Ochrona Danych

RODO w służbie zdrowia: szpitale i przychodnie

RODO w służbie zdrowia w Polsce: dokumentacja medyczna, EDM, dostęp pacjenta, kary UODO. Przewodnik dla szpitali i przychodni 2026.

W jednym zdaniu. Sektor ochrony zdrowia jest jednym z trzech najczęściej sankcjonowanych przez UODO obszarów w 2025 r., a większość kar dotyczy nieuprawnionego dostępu personelu do dokumentacji medycznej oraz wycieków danych pacjentów.

Najważniejsze punkty

  • Podstawa szczególna: art. 9 ust. 2 lit. h RODO + ustawa o prawach pacjenta.
  • Dokumentacja medyczna: 20 lat retencji standardowo, 30 lat dla zgonów, 22 lat dla dzieci.
  • EDM (Elektroniczna Dokumentacja Medyczna) obowiązkowa od 2021 r.
  • Dostęp pacjenta do dokumentacji: bezpłatny pierwszy wgląd, opłata za kopię.
  • Nieuprawniony dostęp personelu — sankcjonowany przez UODO i karnie (art. 107 ustawy).
  • IOD obowiązkowy dla podmiotów leczniczych prowadzących EDM.

1. Podstawy prawne w polskim sektorze zdrowia

Reżim podwójny: RODO (art. 9 ust. 2 lit. h — cele zdrowotne) + ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 r. + ustawa o działalności leczniczej z 15 kwietnia 2011 r. + ustawa o systemie informacji w ochronie zdrowia z 28 kwietnia 2011 r. Każdy podmiot leczniczy podlega temu pakietowi.

2. Dokumentacja medyczna — co to jest

Definicja w art. 24 ustawy o prawach pacjenta: dokumentacja indywidualna (historia choroby, karta informacyjna, wyniki badań) i zbiorcza (księgi, rejestry). Prowadzona w formie elektronicznej (EDM) lub papierowej. EDM jest obowiązkowa od 1 stycznia 2021 r. dla podmiotów udzielających świadczeń ze środków publicznych.

3. Okresy retencji dokumentacji medycznej

Kategoria Okres
Standardowa dokumentacja 20 lat od końca roku świadczenia
Dokumentacja zgonu 30 lat
Dokumentacja dziecka < 2 lat 22 lat
Dane zdjęciowe (RTG) 10 lat
Skierowania 5 lat
Recepty 5 lat
Dokumentacja krwiodawstwa 30 lat

4. Dostęp pacjenta do dokumentacji

Art. 26-28 ustawy o prawach pacjenta: pacjent ma prawo do wglądu (bezpłatnie), kopii (opłata regulowana), wyciągu, odpisu, oryginału (wyjątkowo). Forma elektroniczna — bezpłatnie. Termin wydania: bez zbędnej zwłoki, w praktyce 1-14 dni. Po śmierci pacjenta — dostęp dla osoby upoważnionej, członków rodziny lub osób bliskich.

5. Nieuprawniony dostęp personelu

Najczęstsza przyczyna kar UODO w służbie zdrowia. Mechanizm: pracownik wchodzi do systemu EDM i przegląda dokumentację pacjenta, z którym nie ma związku zawodowego (sąsiad, krewny, celebryta, były partner). Sankcje: kara administracyjna dla podmiotu leczniczego + odpowiedzialność karna pracownika (art. 107 ustawy o ochronie danych, do 2 lat pozbawienia wolności).

6. Kary UODO w sektorze zdrowia

Podmiot Rok Kwota Powód
Centrum Medyczne ENEL-MED 2023 144 tys. zł wyciek danych
Szpital w Tarnobrzegu 2022 200 tys. zł naruszenie 72h
TUW PZUW 2023 110 tys. zł dane medyczne
Niepubliczny ZOZ 2024 80 tys. zł dostęp nieuprawniony
Apteka 2024 50 tys. zł wydanie recepty osobie trzeciej

7. EDM — wymagania bezpieczeństwa

EDM podlega standardom: rozporządzenie MZ z 6 kwietnia 2020 r. (specyfikacja techniczna), Centralne Repozytorium Recept (P1), Internetowe Konto Pacjenta (IKP). Wymogi: kontrola dostępu rolowa, logi z minimum 12-miesięczną retencją, kopie zapasowe z testem przywrócenia, szyfrowanie w spoczynku i tranzycie, certyfikat KSC dla podmiotów krytycznych.

8. IOD w podmiocie leczniczym

Art. 37 ust. 1 lit. c RODO (przetwarzanie szczególnych kategorii danych na dużą skalę) plus polski wymóg dla EDM aktywują obowiązek wyznaczenia IOD dla wszystkich szpitali i większych przychodni. IOD musi mieć doświadczenie w sektorze zdrowia — znajomość ustawy o prawach pacjenta, ustawy o działalności leczniczej, regulacji NFZ, standardów EDM.

9. Monitoring wizyjny w szpitalu

KP art. 22^2^ oraz rozporządzenie MZ z 7 marca 2022 r. regulują monitoring w podmiotach leczniczych. Dopuszczalne: korytarze, wejścia, parkingi, oddziały specjalistyczne (psychiatryczne, neonatologiczne). Niedopuszczalne: sale chorych z możliwością identyfikacji, gabinety lekarskie, toalety, łazienki. Retencja: 3 miesiące (z wyjątkami). Wymóg DPIA (komunikat UODO 2018).

10. Telemedycyna i RODO

Telemedycyna podlega RODO i ustawie o świadczeniu usług drogą elektroniczną. Wymogi specyficzne: szyfrowanie wideokonferencji, weryfikacja tożsamości pacjenta i lekarza, dokumentacja wizyty w EDM, zgoda na nagranie (jeśli stosowane), TOMs platformy telemedycznej. Recepty elektroniczne wymagają podpisu kwalifikowanego lub ZUS.

11. Wymiana danych z NFZ i ZUS

Dane przekazywane do NFZ (rozliczenia świadczeń) i ZUS (zwolnienia lekarskie) odbywają się na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c + art. 9 ust. 2 lit. h). Nie wymaga zgody pacjenta. Wymaga jednak klauzuli informacyjnej i wpisu w RCP. Transfery nie wykraczają poza EOG (dane wewnątrz Polski).

12. Mapa zgodności dla szpitala

  • RCP z czynnościami: świadczenie, EDM, NFZ, monitoring, kadry, statystyka.
  • IOD wyznaczony i zgłoszony.
  • DPIA dla EDM, monitoringu, telemedycyny, AI medyczne.
  • Polityka dostępu rolowa, logi 12+ miesięcy.
  • Procedura naruszenia 72h ze ścieżką eskalacji.
  • Klauzule informacyjne dla pacjentów (rejestracja, ankiety).
  • Umowy powierzenia z dostawcami EDM, laboratoriów, hostingu.
  • Szkolenia personelu min. raz w roku. Zobacz healthcare GDPR.

13. Wytyczne UODO dla sektora zdrowia i przecięcie z prawem sektorowym

UODO i Ministerstwo Zdrowia opublikowały wspólne wytyczne dla podmiotów leczniczych (2022, aktualizacja 2024). Kluczowe zalecenia: kontrola dostępu rolowa do EDM z logami, audyty wewnętrzne kwartalne, MFA dla personelu medycznego, szyfrowanie laptopów i nośników, polityka BYOD restrykcyjna (raczej zakaz), dedykowane procedury dla telemedycyny, klauzule informacyjne dwujęzyczne (PL/EN minimum dla turystyki medycznej), umowy powierzenia z dostawcami EDM precyzujące lokalizację danych (preferowane Polska/EOG). Przecięcie regulacji: Ustawa o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawa o systemie informacji w ochronie zdrowia, Ustawa o zawodach lekarza i lekarza dentysty (tajemnica zawodowa). Naruszenie tajemnicy lekarskiej + RODO = podwójna odpowiedzialność (karnoadministracyjna).

14. Sprawy enforcement w sektorze zdrowia 2023-2025

Podmiot Rok Sankcja Powód
Centrum Medyczne ENEL-MED 2023 144 000 zł wyciek danych w systemie online
Szpital w Tarnobrzegu 2022 200 000 zł niezgłoszone naruszenie 72h
TUW PZUW 2023 110 000 zł nieuprawnione przetwarzanie danych medycznych
Niepubliczny ZOZ 2024 80 000 zł nieuprawniony dostęp personelu
Apteka internetowa 2024 50 000 zł wydanie recepty osobie trzeciej
Szpital publiczny 2025 660 000 zł wyciek 18 tys. dokumentacji
Klinika prywatna 2025 380 000 zł brak DPIA dla AI diagnostycznego
Główny Inspektor Sanitarny 2024 upomnienie opóźnione zgłoszenie wycieku kadrowego

Sektor zdrowia odpowiada za 9% sumy kar UODO w 2025 r. (ok. 1,3 mln zł), ale generuje najwięcej zgłoszeń naruszeń (ok. 3 200 rocznie). Trend rosnący w obszarze AI medycznej i telemedycyny. UODO zapowiedział w priorytetach 2026 wzmożone kontrole konfiguracji EDM i bezpieczeństwa danych genetycznych. Patrz Kary UODO 2025, RODO Art. 32 bezpieczeństwo, Zgłoszenie naruszenia, umowa powierzenia wzór.

FAQ

Czy pacjent może żądać usunięcia dokumentacji medycznej?

Nie. Art. 17 ust. 3 lit. b i c RODO oraz art. 29 ustawy o prawach pacjenta wykluczają prawo do usunięcia dokumentacji medycznej przed upływem ustawowego okresu retencji (zwykle 20 lat).

Czy mogę przekazać dokumentację medyczną rodzinie zmarłego?

Tak, jeśli osoba została upoważniona za życia lub jeśli przepisy szczególne na to pozwalają (osoby bliskie po wykazaniu interesu). Procedurę reguluje art. 26 ust. 2-2a ustawy o prawach pacjenta.

Czy lekarz może spojrzeć do dokumentacji swojego sąsiada?

Nie, jeśli nie udziela mu świadczenia. To jest nieuprawniony dostęp — naruszenie RODO oraz przestępstwo z art. 107 ustawy o ochronie danych (do 2 lat pozbawienia wolności).

Czy klauzula informacyjna w rejestracji wystarcza?

Tak, jeśli pacjent rzeczywiście ją otrzymuje (papier do podpisu lub link QR) i jest zrozumiała. UODO sankcjonuje “fikcyjne” klauzule wywieszone na ścianie bez aktywnego przekazania.

Czy AI w diagnostyce wymaga DPIA?

Tak. AI medyczne to “nowa technologia” + “dane szczególnych kategorii” + “duża skala” — kombinacja aktywująca DPIA. Dodatkowo AI Act wymaga FRIA dla systemów wysokiego ryzyka (diagnostyka, triage).

Czy dane genetyczne podlegają specjalnym wymogom?

Tak. Dane genetyczne (art. 4 pkt 13 RODO) są szczególną kategorią danych z art. 9 ust. 1, wymagającą jednej z wąskich podstaw z art. 9 ust. 2. Polska ustawa o ochronie danych nie przewiduje dodatkowych ograniczeń, ale UODO i Ministerstwo Zdrowia rekomendują: pseudonimizację jako standard, szczególne procedury zgody (osobno dla diagnostyki, badań naukowych, archiwizacji), zakaz wykorzystywania do celów ubezpieczeniowych (oddzielne uregulowanie), wymóg DPIA dla każdej operacji, kontrolę dostępu z 4-eyes principle (dwóch operatorów). Naruszenie danych genetycznych — wyższa kategoria sankcji (art. 83 ust. 5 RODO).

Jakie obowiązki ma szpital prywatny wobec NFZ?

Przekazywanie danych rozliczeniowych świadczeń (DRG, ICD-10, koszty) — podstawa: obowiązek prawny (art. 6 ust. 1 lit. c + art. 9 ust. 2 lit. h). Nie wymaga zgody pacjenta, ale wymaga klauzuli informacyjnej i wpisu w RCP. Format przekazywania: pliki XML do systemu SZOI/JGP. Bezpieczeństwo: VPN z NFZ, szyfrowanie pliku, podpis kwalifikowany. Pacjent ma prawo dostępu do danych przekazanych do NFZ poprzez Internetowe Konto Pacjenta (IKP).

Czy telemedycyna wymaga osobnej zgody pacjenta?

Tak, dwóch typów: zgoda na świadczenie telemedyczne (forma usługi) + zgoda na nagrywanie konsultacji jeśli stosowane. Pierwsza zgoda jest typowo udzielana w ramach umowy o świadczenie zdrowotne (forma dorozumiana przez wybór modalności). Druga musi być wyraźna, dobrowolna, z możliwością odmowy bez konsekwencji dla świadczenia. Platforma telemedyczna musi spełniać wymogi rozporządzenia Ministra Zdrowia z 6 kwietnia 2020 r. dotyczącego komunikacji elektronicznej w opiece zdrowotnej.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →