Czy każda firma IT obsługująca system EDM musi podpisać umowę powierzenia przetwarzania danych?

Tak — każda firma zewnętrzna, która ma dostęp do danych osobowych pacjentów (w tym danych zdrowotnych) w związku z prowadzeniem systemu EDM, archiwizacją dokumentacji lub jej digitalizacją, musi działać na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 3 RODO. Wymóg ten dotyczy: dostawców systemów SaaS (chmura), firm hostingowych przechowujących serwery z danymi, firm archiwizacyjnych zarządzających dokumentacją papierową, firm digitalizujących dokumentację, firm serwisujących sprzęt IT podmiotu leczniczego (jeśli mają dostęp do danych). Brak umowy powierzenia nie jest błędem formalnym — to naruszenie RODO zagrożone karą administracyjną PUODO do 20 mln EUR lub 4% rocznego obrotu. Podmiot leczniczy jako administrator odpowiada za prawidłowe zawarcie umów powierzenia ze wszystkimi podmiotami przetwarzającymi.

Jak długo muszą być przechowywane dane dokumentacji medycznej po zakończeniu umowy z dostawcą EDM?

Obowiązkowy okres przechowywania dokumentacji medycznej wynika z art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i nie jest zależny od umowy z dostawcą EDM — trwa niezależnie od tego, czy podmiot leczniczy zmieni dostawcę lub zakończy działalność. Zasada ogólna: 20 lat od dnia ostatniego wpisu w dokumentacji. Wyjątki wydłużające: 30 lat — przy śmierci pacjenta spowodowanej uszkodzeniem ciała lub zatruciem; 22 lata — dokumentacja dzieci do lat 2 (a więc przechowywana do ukończenia przez pacjenta 22. roku życia); 10 lat dla zdjęć rentgenowskich przechowywanych poza dokumentacją; bezterminowo — zdjęcia rentgenowskie i wyniki badań histopatologicznych z powodów choroby nowotworowej (brak ograniczenia ustawowego). Po zakończeniu umowy z dostawcą EDM podmiot leczniczy musi zapewnić migrację danych do nowego systemu lub archiwum zapewniającego wymagany okres przechowywania.

Czy lokalizacja serwerów EDM ma znaczenie prawne — czy muszą być w Polsce?

Prawo polskie nie wymaga, aby serwery EDM znajdowały się fizycznie w Polsce — jednak RODO nakłada ograniczenia na przekazywanie danych poza Europejski Obszar Gospodarczy (EOG). Dane pacjentów mogą być przechowywane na serwerach w EOG (Polska, Niemcy, Francja, Holandia, Irlandia i inne kraje UE oraz EOG) bez dodatkowych wymogów. Przechowywanie danych poza EOG — np. w USA lub Indiach — wymaga zapewnienia odpowiedniego poziomu ochrony: decyzji Komisji Europejskiej o adekwatności (np. Data Privacy Framework dla USA), standardowych klauzul umownych (SCC) lub wiążących reguł korporacyjnych (BCR). W praktyce: większość dużych dostawców chmurowych (Microsoft Azure, Google Cloud, AWS) oferuje regiony danych w EOG — należy wyraźnie wskazać w umowie i w ustawieniach konfiguracyjnych, że dane pacjentów przechowywane są wyłącznie w regionach EOG.

Co zrobić z danymi medycznymi po likwidacji podmiotu leczniczego?

Przy likwidacji podmiotu leczniczego kwestię dokumentacji medycznej reguluje art. 30a ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (dodany nowelizacją z 2023 r.) oraz ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej. Podmiot leczniczy likwidowany jest zobowiązany do: poinformowania organów rejestrowych (RPWDL) o planowanej likwidacji; podjęcia działań zapewniających dalsze przechowywanie dokumentacji medycznej przez wymagany okres (20 lat) — przez przekazanie innemu podmiotowi leczniczemu, organowi rejestrującemu (urząd marszałkowski), archiwum państwowemu lub wyspecjalizowanej firmie archiwizacyjnej; poinformowania pacjentów o możliwości odbioru dokumentacji medycznej przed likwidacją. Po upływie ustawowego okresu przechowywania dokumentacja podlega zniszczeniu w sposób uniemożliwiający zapoznanie się z jej treścią (art. 31 u.p.p.). Brak zapewnienia przechowywania dokumentacji przy likwidacji naraża likwidatora i organ rejestrujący na sankcje administracyjne i cywilną odpowiedzialność wobec pacjentów.

Jakie kary grożą za naruszenie przepisów o przechowywaniu dokumentacji medycznej?

Naruszenie przepisów o prowadzeniu i przechowywaniu dokumentacji medycznej w Polsce wiąże się z wielopłaszczyznową odpowiedzialnością. Po pierwsze: odpowiedzialność administracyjna — Rzecznik Praw Pacjenta może wszcząć postępowanie wyjaśniające, a właściwy organ (Wydział Nadzoru Urzędu Marszałkowskiego lub naczelnik wydziału nadzoru nad podmiotami leczniczymi) może nakazać usunięcie nieprawidłowości i nałożyć sankcje. Po drugie: odpowiedzialność dyscyplinarna lekarzy — Okręgowy Sąd Lekarski może ukarać lekarza za zaniedbanie obowiązków dokumentacyjnych. Po trzecie: naruszenie RODO — jeśli brak lub nieprawidłowe przechowywanie dokumentacji wiąże się z naruszeniem ochrony danych pacjentów (art. 33 RODO), PUODO może nałożyć karę do 20 mln EUR lub 4% rocznego obrotu. Po czwarte: odpowiedzialność cywilna — pacjent, któremu odmówiono dostępu do dokumentacji lub którego dokumentacja została utracona, może dochodzić odszkodowania i zadośćuczynienia na podstawie art. 4 u.p.p. i art. 448 KC.

Jak zapewnić dostęp pacjenta do dokumentacji medycznej przechowywanej przez zewnętrzny podmiot?

Prawo pacjenta do dostępu do dokumentacji medycznej (art. 26-28 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta) jest prawem bezwzględnym — podmiot leczniczy musi je zapewnić niezależnie od tego, czy dokumentacja jest prowadzona wewnętrznie, czy przez zewnętrzny podmiot. Formy udostępnienia (art. 27 u.p.p.): odpis, wyciąg lub kopia dokumentacji — wydana przez podmiot leczniczy po złożeniu wniosku przez pacjenta; wgląd w dokumentację na miejscu — umożliwienie bezpośredniego zapoznania się; przekazanie na informatycznym nośniku danych (pendrive, CD); wysłanie kopii drogą elektroniczną. Opłaty: podmiot leczniczy może pobierać opłaty za kopie dokumentacji — maksymalne stawki określone są w art. 28 ust. 4 u.p.p. Umowa z zewnętrznym podmiotem EDM musi wprost zobowiązywać wykonawcę do: udostępnienia systemu dla wygenerowania odpisu lub kopii dokumentacji na żądanie administratora (podmiotu leczniczego), zachowania ciągłości dostępu nawet w przypadku awarii systemu, migracji danych umożliwiającej kontynuację obsługi pacjentów po zakończeniu współpracy.

Czy podmiot leczniczy może korzystać z dokumentacji papierowej zamiast EDM?

Po stopniowym wdrożeniu obowiązku prowadzenia dokumentacji medycznej w postaci elektronicznej (EDM), wynikającym z ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, zasadniczo dokumentacja medyczna powinna być prowadzona elektronicznie. Jednak przepisy przejściowe i interpretacje Ministerstwa Zdrowia dopuszczają prowadzenie dokumentacji w postaci papierowej w przypadkach uzasadnionych technicznie (brak dostępu do systemu informatycznego, awaria, mała placówka bez zasobów IT). Dla dokumentów obligatoryjnie elektronicznych (e-recepty od 2020 r., e-skierowania od 2021 r., karty informacyjne leczenia szpitalnego od 2021 r.) nie ma możliwości powrotu do papierowej formy. Dokumentacja towarzysząca (wyniki badań, opisy morfologii, raporty pielęgniarskie) może być prowadzona papierowo. Podmiot leczniczy prowadzący dokumentację papierową jest zobowiązany do zapewnienia jej bezpiecznego przechowywania (szafy zamykane, archiwum) i udostępniania pacjentom na zasadach art. 26-28 u.p.p. — przy papierowej dokumentacji wykonanie kopii wiąże się z fizycznym kserowaniem lub skanowaniem.

Umowa o prowadzenie dokumentacji medycznej

UMOWA O PROWADZENIE ELEKTRONICZNEJ DOKUMENTACJI MEDYCZNEJ

zawarta pomiędzy:

[Nazwa Zlecajacego], z siedzibą pod adresem [Adres Zlecajacego], NIP: [Nip Zlecajacego], zwanym dalej „Podmiotem Leczniczym”,

[Nazwa Wykonawcy], z siedzibą pod adresem [Adres Wykonawcy], NIP: [Nip Wykonawcy], zwanym dalej „Wykonawcą”.

§ 1. Przedmiot umowy

1. Podmiot Leczniczy zleca, a Wykonawca zobowiązuje się do prowadzenia, archiwizacji i udostępniania elektronicznej dokumentacji medycznej w systemie: [System E D M]. 2. Zakres prowadzenia dokumentacji obejmuje: [Zakres Przechowywania]. 3. Dane przechowywane są na serwerach zlokalizowanych w: [Lokalizacja Danych], w sposób zapewniający ich integralność, poufność i dostępność zgodnie z wymogami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 nr 52 poz. 417 ze zm.) i rozporządzeniem Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej. 4. Dokumentacja medyczna przechowywana jest przez okres: [Okres Przechowywania] od dnia sporządzenia ostatniego wpisu (art. 29 u.p.p.).

§ 2. Wynagrodzenie i SLA

2. Za wykonanie usług określonych w § 1 Podmiot Leczniczy zapłaci Wykonawcy wynagrodzenie miesięczne w wysokości [Wynagrodzenie I T] zł netto, powiększone o podatek VAT. 2. Wykonawca zobowiązuje się do zapewnienia dostępności systemu EDM na poziomie [Sla]. 3. Kopie zapasowe (backup) danych medycznych wykonywane są: [Backup Czestotliwosc]. 4. Wykonawca zobowiązuje się do zgłoszenia każdego incydentu bezpieczeństwa danych do Podmiotu Leczniczego niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia.

§ 3. Obowiązki Wykonawcy

3. Wykonawca zobowiązuje się do przechowywania dokumentacji medycznej w sposób uniemożliwiający dostęp osób nieuprawnionych, zgodnie z wymogami art. 24-26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. 2. Wykonawca zobowiązuje się do zapewnienia możliwości udostępnienia dokumentacji medycznej pacjentom na ich żądanie, zgodnie z art. 26-28 u.p.p., w tym do wystawiania odpisów, wyciągów i kopii dokumentacji. 3. Wykonawca nie przetwarza danych osobowych pacjentów na własne potrzeby — wyłącznie w imieniu i na polecenie Podmiotu Leczniczego jako administratora danych (umowa powierzenia art. 28 RODO). 4. Wykonawca jest zobowiązany do wdrożenia środków technicznych i organizacyjnych spełniających wymogi art. 32 RODO (szyfrowanie, pseudonimizacja, testowanie zabezpieczeń, plan ciągłości działania).

§ 4. Umowa powierzenia przetwarzania danych (art. 28 RODO)

4. Na podstawie art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) Podmiot Leczniczy jako administrator danych powierza Wykonawcy przetwarzanie danych osobowych pacjentów wyłącznie w celu realizacji niniejszej Umowy. 2. Dane zdrowotne pacjentów stanowią szczególną kategorię danych (art. 9 ust. 1 RODO). Podstawa przetwarzania: art. 9 ust. 2 lit. h RODO. 3. Wykonawca zobowiązuje się przetwarzać dane wyłącznie na podstawie udokumentowanych poleceń Podmiotu Leczniczego, wdrożyć odpowiednie środki bezpieczeństwa (art. 32 RODO), nie powierzać przetwarzania dalszym podmiotom bez uprzedniej pisemnej zgody Administratora, zgłaszać Podmiotowi Leczniczemu naruszenia ochrony danych niezwłocznie — nie później niż w ciągu 24 godzin, usunąć lub zwrócić dane po zakończeniu umowy. 4. Organem nadzorczym właściwym dla Podmiotu Leczniczego jest Prezes Urzędu Ochrony Danych Osobowych (PUODO, ul. Stawki 2, 00-193 Warszawa).

§ 5. Postanowienia końcowe

5. Umowa zostaje zawarta na czas nieokreślony. Wypowiedzenie z zachowaniem 3-miesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego. 2. Po rozwiązaniu umowy Wykonawca zobowiązuje się do zwrotu lub usunięcia wszystkich danych medycznych w sposób uniemożliwiający ich odtworzenie, z wystawieniem certyfikatu zniszczenia danych lub — na żądanie Podmiotu Leczniczego — do migracji danych do nowego systemu lub nośnika. 3. W sprawach nieuregulowanych stosuje się przepisy Kodeksu cywilnego, ustawy o prawach pacjenta i RODO. 4. Zmiany umowy wymagają formy pisemnej pod rygorem nieważności. 5. Właściwy sąd to sąd powszechny dla siedziby Podmiotu Leczniczego.

Podmiot Leczniczy (Administrator Danych)

________________

Signature

Wykonawca (Podmiot Przetwarzający)

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Umowa o prowadzenie dokumentacji medycznej?

Umowa o prowadzenie dokumentacji medycznej w Polsce to umowa B2B między podmiotem leczniczym (zlecającym) a zewnętrznym dostawcą systemu elektronicznej dokumentacji medycznej (EDM) lub firmą archiwizacyjną (wykonawcą), na mocy której wykonawca zobowiązuje się do prowadzenia, przechowywania, archiwizacji i udostępniania dokumentacji medycznej pacjentów zgodnie z wymogami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 nr 52 poz. 417 ze zm.) oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

Obowiązek prowadzenia dokumentacji medycznej wynika z art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta — podmiot leczniczy jest zobowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony przepisami. Szczegółowe rodzaje i zakres dokumentacji medycznej, wzory dokumentów oraz sposób przetwarzania reguluje rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.

Elektroniczna dokumentacja medyczna (EDM) w Polsce jest prowadzona od 2021 roku na zasadzie obligatoryjności — podmioty lecznicze były stopniowo zobowiązywane do wystawiania dokumentacji w postaci elektronicznej przez system P1 Centrum e-Zdrowia. EDM obejmuje m.in. e-recepty (od 2020 roku), e-skierowania (od 2021 roku), karty informacyjne leczenia szpitalnego (KILS), wyniki badań laboratoryjnych i opisów radiologicznych w systemach RIS/PACS.

Zlecenie prowadzenia EDM zewnętrznemu dostawcy systemu informatycznego powoduje, że dostawca ten staje się podmiotem przetwarzającym dane osobowe pacjentów w rozumieniu art. 4 pkt 8 i art. 28 RODO. Umowa o prowadzenie dokumentacji medycznej musi zawierać postanowienia wymagane przez art. 28 ust. 3 RODO — stanowi zatem jednocześnie umowę powierzenia przetwarzania danych osobowych. Dane zdrowotne pacjentów stanowią szczególną kategorię danych (art. 9 ust. 1 RODO) i wymagają podwyższonych środków bezpieczeństwa.

Podmiot leczniczy, który powierza prowadzenie dokumentacji zewnętrznemu podmiotowi, pozostaje administratorem danych i ponosi odpowiedzialność za zapewnienie pacjentom prawa dostępu do dokumentacji (art. 26-28 u.p.p.), wystawiania odpisów, wyciągów i kopii dokumentacji oraz dotrzymania obowiązkowego okresu przechowywania — co do zasady 20 lat od dokonania ostatniego wpisu (art. 29 ust. 1 u.p.p.), a w szczególnych przypadkach (dzieci, zgon pacjenta z powodu uszkodzenia ciała lub zatrucia) do 30 lat (art. 29 ust. 2 u.p.p.).

Kiedy potrzebujesz Umowa o prowadzenie dokumentacji medycznej?

Umowa o prowadzenie dokumentacji medycznej w Polsce jest niezbędna w każdej sytuacji, gdy podmiot leczniczy korzysta z zewnętrznego systemu lub usługi do zarządzania dokumentacją pacjentów.

Wdrożenie systemu EDM u dostawcy SaaS. Podmioty lecznicze korzystające z oprogramowania EDM dostępnego w modelu SaaS (Software as a Service) — np. Medicomp, mMedica, Gabinet.pl, systemy dedykowane szpitalowe — muszą zawrzeć umowę z dostawcą systemu obejmującą zarówno licencję na oprogramowanie, jak i umowę powierzenia przetwarzania danych (art. 28 RODO).

Archiwizacja dokumentacji papierowej przez zewnętrzne archiwum. Podmioty lecznicze przekazujące dokumentację papierową do zewnętrznych archiwów (firm archiwizacyjnych) są zobowiązane do zawarcia umowy regulującej warunki przechowywania i dostępu do dokumentacji medycznej. Firma archiwizacyjna musi spełniać wymogi bezpieczeństwa dla danych zdrowotnych.

Migracja danych między systemami EDM. Przy zmianie dostawcy systemu EDM podmiot leczniczy potrzebuje umowy z nowym dostawcą na migrację danych ze starszego systemu. Kluczowe jest zapewnienie integralności i kompletności dokumentacji po migracji.

Skanowanie i digitalizacja dokumentacji papierowej. Duże podmioty lecznicze posiadające obszerne archiwa papierowe zlecają skanowanie i digitalizację zewnętrznym firmom. Umowa reguluje standardy skanowania (rozdzielczość, format pliku), indeksowanie dokumentów i bezpieczeństwo fizyczne i logiczne danych podczas digitalizacji.

Konsolidacja danych wielu podmiotów w grupie kapitałowej. Grupy medyczne skupiające wiele podmiotów leczniczych często centralizują dokumentację medyczną w jednym systemie — podmiot centralny (spółka matka lub serwis IT grupy) przetwarza dane jako podmiot przetwarzający dla każdego z podmiotów leczniczych. Każdy podmiot wymaga odrębnej umowy powierzenia.

Backup i disaster recovery. Podmioty zlecające przechowywanie kopii zapasowych danych medycznych w centrach danych lub chmurze obliczeniowej muszą zawrzeć umowę obejmującą wymogi bezpieczeństwa danych zdrowotnych (szyfrowanie w spoczynku i w transmisji, geolokalizacja danych w EOG) i warunki odtworzenia danych przy awarii systemowej.

Co powinien zawierać Umowa o prowadzenie dokumentacji medycznej

Umowa o prowadzenie dokumentacji medycznej w Polsce, spełniająca wymogi art. 24-30 ustawy o prawach pacjenta i art. 28 RODO, powinna zawierać następujące kluczowe elementy.

Oznaczenie stron i ról RODO. Podmiot leczniczy jako administrator danych osobowych pacjentów, wykonawca (firma IT, firma archiwizacyjna) jako podmiot przetwarzający. Dane firmy (NIP, REGON, KRS lub CEIDG), dane osoby kontaktowej do kwestii RODO i bezpieczeństwa danych.

Zakres i rodzaje dokumentacji. Wykaz rodzajów dokumentacji medycznej objętych umową zgodnie z rozporządzeniem Ministra Zdrowia z 9 listopada 2015 r.: dokumentacja indywidualna ambulatoryjna, indywidualna szpitalna, zbiorcza. Wskazanie systemu EDM (nazwa, wersja) lub standardów archiwizacji papierowej.

Okres przechowywania danych. Wymagany okres przechowywania dokumentacji medycznej: 20 lat od ostatniego wpisu (art. 29 ust. 1 u.p.p.), z wyjątkami: 30 lat — gdy śmierć pacjenta nastąpiła na skutek uszkodzenia ciała lub zatrucia (art. 29 ust. 2 pkt 1 u.p.p.), dokumentacja dzieci poniżej 2. roku życia — 22 lata (art. 29 ust. 2 pkt 2 u.p.p.).

Wymogi bezpieczeństwa danych (art. 32 RODO). Szyfrowanie danych w spoczynku i w transmisji (TLS/SSL), pseudonimizacja, kontrola dostępu, uwierzytelnianie wieloskładnikowe dla administratorów systemu, regularne testy penetracyjne, logi audytu dostępu, plan ciągłości działania i disaster recovery.

Gwarantowany poziom dostępności (SLA). Dostępność systemu EDM co najmniej 99,5% miesięcznie, czas reakcji na awarię krytyczną (P1 — system niedostępny) nie dłuższy niż 4 godziny, kary umowne za naruszenie SLA, window maintenance.

Backup i lokalizacja danych. Częstotliwość kopii zapasowych (codziennie minimum), lokalizacja serwerów w Europejskim Obszarze Gospodarczym (EOG) — wymóg RODO przy braku decyzji o adekwatności dla krajów trzecich (art. 44-49 RODO). Procedura przywracania danych i testowania backupu.

Umowa powierzenia przetwarzania danych (art. 28 RODO). Klauzule wymagane przez art. 28 ust. 3 RODO: zakaz przetwarzania danych na własne potrzeby wykonawcy, przetwarzanie tylko na udokumentowane polecenia administratora, obowiązek zgłaszania naruszeń ochrony danych w ciągu 24 godzin, zakaz dalszego powierzania bez zgody administratora, pomoc w realizacji praw osób, których dane dotyczą, usunięcie lub zwrot danych po zakończeniu umowy. Na platformie forms-legal.com dostępne są kompletne wzory umów powierzenia RODO dla podmiotów medycznych.

Rozwiązanie i migracja danych. Obowiązki po rozwiązaniu umowy: migracja danych do innego systemu EDM na żądanie podmiotu leczniczego lub certyfikowane usunięcie danych, termin i format migracji, koszty migracji, ochrona danych w trakcie procesu migracji.

Jak wypełnić Umowa o prowadzenie dokumentacji medycznej

Umowa o prowadzenie dokumentacji medycznej w Polsce wypełniana jest krok po kroku, aby spełniała wymogi ustawy o prawach pacjenta i przepisów RODO.

Krok 1 — oznacz podmiot leczniczy (administratora). Wpisz pełną firmę podmiotu leczniczego, adres, NIP i numer RPWDL. Wskaż osobę odpowiedzialną za kwestie RODO (IOD lub administratora) i jej dane kontaktowe.

Krok 2 — oznacz wykonawcę (podmiot przetwarzający). Pełna firma wykonawcy (firma IT lub archiwizacyjna), adres, NIP, KRS lub CEIDG, dane przedstawiciela do spraw bezpieczeństwa IT i RODO.

