GDPR Privacy Policy for Medical Practice Poland
POLITYKA OCHRONY DANYCH OSOBOWYCH W GABINECIE LEKARSKIM
zgodna z rozporządzeniem (UE) 2016/679 (RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych
Administrator danych: [Podmiot Nazwa], [Podmiot Adres], [Podmiot Nip]
Dane kontaktowe ds. RODO: [Kontakt Rodo]
Inspektor Ochrony Danych: [Iod]
Data wejścia w życie: [Data Wejscia W Zycie]
Cel i zakres polityki
§ 1. Cel i zakres polityki
1. Niniejsza Polityka Ochrony Danych Osobowych (dalej: „Polityka”) określa zasady przetwarzania danych osobowych pacjentów, personelu medycznego, pracowników i kontrahentów przez [Podmiot Nazwa] (dalej: „Administrator”) jako administratora danych w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
2. Polityka dotyczy wszystkich operacji przetwarzania danych osobowych prowadzonych przez Administratora, w tym zbierania, rejestrowania, organizowania, przechowywania, adaptowania, modyfikowania, wyszukiwania, przeglądania, wykorzystywania, ujawniania, rozpowszechniania, usuwania danych.
3. Podstawę prawną stanowią: rozporządzenie (UE) 2016/679 (RODO), ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.) oraz ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
Kategorie danych i cele przetwarzania
§ 2. Kategorie danych osobowych i cele przetwarzania
4. Administrator przetwarza następujące kategorie danych osobowych pacjentów:
a) dane zwykłe: imię i nazwisko, numer PESEL, adres zamieszkania, numer telefonu, adres e-mail, numer dokumentu tożsamości;
b) dane szczególnej kategorii — dane zdrowotne (art. 9 ust. 1 RODO): historia choroby, wyniki badań, rozpoznania, stosowane leki, procedury medyczne, dokumentacja medyczna.
5. Dane zdrowotne przetwarzane są na podstawie art. 9 ust. 2 lit. h RODO — przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub leczenia, zarządzania systemami i usługami opieki zdrowotnej — w połączeniu z art. 3 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
6. Dane zwykłe (identyfikacyjne i kontaktowe) przetwarzane są na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny) — prowadzenie dokumentacji medycznej i art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług medycznych).
Okresy przechowywania
§ 3. Okresy przechowywania danych
7. Dokumentacja medyczna pacjentów przechowywana jest przez 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, na podstawie art. 29 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
8. Dokumentacja dotycząca dziecka do ukończenia 2. roku życia przechowywana jest przez 22 lata.
9. W przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia dokumentacja przechowywana jest przez 30 lat.
10. Dane niezbędne do monitorowania losów krwi i jej składników przechowywane są przez 30 lat.
11. Po upływie okresu przechowywania dokumentacja medyczna jest niszczona w sposób uniemożliwiający identyfikację pacjenta, zgodnie z wymogami art. 29 ust. 2 u.p.p. i art. 32 RODO.
Prawa osób, których dane dotyczą
§ 4. Prawa pacjentów i innych osób
12. Każdemu pacjentowi przysługują prawa wynikające z art. 15-22 RODO:
a) prawo dostępu do danych (art. 15 RODO) — pacjent może uzyskać potwierdzenie, czy jego dane są przetwarzane, a jeżeli tak — kopię danych;
b) prawo do sprostowania (art. 16 RODO) — pacjent ma prawo żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych;
c) prawo do usunięcia — „prawo do bycia zapomnianym” (art. 17 RODO) — ograniczone obowiązkiem prowadzenia dokumentacji medycznej przez ustawowo wymagane okresy;
d) prawo do ograniczenia przetwarzania (art. 18 RODO) — w ściśle określonych przypadkach;
e) prawo do przenoszenia danych (art. 20 RODO) — w zakresie danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany;
f) prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu;
g) prawo do skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.
13. Wnioski dotyczące praw należy kierować na adres: [Kontakt Rodo]. Administrator realizuje wnioski bez zbędnej zwłoki, w terminie do jednego miesiąca (art. 12 ust. 3 RODO), z możliwością przedłużenia o kolejne dwa miesiące w skomplikowanych sprawach.
Bezpieczeństwo i odbiorcy danych
§ 5. Bezpieczeństwo, odbiorcy danych i przekazywanie do państw trzecich
14. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych (art. 32 RODO): szyfrowanie danych, pseudonimizację, kontrolę dostępu, szkolenia personelu, rejestr czynności przetwarzania (art. 30 RODO).
15. Dane osobowe pacjentów mogą być udostępniane: laboratoriom diagnostycznym i jednostkom radiologicznym wykonującym badania zlecone przez Administratora; podmiotom leczniczym, do których pacjent jest kierowany (szpitale, specjaliści); Narodowemu Funduszowi Zdrowia (w przypadku świadczeń refundowanych); organom państwowym i Zakładowi Ubezpieczeń Społecznych (ZUS) na podstawie przepisów prawa; dostawcom oprogramowania medycznego (jako podmiotom przetwarzającym — na podstawie umów z art. 28 RODO).
16. Dane osobowe pacjentów co do zasady nie są przekazywane poza Europejski Obszar Gospodarczy (EOG). W przypadku konieczności przekazania danych poza EOG Administrator stosuje mechanizmy ochrony wskazane w art. 46 RODO (standardowe klauzule umowne lub odpowiednie zabezpieczenia).
Naruszenia i IOD
§ 6. Naruszenia ochrony danych i Inspektor Ochrony Danych
17. W razie naruszenia ochrony danych osobowych Administrator jest zobowiązany zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeżeli naruszenie może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, Administrator powiadamia bez zbędnej zwłoki osoby, których naruszenie dotyczy (art. 34 RODO).
18. Administrator prowadzi wewnętrzny rejestr naruszeń (art. 33 ust. 5 RODO).
19. Inspektor Ochrony Danych (IOD): [Iod]. Pacjenci i personel mogą kontaktować się z IOD we wszystkich sprawach dotyczących ochrony danych osobowych.
20. Polityka jest przeglądana i aktualizowana co najmniej raz w roku lub niezwłocznie w razie istotnych zmian przepisów albo działalności Administratora. Data wejścia w życie: [Data Wejscia W Zycie].
What Is a GDPR Privacy Policy for Medical Practice Poland?
Polityka RODO w gabinecie lekarskim w Polsce to dokument wewnętrzny podmiotu leczniczego, określający zasady przetwarzania danych osobowych pacjentów, personelu medycznego i kontrahentów, zgodny z rozporządzeniem (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm., dalej: u.o.d.o.) oraz ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. 2009 nr 52 poz. 417 ze zm.). Każdy podmiot leczniczy — szpital, prywatna przychodnia, gabinet specjalistyczny, gabinet stomatologiczny, praktyka lekarska, gabinet fizjoterapeutyczny, laboratorium diagnostyczne — jest administratorem danych osobowych i danych zdrowotnych swoich pacjentów, a zatem podlega obowiązkom wynikającym z RODO.
Dane zdrowotne pacjentów stanowią szczególną kategorię danych osobowych (art. 9 ust. 1 RODO) i podlegają podwyższonej ochronie. Ich przetwarzanie przez podmioty lecznicze jest dopuszczalne na podstawie art. 9 ust. 2 lit. h RODO — przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub leczenia. W Polsce dodatkową podstawę dostarcza art. 3 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który wyłącza stosowanie art. 9 ust. 1 RODO w zakresie danych dotyczących zdrowia, przetwarzanych przez podmioty zobowiązane do zachowania tajemnicy zawodowej (lekarzy, pielęgniarki, fizjoterapeutów).
Polski organ nadzorczy właściwy ds. ochrony danych osobowych to Prezes Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą przy ul. Stawki 2 w Warszawie. PUODO może przeprowadzać kontrole podmiotów leczniczych, nakładać administracyjne kary pieniężne (do 20 mln EUR lub 4% rocznego obrotu globalnego) i wydawać decyzje nakazujące zmianę sposobu przetwarzania danych.
Polityka RODO w gabinecie lekarskim służy realizacji kilku kluczowych celów: spełnieniu obowiązku dokumentacyjnego z art. 24 RODO (wykazanie zgodności z RODO — zasada rozliczalności), zapewnieniu pracownikom wytycznych co do prawidłowego przetwarzania danych pacjentów, podstawie do szkoleń personelu medycznego i administracyjnego, a także informacji dla pacjentów o sposobie przetwarzania ich danych medycznych. Polityka musi być aktualizowana co najmniej raz w roku lub każdorazowo po istotnej zmianie przepisów lub sposobu działania podmiotu leczniczego.
Polityka RODO jest ściśle powiązana z innymi dokumentami systemu ochrony danych w podmiocie leczniczym: rejestrem czynności przetwarzania (art. 30 RODO), klauzulami informacyjnymi przekazywanymi pacjentom przy pierwszej wizycie (art. 13 RODO), umowami powierzenia przetwarzania zawieranymi z laboratoriami, dostawcami oprogramowania medycznego i inymi procesorami (art. 28 RODO) oraz upoważnieniami dla pracowników i personelu medycznego do przetwarzania danych zdrowotnych (art. 29 RODO).
When Do You Need a GDPR Privacy Policy for Medical Practice Poland?
Polityka RODO w gabinecie lekarskim w Polsce jest obowiązkiem każdego podmiotu leczniczego przetwarzającego dane osobowe i zdrowotne pacjentów — niezależnie od wielkości i formy organizacyjno-prawnej.
Otwarcie nowego gabinetu lub podmiotu leczniczego. Każdy nowo otwierający się gabinet lekarki lub podmiot leczniczy musi przed przyjęciem pierwszego pacjenta opracować i wdrożyć politykę ochrony danych osobowych. Rejestracja w RPWDL bez wdrożenia RODO naraża podmiot na kontrolę PUODO i sankcje.
Audit zgodności z RODO. Istniejące gabinety i podmioty lecznicze powinny regularnie (co najmniej raz na rok) aktualizować politykę ochrony danych. Jeżeli gabinet nie posiada żadnej dokumentacji RODO — opracowanie polityki jest bezwzględnym priorytetem.
Zmiana zakresu działalności. Rozszerzenie usług (np. dodanie diagnostyki laboratoryjnej, telemedycyny, psychiatrii lub leczenia uzależnień) wiąże się z nowymi kategoriami danych i wymaga aktualizacji polityki.
Wdrożenie systemu Elektronicznej Dokumentacji Medycznej (EDM). Od 2021 r. prowadzenie dokumentacji medycznej w formie elektronicznej jest obowiązkowe. Wdrożenie EDM wymaga umowy powierzenia przetwarzania z dostawcą oprogramowania (art. 28 RODO) i aktualizacji polityki.
Wyznaczenie Inspektora Ochrony Danych (IOD). Publiczne podmioty lecznicze i duże prywatne, przetwarzające dane na dużą skalę, są zobowiązane do wyznaczenia IOD (art. 37 RODO). Wyznaczenie IOD powinno być odzwierciedlone w polityce.
Skargi pacjentów lub kontrola PUODO. Skarga pacjenta złożona do PUODO lub wszczęcie kontroli PUODO wymaga niezwłocznego przeglądu i aktualizacji polityki, aby wykazać zgodność z RODO.
Szkolenie nowego personelu medycznego. Polityka RODO stanowi podstawę szkoleń personelu medycznego i administracyjnego dotyczących zasad ochrony danych zdrowotnych pacjentów i obowiązku zachowania tajemnicy lekarskiej.
What to Include in Your GDPR Privacy Policy for Medical Practice Poland
Polityka RODO w gabinecie lekarskim w Polsce powinna zawierać następujące kluczowe elementy, zapewniające jej zgodność z RODO i polskim prawem medycznym.
Dane administratora danych. Pełna nazwa i adres podmiotu leczniczego (administratora danych), NIP, numer RPWDL, dane kontaktowe ds. ochrony danych (e-mail, adres, telefon) oraz dane Inspektora Ochrony Danych (IOD), jeżeli został wyznaczony (art. 37 RODO). Dane administratora muszą być zgodne z wpisem do RPWDL.
Kategorie danych i podstawy prawne. Wyliczenie kategorii przetwarzanych danych: dane zwykłe (identyfikacyjne, adresowe, kontaktowe) i dane szczególnej kategorii — dane zdrowotne (art. 9 ust. 1 RODO). Dla każdej kategorii wskazanie podstawy prawnej: dla danych zdrowotnych — art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 1 u.o.d.o.; dla danych identyfikacyjnych i kontaktowych — art. 6 ust. 1 lit. b RODO (wykonanie umowy) lub art. 6 ust. 1 lit. c RODO (obowiązek prawny — dokumentacja medyczna).
Cele przetwarzania. Szczegółowe wyliczenie celów: udzielanie świadczeń zdrowotnych i prowadzenie dokumentacji medycznej, wystawianie recept i skierowań, rozliczenia z Narodowym Funduszem Zdrowia (NFZ), prowadzenie statystyki medycznej, spełnienie obowiązków prawnych wobec Zakładu Ubezpieczeń Społecznych (ZUS), ochrona mienia i bezpieczeństwo (monitoring, jeśli stosowany).
Okresy przechowywania dokumentacji medycznej. Konkretne terminy zgodnie z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta: 20 lat (zasada ogólna), 22 lata (dzieci do 2 lat), 30 lat (zgon z powodu uszkodzenia ciała, krew i jej składniki). forms-legal.com podkreśla, że zbyt krótkie okresy przechowywania naruszają prawo, a zbyt długie — zasadę minimalizacji przechowywania z art. 5 ust. 1 lit. e RODO.
Prawa osób, których dane dotyczą. Opis praw pacjentów (art. 15-22 RODO): dostępu, sprostowania, usunięcia (z zastrzeżeniem obowiązku dokumentacyjnego), ograniczenia przetwarzania, przenoszenia, sprzeciwu, niepodlegania zautomatyzowanym decyzjom. Tryb realizacji wniosków i terminy (1 miesiąc, z możliwością przedłużenia o 2 miesiące).
Odbiorcy danych. Kategorie podmiotów, którym dane są udostępniane: laboratoria, podmioty lecznicze przyjmujące skierowania, NFZ, ZUS, towarzystwa ubezpieczeniowe (za zgodą pacjenta), organy państwowe (na podstawie przepisów prawa). Dostawcy systemów IT i oprogramowania medycznego — jako podmioty przetwarzające na podstawie umów z art. 28 RODO.
Bezpieczeństwo danych. Środki techniczne i organizacyjne (art. 32 RODO): szyfrowanie danych, pseudonimizacja, kontrola dostępu, szkolenia personelu, polityka czystego biurka, regularne kopie zapasowe.
Naruszenia ochrony danych. Procedura zgłaszania naruszeń do PUODO (w terminie 72 godzin — art. 33 RODO) i powiadamiania pacjentów (art. 34 RODO). Prowadzenie rejestru naruszeń (art. 33 ust. 5 RODO).
How to Fill Out Your GDPR Privacy Policy for Medical Practice Poland
Polityka RODO dla gabinetu lekarskiego w Polsce powinna być opracowywana i wdrażana w następujących krokach.
Krok 1 — oznacz administratora danych. Wpisz pełną nazwę podmiotu leczniczego (administratora danych), adres siedziby, NIP i numer RPWDL. Dane te muszą być zgodne z wpisem do rejestru podmiotów wykonujących działalność leczniczą (RPWDL) prowadzonego przez właściwego wojewodę.
Krok 2 — wyznacz IOD lub potwierdź brak obowiązku. Oceń, czy podmiot jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD) na podstawie art. 37 RODO. Publiczne podmioty lecznicze i podmioty prywatne przetwarzające dane zdrowotne na dużą skalę są zobowiązane do wyznaczenia IOD. Podaj dane IOD lub wyraźnie wskaż, że IOD nie został wyznaczony.
Krok 3 — zidentyfikuj kategorie danych i podstawy prawne. Sporządź wykaz kategorii danych przetwarzanych przez gabinet: dane zwykłe (identyfikacyjne, adresowe, kontaktowe) i dane szczególnej kategorii (dane zdrowotne). Dla każdej kategorii wskaż podstawę prawną przetwarzania: dla danych zdrowotnych — art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 1 ustawy o ochronie danych osobowych; dla danych kontaktowych — art. 6 ust. 1 lit. b lub c RODO.
Krok 4 — określ okresy przechowywania. Wskaż konkretne terminy przechowywania danych medycznych zgodne z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Pamiętaj o wyjątkach: dzieci, zgon z powodu urazu lub zatrucia, krew i jej składniki.
Krok 5 — opisz prawa pacjentów. Wymień prawa z art. 15-22 RODO, wskazując tryb i termin realizacji wniosków oraz dane kontaktowe administratora do składania wniosków. Procedura musi być zgodna z art. 12 RODO (1 miesiąc, z możliwością przedłużenia o 2 miesiące).
Krok 6 — zidentyfikuj odbiorców danych. Wymień kategorie podmiotów, którym dane są udostępniane. Dla dostawców IT i laboratoriów sprawdź, czy zawarto umowy powierzenia przetwarzania (art. 28 RODO).
Krok 7 — opisz środki bezpieczeństwa. Wpisz stosowane środki techniczne i organizacyjne (szyfrowanie, pseudonimizacja, kontrola dostępu, szkolenia). Prowadź rejestr czynności przetwarzania (art. 30 RODO) jako odrębny dokument.
Krok 8 — wdróż i zaktualizuj politykę. Data wejścia w życie polityki. Zapewnij szkolenie wszystkich pracowników mających dostęp do danych pacjentów. Przeglądaj i aktualizuj politykę co najmniej raz na rok lub po każdej istotnej zmianie przepisów lub sposobu działalności.
Legal Requirements for GDPR Privacy Policy for Medical Practice Poland
Polityka RODO w gabinecie lekarskim w Polsce podlega złożonym regulacjom prawnym, których naruszenie może skutkować poważnymi sankcjami ze strony Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Rozporządzenie (UE) 2016/679 (RODO) — zasady przetwarzania danych. Art. 5 RODO określa zasady przetwarzania danych: zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność. Podmiot leczniczy jako administrator danych musi być w stanie wykazać przestrzeganie każdej z tych zasad (art. 24 RODO — zasada rozliczalności).
Dane zdrowotne — art. 9 RODO. Dane zdrowotne są szczególną kategorią danych wymagającą podwyższonej ochrony. Przetwarzanie danych zdrowotnych bez odpowiedniej podstawy prawnej jest zakazane. Dla podmiotów leczniczych kluczową podstawą jest art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Rejestr czynności przetwarzania — art. 30 RODO. Każdy podmiot leczniczy jest zobowiązany do prowadzenia rejestru czynności przetwarzania zawierającego: dane administratora, cele przetwarzania, kategorie osób i danych, odbiorców, terminy usunięcia danych i opis środków bezpieczeństwa. Obowiązek ten dotyczy wszystkich podmiotów (bez progu liczby pracowników) ze względu na przetwarzanie szczególnych kategorii danych.
Inspektor Ochrony Danych — art. 37 RODO. Publiczne podmioty lecznicze mają bezwzględny obowiązek wyznaczenia IOD. Prywatne podmioty lecznicze przetwarzające dane zdrowotne na dużą skalę — co PUODO i EROD (Europejska Rada Ochrony Danych) interpretują jako regularnie i dużą liczbę pacjentów — są również zobowiązane do wyznaczenia IOD. Małe prywatne gabinety mogą nie mieć takiego obowiązku, jednak wyznaczenie IOD jest zawsze zalecane.
Obowiązek informacyjny — art. 13 RODO. Podmiot leczniczy musi przekazać pacjentowi przy pierwszym kontakcie klauzulę informacyjną (formularz RODO) zawierającą: dane administratora i IOD, cele i podstawy przetwarzania, odbiorców danych, okresy przechowywania, prawa pacjenta (art. 15-22 RODO), informację o prawie do skargi do PUODO.
Naruszenia ochrony danych — art. 33-34 RODO. Wyciek danych medycznych, nieautoryzowany dostęp lub utrata dokumentacji musi być zgłoszona do PUODO w ciągu 72 godzin. Jeżeli naruszenie stwarza wysokie ryzyko dla praw pacjentów — należy ich powiadomić bez zbędnej zwłoki. Brak zgłoszenia grozi karą administracyjną PUODO do 10 mln EUR lub 2% obrotu globalnego.
Administracyjne kary pieniężne PUODO. Na podstawie art. 83 RODO PUODO może nałożyć karę do 10 mln EUR lub 2% obrotu globalnego za naruszenia zasad technicznych i organizacyjnych; do 20 mln EUR lub 4% obrotu globalnego za naruszenia podstawowych zasad przetwarzania (cel, podstawa prawna) lub naruszenia praw osób. Największe kary PUODO nałożył na podmioty lecznicze za naruszenia bezpieczeństwa danych medycznych.
Common Mistakes to Avoid in Your GDPR Privacy Policy for Medical Practice Poland
Polityki RODO w gabinetach lekarskich w Polsce są nierzadko sporządzane wadliwie lub w ogóle nie są aktualizowane. Oto najczęstsze błędy.
Błąd 1 — brak lub przeterminowana polityka RODO. Korzystanie z szablonowej polityki RODO pobranej z internetu bez dostosowania do specyfiki gabinetu lub nieprzeprowadzenie aktualizacji od 2018 r. (gdy RODO weszło w życie). Zalecenie: opracuj politykę indywidualnie lub skorzystaj ze wzoru forms-legal.com, dostosowując ją do zakresu działalności gabinetu.
Błąd 2 — błędna podstawa prawna przetwarzania danych zdrowotnych. Wskazanie zgody (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO) jako jedynej podstawy przetwarzania danych zdrowotnych w dokumentacji medycznej jest błędem — dokumentacja medyczna prowadzona jest na podstawie obowiązku prawnego, a nie zgody, co oznacza, że cofnięcie zgody przez pacjenta nie może zablokować prowadzenia dokumentacji. Zalecenie: wskaż art. 9 ust. 2 lit. h RODO (diagnoza i leczenie) jako podstawę.
Błąd 3 — brak rejestru czynności przetwarzania. Prowadzenie działalności leczniczej bez rejestru czynności przetwarzania (art. 30 RODO) narusza obowiązek dokumentacyjny i jest jednym z pierwszych braków stwierdzanych przez PUODO podczas kontroli. Zalecenie: opracuj i aktualizuj rejestr czynności przetwarzania jako odrębny dokument.
Błąd 4 — brak umów powierzenia przetwarzania z dostawcami IT. Korzystanie z oprogramowania medycznego (EDM, systemy zarządzania gabinetem, chmury) bez zawarcia umów powierzenia przetwarzania z art. 28 RODO naraża gabinet na odpowiedzialność za naruszenia bezpieczeństwa po stronie dostawcy. Zalecenie: zawrzyj umowę powierzenia przetwarzania z każdym dostawcą oprogramowania medycznego.
Błąd 5 — brak klauzuli informacyjnej przekazywanej pacjentom. Nieudostępnianie pacjentom klauzuli informacyjnej z art. 13 RODO (np. wbudowanej w formularz rejestracji) narusza obowiązek przejrzystości. Zalecenie: wbuduj klauzulę RODO w formularze rejestracyjne, stronę internetową i umowy z pacjentem.
Błąd 6 — nieaktualizowanie polityki po zmianach prawa. Po nowelizacji przepisów o prawach pacjenta, nowych interpretacjach PUODO lub zmianie zakresu działalności gabinetu polityka musi być aktualizowana. Zalecenie: przeglądaj politykę co najmniej raz w roku i dokumentuj datę przeglądu.
Błąd 7 — brak procedury reagowania na naruszenia. Brak wewnętrznej procedury zgłaszania naruszeń oznacza, że personel nie wie, jak postępować w razie wycieku danych pacjentów. Zalecenie: opracuj procedurę reagowania na naruszenia i przeszkól cały personel mający dostęp do danych medycznych.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). GDPR Privacy Policy for Medical Practice Poland (Poland) [Legal document template]. Forms Legal. https://forms-legal.com/polska/business/policies/gdpr-policy-medical-practice-poland
"GDPR Privacy Policy for Medical Practice Poland (Poland)." Forms Legal, 2026, https://forms-legal.com/polska/business/policies/gdpr-policy-medical-practice-poland.
@misc{formslegal-gdpr-policy-medical-practice-poland,
author = {{Forms Legal}},
title = {GDPR Privacy Policy for Medical Practice Poland (Poland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/polska/business/policies/gdpr-policy-medical-practice-poland}},
note = {Free legal document template}
}Frequently Asked Questions
Obowiązek wyznaczenia Inspektora Ochrony Danych (IOD) wynika z art. 37 rozporządzenia (UE) 2016/679 (RODO). Bezwzględny obowiązek dotyczy organów i podmiotów publicznych — w tym publicznych podmiotów leczniczych (szpitale publiczne, SPZOZ). W przypadku prywatnych podmiotów leczniczych obowiązek wyznaczenia IOD zachodzi, gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 37 ust. 1 lit. c RODO). Dane zdrowotne pacjentów są właśnie taką szczególną kategorią. Europejska Rada Ochrony Danych (EROD) w wytycznych WP243 interpretuje „dużą skalę” z uwzględnieniem liczby pacjentów, czasu trwania przetwarzania i zasięgu geograficznego. Dla dużych prywatnych klinik, sieci poradni i podmiotów z szeroką bazą pacjentów obowiązek wyznaczenia IOD jest praktycznie pewny. Małe jednoosobowe gabinety lekarskie mogą nie mieć takiego obowiązku, jednak wyznaczenie IOD lub podjęcie działań równoważnych (np. wyznaczenie osoby odpowiedzialnej za RODO) jest zawsze wskazane ze względu na wrażliwy charakter przetwarzanych danych. Dane kontaktowe wyznaczonego IOD muszą być zgłoszone do PUODO.
Okresy przechowywania dokumentacji medycznej określa art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Ogólna zasada: dokumentacja medyczna przechowywana jest przez 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. Wyjątki: dokumentacja dotycząca dziecka do ukończenia 2. roku życia — 22 lata; dokumentacja dotycząca zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia — 30 lat; dokumentacja zawierająca dane niezbędne do monitorowania losów krwi i jej składników — 30 lat. Przed upływem okresu przechowywania dokumentacji medycznej nie można zniszczyć — jest to bezwzględny zakaz ustawowy. Po upływie okresu podmiot leczniczy jest zobowiązany zniszczyć dokumentację w sposób uniemożliwiający identyfikację pacjenta (np. niszczarka dokumentów dla dokumentacji papierowej, trwałe usunięcie danych dla EDM). Naruszenie obowiązku zniszczenia po terminie narusza zasadę ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO i może skutkować sankcją PUODO.
Przekazywanie danych medycznych pacjenta towarzystwu ubezpieczeniowemu jest możliwe tylko w ściśle określonych przypadkach. Po pierwsze — za wyraźną zgodą pacjenta (art. 9 ust. 2 lit. a RODO): gdy pacjent samodzielnie ubiega się o odszkodowanie lub świadczenie z polisy ubezpieczeniowej i upoważnia lekarza do przekazania dokumentacji ubezpieczycielowi. Po drugie — na podstawie przepisów prawa: w przypadkach, gdy ustawa wprost nakazuje lub uprawnia do ujawnienia informacji medycznych ubezpieczycielom (np. obowiązkowe ubezpieczenia wypadkowe). Poza tymi przypadkami przekazanie danych medycznych ubezpieczycielowi bez zgody pacjenta narusza tajemnicę lekarską (art. 13-14 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, art. 40 ustawy o zawodach lekarza i lekarza dentysty) i zakaz przetwarzania danych zdrowotnych bez podstawy prawnej (art. 9 RODO). Podmiot leczniczy powinien wymagać od pacjenta pisemnej zgody na udostępnienie dokumentacji ubezpieczycielowi, określającej dokładnie, jakie dane i w jakim zakresie mogą być przekazane. Naruszenie tych zasad naraża podmiot leczniczy na odpowiedzialność karną (art. 266 Kodeksu karnego) i administracyjną przed PUODO.
Klauzula informacyjna administratora danych przekazywana pacjentowi musi spełniać wymagania art. 13 rozporządzenia (UE) 2016/679 (RODO). Powinna zawierać: tożsamość i dane kontaktowe administratora (pełna nazwa i adres podmiotu leczniczego); dane kontaktowe Inspektora Ochrony Danych, jeżeli został wyznaczony; cele i podstawy prawne przetwarzania danych — w tym dla danych zdrowotnych: art. 9 ust. 2 lit. h RODO (diagnoza i leczenie); odbiorców danych lub kategorii odbiorców (laboratoria, NFZ, inne podmioty lecznicze, dostawcy IT); okresy przechowywania lub kryteria ustalania tych okresów (dokumentacja medyczna — 20 lat lub więcej zgodnie z art. 29 u.p.p.); prawa osoby, której dane dotyczą: dostęp (art. 15), sprostowanie (art. 16), usunięcie (art. 17, z zastrzeżeniami), ograniczenie (art. 18), przenoszenie (art. 20), sprzeciw (art. 21); prawo do cofnięcia zgody (jeśli przetwarzanie opiera się na zgodzie); prawo do skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa; informację, czy podanie danych jest obowiązkowe (np. PESEL do dokumentacji medycznej) i jakie są konsekwencje niepodania. Klauzula musi być przekazana w momencie zbierania danych — przy pierwszej wizycie lub rejestracji. Dostępna jest ona zazwyczaj w formie pisemnej (formularz rejestracyjny) lub w trybie elektronicznym (strona internetowa, aplikacja, e-mail).
Wyciek danych medycznych pacjentów jest naruszeniem ochrony danych osobowych wymagającym natychmiastowego działania. Procedura postępowania: krok 1 — zabezpieczenie i ocena: niezwłocznie zabezpiecz systemy informatyczne, oceń zakres naruszenia (liczba pacjentów, kategorie danych, prawdopodobieństwo krzywdy) i udokumentuj zdarzenie; krok 2 — zgłoszenie do PUODO: na podstawie art. 33 RODO podmiot leczniczy musi zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin od stwierdzenia naruszenia. Zgłoszenia dokonuje się elektronicznie na portalu PUODO (uodo.gov.pl). Jeżeli 72-godzinny termin nie może być dotrzymany — zgłoś etapowo, wyjaśniając przyczyny opóźnienia; krok 3 — powiadomienie pacjentów: jeżeli naruszenie może spowodować wysokie ryzyko dla praw i wolności pacjentów (np. ujawnienie wrażliwych diagnoz, danych kontaktowych), podmiot leczniczy musi bez zbędnej zwłoki powiadomić pacjentów o naruszeniu i zalecanych środkach ochrony (art. 34 RODO); krok 4 — rejestr naruszeń: odnotuj naruszenie w wewnętrznym rejestrze naruszeń (art. 33 ust. 5 RODO) z opisem zdarzenia, podjętych działań i skutków; krok 5 — analiza przyczynowa i środki naprawcze: wdróż środki zapobiegające powtórzeniu naruszenia, zaktualizuj politykę bezpieczeństwa. Brak zgłoszenia do PUODO może skutkować karą administracyjną do 10 mln EUR lub 2% obrotu globalnego.
