wykorzystywania do celów ubezpieczeniowych (oddzielne uregulowanie), wymóg DPIA dla każdej operacji, kontrolę dostępu z 4-eyes principle (dwóch operatorów). Naruszenie danych genetycznych — wyższa kategoria sankcji (art. 83 ust. 5 RODO).
Jakie obowiązki ma szpital prywatny wobec NFZ?
Przekazywanie danych rozliczeniowych świadczeń (DRG, ICD-10, koszty) — podstawa: obowiązek prawny (art. 6 ust. 1 lit. c + art. 9 ust. 2 lit. h). Nie wymaga zgody pacjenta, ale wymaga klauzuli informacyjnej i wpisu w RCP. Format przekazywania: pliki XML do systemu SZOI/JGP. Bezpieczeństwo: VPN z NFZ, szyfrowanie pliku, podpis kwalifikowany. Pacjent ma prawo dostępu do danych przekazanych do NFZ poprzez Internetowe Konto Pacjenta (IKP).
Czy telemedycyna wymaga osobnej zgody pacjenta?
Tak, dwóch typów: zgoda na świadczenie telemedyczne (forma usługi) + zgoda na nagrywanie konsultacji jeśli stosowane. Pierwsza zgoda jest typowo udzielana w ramach umowy o świadczenie zdrowotne (forma dorozumiana przez wybór modalności). Druga musi być wyraźna, dobrowolna, z możliwością odmowy bez konsekwencji dla świadczenia. Platforma telemedyczna musi spełniać wymogi rozporządzenia Ministra Zdrowia z 6 kwietnia 2020 r. dotyczącego komunikacji elektronicznej w opiece zdrowotnej.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial