Jednym z najczęściej zgłaszanych do UODO problemów były nieprawidłowości przy wystawianiu recept. Pacjenci informowali, że recepta została przypisana do innej osoby – w praktyce oznaczało to, że do dokumentacji medycznej trafiły błędne dane, a system powiązał je z niewłaściwym pacjentem. Takie sytuacje wynikają zazwyczaj z niedokładnej identyfikacji, np. wpisania numeru PESEL z pomyłką albo wyboru niewłaściwej osoby w systemie gabinetowym.

Błędy te nie tylko naruszają prawo pacjenta do rzetelnie prowadzonej dokumentacji medycznej, ale mogą też mieć realne skutki kliniczne. Pacjent może nie zrealizować recepty, bo apteka zauważy rozbieżność, albo – co gorsza – otrzymać leki przeznaczone dla innej osoby. To ryzyko zdrowotne, które wynika z pozornie drobnej pomyłki administracyjnej.

Raport UODO zwraca też uwagę na nadużycia związane z korzystaniem z Platformy Usług Elektronicznych ZUS. Niektórzy lekarze sprawdzali w systemie dane w szerszym zakresie, niż było to konieczne do wystawienia świadczenia. Zamiast ograniczyć się do informacji potrzebnych przy wystawianiu e-ZLA czy weryfikacji ubezpieczenia, sięgali po dane dodatkowe, które nie miały związku z udzielaną pomocą. Takie działanie narusza zasadę minimalizacji danych określoną w RODO i stwarza ryzyko odpowiedzialności placówki.

W praktyce oznacza to konieczność dopracowania procedur identyfikacji pacjentów oraz uregulowania zasad korzystania z PUE ZUS. Każdy dostęp powinien być rejestrowany, a zakres sprawdzanych danych – ograniczony wyłącznie do tego, co faktycznie niezbędne w danej sytuacji medycznej.

Raport UODO za 2024 rok pokazuje, że placówki medyczne wciąż popełniają poważne błędy w zakresie ochrony tajemnicy informacji medycznych. Do urzędu trafiały skargi pacjentów, których dane dotyczące stanu zdrowia zostały przekazane osobom i instytucjom niemającym do tego podstawy prawnej. Dotyczyło to zarówno pracodawców, jak i szkół czy współpracowników.

Takie naruszenia szczególnie podważają zaufanie pacjentów do placówki. Zdarzały się przypadki, w których pracodawca otrzymywał informacje o rozpoznaniu lub przebiegu leczenia pracownika, mimo że jedynym dopuszczalnym dokumentem w relacji pracownik–pracodawca jest zaświadczenie o czasowej niezdolności do pracy. Podobne błędy miały miejsce w szkołach i placówkach edukacyjnych, gdzie ujawniano dane dzieci związane z ich leczeniem – bez podstawy w przepisach prawa.

Każde takie działanie narusza art. 13 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, który wprost zobowiązuje podmioty medyczne do zachowania tajemnicy informacji związanych ze stanem zdrowia pacjenta. Wyjątki są ściśle określone i ograniczone do sytuacji przewidzianych ustawowo, np. gdy pacjent wyraził zgodę na ujawnienie danych lub gdy przepisy wprost nakazują ich przekazanie.

W praktyce oznacza to konieczność wprowadzenia w placówce jasnych procedur obiegu dokumentów i korespondencji. Personel powinien być regularnie szkolony, aby rozpoznawał, w jakich sytuacjach ujawnienie danych jest zgodne z prawem, a kiedy stanowi poważne naruszenie. Właściwa kontrola tego obszaru jest nie tylko wymogiem prawnym, ale także podstawą utrzymania zaufania pacjentów do systemu ochrony zdrowia.

W sprawozdaniu UODO znalazły się także przykłady niepokojących praktyk, w których przychodnie zdrowia psychicznego przekazywały dane pacjentów do urzędów miast. Informacje te obejmowały szczególnie wrażliwe dane dotyczące stanu zdrowia, a ich udostępnienie budziło poważne wątpliwości co do zgodności z przepisami.

Organ nadzorczy przypomniał, że dane medyczne mogą być przekazywane innym instytucjom tylko wtedy, gdy istnieje wyraźna podstawa prawna. Sama prośba urzędu lub argument o potrzebie administracyjnej nie jest wystarczającym uzasadnieniem. Każdy przypadek powinien być oceniany pod kątem niezbędności i proporcjonalności przetwarzania.

Kluczowe znaczenie ma tutaj zasada minimalizacji danych wynikająca z RODO – oznacza ona, że nawet jeśli istnieje podstawa prawna do udostępnienia informacji, placówka powinna przekazać wyłącznie te dane, które są absolutnie konieczne do realizacji określonego celu.

Dla placówek medycznych oznacza to obowiązek stworzenia wewnętrznych procedur, które pomogą pracownikom ocenić zasadność żądań instytucji zewnętrznych. Każda decyzja o przekazaniu danych powinna być udokumentowana, tak aby w razie kontroli można było wykazać, na jakiej podstawie prawnej i w jakim zakresie informacje zostały ujawnione.

UODO zwrócił uwagę, że część problemów z ochroną danych medycznych wynika nie tylko z praktyki personelu, ale także z błędów na poziomie systemowym i legislacyjnym. Dobrym przykładem jest Krajowa Sieć Kardiologiczna – projekt pilotażowy, w którym zabrakło pełnej oceny skutków dla ochrony danych. W efekcie pojawiło się ryzyko, że dane pacjentów były przetwarzane bez solidnej podstawy ustawowej.

Podobne zastrzeżenia dotyczyły innych programów pilotażowych w ochronie zdrowia. W wielu przypadkach nie zadbano o to, aby w akcie prawnym jasno określić zasady przetwarzania danych, zakres uprawnień podmiotów realizujących program oraz mechanizmy ich ochrony. Brak takich regulacji sprawia, że przetwarzanie danych może zostać uznane za nielegalne, nawet jeśli intencją programu było usprawnienie opieki nad pacjentem.

W praktyce oznacza to konieczność, by każdy nowy projekt – zanim zostanie wdrożony – był poprzedzony rzetelną analizą prawną i oceną skutków dla ochrony danych (DPIA). Tylko wtedy można uniknąć sytuacji, w której cała inicjatywa staje się obciążona ryzykiem naruszenia RODO i ustawy o prawach pacjenta. Dla placówek medycznych udział w takich programach bez sprawdzenia podstawy prawnej wiąże się z realnym ryzykiem odpowiedzialności.

W przypadku recept i prowadzenia dokumentacji kluczowe jest dokładne potwierdzanie tożsamości pacjentów. Każdy wpis do systemu powinien być poprzedzony weryfikacją dokumentu lub innego wiarygodnego źródła. Dzięki temu można uniknąć sytuacji, w których recepta zostaje wystawiona na dane osoby trzeciej.

Przy korzystaniu z PUE ZUS personel powinien ściśle przestrzegać zasady minimalizacji. Weryfikacja danych musi ograniczać się tylko do informacji niezbędnych do realizacji świadczenia. Należy wprowadzić wewnętrzną kontrolę nad zakresem sprawdzanych danych, aby wykluczyć nadużycia.

Placówki muszą też wyraźnie zabronić przekazywania danych o stanie zdrowia pracodawcom, szkołom czy współpracownikom pacjenta, jeśli nie mają ku temu podstawy prawnej. Warto przeszkolić personel, by potrafił rozpoznać sytuacje, w których ujawnienie danych jest niedozwolone, i miał jasne procedury postępowania.

Przed każdym przekazaniem danych do instytucji zewnętrznych, np. urzędu miasta, należy sprawdzić, czy istnieje podstawa prawna i czy zakres przekazywanych informacji jest proporcjonalny. Obowiązuje tu zasada: „tylko tyle, ile jest konieczne”.

W projektach systemowych i pilotażowych niezbędne jest przeprowadzanie oceny skutków dla ochrony danych jeszcze przed rozpoczęciem programu. Brak takiej analizy może oznaczać, że dane pacjentów są przetwarzane bez wystarczającej podstawy ustawowej, co grozi zarzutem naruszenia przepisów RODO oraz ustawy o prawach pacjenta i Rzeczniku Praw pacjenta.