Krok 3 — opisz zakres i system EDM. Wpisz nazwę systemu EDM lub opis usługi archiwizacyjnej. Określ rodzaje dokumentacji objętej umową (ambulatoryjna, szpitalna, zbiorcza). Wskaż lokalizację serwerów lub archiwum.

Krok 4 — ustal wynagrodzenie i SLA. Kwota miesięczna netto za utrzymanie systemu i licencję (PLN). Gwarantowany poziom dostępności systemu (np. 99,5%), czas reakcji na awarię krytyczną i kary umowne za naruszenie SLA.

Krok 5 — ustal backup i okres przechowywania. Częstotliwość backupów (minimum codziennie), wymagany ustawowy okres przechowywania (20 lub 30 lat w zależności od rodzaju dokumentacji).

Krok 6 — dodaj klauzule RODO (art. 28). Wpisz obligatoryjne postanowienia umowy powierzenia: zakaz przetwarzania na własne potrzeby, zgłoszenie naruszenia w 24h, zakaz dalszego powierzania bez zgody, migracja danych po zakończeniu umowy.

Krok 7 — podpisz umowę. Data i miejscowość, podpisy upoważnionych reprezentantów obu stron. Umowę sporządź w dwóch egzemplarzach.

Wymogi prawne dla Umowa o prowadzenie dokumentacji medycznej

Prowadzenie dokumentacji medycznej przez zewnętrzny podmiot w Polsce podlega kompleksowym wymogom prawnym.

Obowiązek prowadzenia dokumentacji medycznej (art. 24-30 u.p.p.). Podmiot leczniczy jest zobowiązany do prowadzenia dokumentacji medycznej na podstawie art. 24 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Dokumentacja może być prowadzona w postaci elektronicznej (EDM) lub papierowej. Warunki prowadzenia dokumentacji elektronicznej określa rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej.

Okres przechowywania. Art. 29 ust. 1 u.p.p.: dokumentacja medyczna przechowywana jest przez 20 lat od dnia sporządzenia ostatniego wpisu. Wyjątki: 30 lat — przy śmierci pacjenta na skutek uszkodzenia ciała lub zatrucia (art. 29 ust. 2 pkt 1); 22 lata — dokumentacja pediatryczna (wiek pacjenta poniżej 2 lat, art. 29 ust. 2 pkt 2). Naruszenie obowiązku przechowywania dokumentacji stanowi wykroczenie.

Umowa powierzenia przetwarzania danych (art. 28 RODO). Gdy podmiot leczniczy powierza prowadzenie dokumentacji zewnętrznemu podmiotowi, wymagana jest pisemna umowa powierzenia zawierająca elementy wskazane w art. 28 ust. 3 RODO. Brak umowy powierzenia stanowi naruszenie RODO, za które Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć administracyjną karę pieniężną do 20 mln EUR lub 4% rocznego obrotu.

Ochrona danych zdrowotnych (art. 9 RODO). Dane zdrowotne pacjentów stanowią szczególną kategorię danych (art. 9 ust. 1 RODO) — podlegają podwyższonym wymogom bezpieczeństwa i ograniczonemu udostępnianiu. Podstawa przetwarzania przez wykonawcę: art. 9 ust. 2 lit. h RODO.

Wymogi bezpieczeństwa IT. Rozporządzenie Ministra Zdrowia z 9 listopada 2015 r. § 79 i nast. określają wymogi dla systemów elektronicznej dokumentacji medycznej: integralność danych (zabezpieczenie przed nieautoryzowaną zmianą), dostępność (backup, disaster recovery), poufność (szyfrowanie, kontrola dostępu), możliwość wydruku dokumentacji w postaci papierowej.

