Wyobraźmy sobie pacjenta, który przychodzi do przychodni po receptę, a po kilku dniach dowiaduje się, że jego dane trafiły do dokumentacji innej osoby. Albo pracownika, którego informacje o stanie zdrowia zostały przekazane pracodawcy bez jego zgody. To nie są odosobnione przypadki – takie właśnie sytuacje opisano w sprawozdaniu prezesa UODO za 2024 rok. Dokument pokazuje, że sektor zdrowia wciąż zmaga się z poważnymi problemami w zakresie ochrony danych medycznych, a każdy błąd może oznaczać nie tylko ryzyko kary finansowej, ale także utratę zaufania pacjentów. Dlatego warto przyjrzeć się najczęstszym naruszeniom i wdrożyć działania, które pozwolą ich uniknąć.
Dane medyczne w świetle sprawozdania UODO za 2024 rok – najważniejsze wnioski dla placówek medycznych

Dane medyczne są jednymi z najbardziej chronionych informacji, a sektor zdrowia należy do najczęściej kontrolowanych przez UODO. Sprawozdanie za 2024 rok ujawnia najczęstsze błędy placówek i pokazuje, co należy poprawić, aby uniknąć sankcji i utraty zaufania pacjentów.
Najczęstsze źródła skarg w sektorze zdrowia
Znaczna część skarg kierowanych do UODO dotyczyła nieprawidłowości przy wystawianiu recept. Pacjenci zgłaszali sytuacje, w których recepty były wystawiane na dane osób trzecich, co wynikało z błędów w identyfikacji pacjenta.
Podobny problem pojawiał się w przypadku korzystania przez lekarzy z dostępu do Platformy Usług Elektronicznych ZUS, gdzie weryfikacja była prowadzona w sposób nadmiernie szeroki, co prowadziło do nadużyć.
UODO wskazał także na niewystarczającą weryfikację tożsamości pacjentów w procesie udzielania świadczeń, co zwiększa ryzyko ujawnienia danych nieuprawnionym osobom.
Nieuprawnione ujawnianie danych o stanie zdrowia
Kolejną grupę naruszeń stanowiło ujawnianie danych medycznych pracownikom i osobom trzecim, które nie miały podstawy prawnej do ich otrzymania. Do UODO wpływały skargi pacjentów, których informacje o stanie zdrowia zostały ujawnione pracodawcom lub współpracownikom. W niektórych przypadkach szkoły i instytucje edukacyjne przekazywały dane dzieci związane z leczeniem, co stanowiło poważne naruszenie zasad ochrony prywatności.
Przekazywanie danych między instytucjami
UODO zwrócił również uwagę na praktykę przekazywania danych pacjentów przez przychodnie zdrowia psychicznego do urzędów miast. Tego rodzaju działania rodzą poważne wątpliwości co do podstawy prawnej i proporcjonalności przetwarzania danych. W ocenie organu przekazywanie tak wrażliwych informacji powinno być każdorazowo oceniane pod kątem zgodności z RODO oraz zasadą minimalizacji danych.
Błędy legislacyjne i systemowe
W sprawozdaniu wskazano także przykłady błędów systemowych. Jednym z nich był projekt Krajowej Sieci Kardiologicznej, w którym zabrakło pełnej oceny skutków dla ochrony danych pacjentów.
Podobne zastrzeżenia pojawiły się wobec programów pilotażowych w ochronie zdrowia, gdzie nie zapewniono wystarczającego umocowania ustawowego dla przetwarzania danych medycznych. Brak właściwego zabezpieczenia w akcie prawnym powoduje, że podmioty realizujące takie programy narażają się na zarzut przetwarzania danych bez podstawy prawnej.
Rekomendacje UODO dla podmiotów medycznych
Sprawozdanie jednoznacznie wskazuje, że placówki medyczne powinny ograniczać dostęp do danych wyłącznie do osób bezpośrednio zaangażowanych w proces leczenia. Niezbędne jest wdrożenie skutecznych procedur weryfikacji tożsamości pacjentów oraz mechanizmów nadzorczych ograniczających ryzyko nadużyć w systemach elektronicznych. Szczególną uwagę należy poświęcić sposobowi komunikacji wewnętrznej i zewnętrznej, aby uniknąć nieuzasadnionego ujawniania danych medycznych w dokumentach, korespondencji czy kontaktach z instytucjami.
Każda placówka powinna przeprowadzić analizę swoich procedur w świetle wskazań UODO. Działania te nie tylko zmniejszą ryzyko naruszeń i kar finansowych, ale również pozwolą na budowanie zaufania pacjentów, co w ochronie zdrowia ma kluczowe znaczenie.






/Zarządzanie w Ochronie Zdrowia
/Zarządzanie w Ochronie Zdrowia