Prawo do usunięcia danych (art. 17 RODO — „prawo do bycia zapomnianym”) jest jednym z praw przysługujących pacjentom, jednak w przypadku danych zdrowotnych podlega istotnym ograniczeniom wynikającym z obowiązku prowadzenia dokumentacji medycznej. Podmiot leczniczy nie może usunąć dokumentacji medycznej pacjenta przed upływem ustawowych okresów przechowywania wynikających z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (20, 22 lub 30 lat w zależności od rodzaju dokumentacji), ponieważ obowiązek przechowywania dokumentacji wynika z przepisów prawa, co stanowi ograniczenie prawa do usunięcia (art. 17 ust. 3 lit. b RODO). Pacjent może natomiast skutecznie żądać usunięcia danych, które nie są częścią dokumentacji medycznej prowadzonej na podstawie obowiązku prawnego: danych marketingowych (jeżeli gabinet prowadzi marketing), danych zebranych wyłącznie na podstawie zgody (po cofnięciu zgody), nadmiarowych danych niezbędnych do celu przetwarzania. Podmiot leczniczy jest zobowiązany poinformować pacjenta o ograniczeniach prawa do usunięcia w klauzuli informacyjnej. Nieuzasadniona odmowa realizacji prawa do usunięcia może być podstawą skargi do PUODO.
Prezes Urzędu Ochrony Danych Osobowych (PUODO) dysponuje szerokim arsenałem sankcji za naruszenia RODO. Administracyjne kary pieniężne nakładane są na podstawie art. 83 RODO: do 10 mln EUR lub 2% całkowitego rocznego obrotu globalnego za naruszenia przepisów technicznych i organizacyjnych (np. brak rejestru czynności, brak umów powierzenia, brak IOD mimo obowiązku, niezgłoszenie naruszenia do PUODO w terminie 72 godzin); do 20 mln EUR lub 4% całkowitego rocznego obrotu globalnego za naruszenia podstawowych zasad przetwarzania (cel, minimalizacja danych, podstawa prawna), naruszenia praw osób (odmowa dostępu do dokumentacji, brak klauzuli informacyjnej), nieuprawnione przekazanie danych do państwa trzeciego. Oprócz kar pieniężnych PUODO może: wydać decyzję o zaprzestaniu przetwarzania, udzielić ostrzeżenia lub upomnienia, nakazać usunięcie danych lub ograniczenie przetwarzania. Na poziomie krajowym naruszenie tajemnicy lekarskiej grozi odpowiedzialnością karną na podstawie art. 266 Kodeksu karnego (grzywna, ograniczenie lub pozbawienie wolności do 2 lat). Przed postępowaniem dyscyplinarnym odpowiada podmiot leczniczy przed właściwym okręgowym sądem lekarskim lub izbą fizjoterapeutów. W razie szkody wyrządzonej pacjentowi wskutek naruszenia RODO — odpowiedzialność cywilna z art. 82 RODO i ogólnych przepisów KC.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Umowa z pacjentem na usługi medyczne
Wzór umowy o udzielanie świadczeń zdrowotnych między podmiotem leczniczym a pacjentem w Polsce. Reguluje zakres świadczeń, prawa pacjenta, dokumentację medyczną i ochronę danych (RODO art. 9).
Upoważnienie do dokumentacji medycznej
Wzór upoważnienia do dokumentacji medycznej w Polsce. Uprawnia wskazaną osobę do wglądu, kopii i odpisów z dokumentacji pacjenta. Podstawa: art. 26 i 28 ustawy o prawach pacjenta i RPP.
Polityka prywatności (RODO)
Wzór polityki prywatności RODO dla strony internetowej i działalności w Polsce, zgodny z obowiązkiem informacyjnym z art. 13-14 RODO oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych.
Umowa powierzenia przetwarzania danych osobowych
Wzór umowy powierzenia przetwarzania danych osobowych (DPA) zgodnej z art. 28 RODO dla firm w Polsce. Określa obowiązki procesora, środki bezpieczeństwa (art. 32 RODO), zasady podpowierzenia, naruszenia i audyty.