Lokalizacja danych w EOG. Przetwarzanie danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) wymaga zapewnienia odpowiedniego poziomu ochrony: decyzja Komisji Europejskiej o adekwatności, standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR) na podstawie art. 44-49 RODO. Zlokalizowanie serwerów poza EOG bez spełnienia tych wymogów to naruszenie RODO.

Najczęstsze błędy w Umowa o prowadzenie dokumentacji medycznej

Umowy o prowadzenie dokumentacji medycznej w Polsce często zawierają poważne luki prawne i techniczne.

Błąd 1 — brak umowy powierzenia przetwarzania danych jako integralnego elementu umowy. Wiele umów IT na systemy EDM nie zawiera wymaganych przez art. 28 ust. 3 RODO postanowień umowy powierzenia. Zalecenie: traktuj umowę o prowadzenie EDM i umowę powierzenia RODO jako jeden dokument — sprawdź, czy zawiera wszystkie elementy z art. 28 ust. 3 lit. a-h RODO.

Błąd 2 — lokalizacja serwerów poza Europejskim Obszarem Gospodarczym bez odpowiednich zabezpieczeń. Niektórzy dostawcy SaaS przechowują dane na serwerach w USA lub Azji bez standardowych klauzul umownych (SCC). Zalecenie: zażądaj potwierdzenia lokalizacji serwerów w EOG lub dołącz klauzule SCC zaakceptowane przez Komisję Europejską.

Błąd 3 — brak SLA z gwarancjami dostępności dla systemu EDM. Umowa bez gwarantowanego poziomu dostępności i kar umownych za niedotrzymanie SLA naraża podmiot leczniczy na ryzyko braku dostępu do dokumentacji medycznej pacjentów podczas awarii. Zalecenie: wpisz minimalny SLA 99,5% miesięcznie i karę za każdą godzinę niedostępności powyżej okna maintenance.

Błąd 4 — brak planu migracji danych po zakończeniu umowy. Umowy bez postanowień o migracji danych lub certyfikowanym usunięciu prowadzą do pata — dostawca przetrzymuje dane medyczne, a podmiot leczniczy nie może ich przenieść. Zalecenie: wpisz obowiązek migracji danych w standardowym formacie (np. HL7 FHIR) w ciągu 30 dni po zakończeniu umowy i na koszt dostawcy.

Błąd 5 — pominięcie wymogu zgłaszania naruszeń bezpieczeństwa w 24 godziny. Rozporządzenie (UE) 2016/679 wymaga zgłoszenia naruszenia ochrony danych do administratora (podmiotu leczniczego) niezwłocznie przez podmiot przetwarzający (art. 33 ust. 2 RODO), aby administrator mógł zgłosić je do PUODO w wymaganym terminie 72 godzin. Brak tej klauzuli uniemożliwia terminowe zgłoszenie naruszenia. Zalecenie: wpisz wprost obowiązek zgłaszania naruszeń w ciągu 24 godzin od ich wykrycia.

Błąd 6 — brak regulacji dotyczącej backupu i testowania kopii zapasowych. Umowa bez jasnych zasad backupu i testowania odtwarzania danych nie gwarantuje rzeczywistej ochrony przed utratą dokumentacji. Zalecenie: wpisz częstotliwość backupów (codziennie), lokalizację kopii zapasowych (inny center niż główny), harmonogram testowania odtwarzania (minimum kwartalnie) i termin przekazania raportu z testu administratorowi.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Umowa o prowadzenie dokumentacji medycznej (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/services/umowa-o-prowadzenie-dokumentacji-medycznej

MLA

"Umowa o prowadzenie dokumentacji medycznej (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/services/umowa-o-prowadzenie-dokumentacji-medycznej.

BibTeX

@misc{formslegal-umowa-o-prowadzenie-dokumentacji-medycznej,
  author       = {{Forms Legal}},
  title        = {Umowa o prowadzenie dokumentacji medycznej (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/services/umowa-o-prowadzenie-dokumentacji-medycznej}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać