Dane pacjentów są źle chronione. Przybywa skarg do UODO

Coraz więcej Polaków skarży się na łamanie przepisów dotyczących ochrony danych osobowych. Do końca października odnotowano już ponad 10 tys. skarg, najczęściej na naruszenia prawa w placówkach medycznych.

Patrycja Otto

patrycja.otto@infor.pl

Ten rok może być rekordowy – do końca października do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło 10 170 skarg, więcej niż przez cały 2024 rok, kiedy odnotowano ich 8056. To drugi rok z rzędu z tendencją wzrostową po spadkowym trendzie w latach poprzednich. Ta niepokojąca dynamika ma swoje źródło m.in. w naruszeniach prawa przez placówki medyczne.

Szpitalne wpadki i milionowe kary

Choć UODO nie prowadzi szczegółowych statystyk dotyczących podziału skarg według branż, to sektor zdrowia jest w nich wyraźnie zauważalny i ma kilkunastoprocentowy udział w ogólnej liczbie zgłoszeń. Naruszenia pojawiają się najczęściej przy korzystaniu z monitoringu wizyjnego w placówkach medycznych przy zabiegach, ale mają też swoje źródło w systemowych zaniedbaniach prawnych.

Karol Witowski, rzecznik prasowy Departamentu Komunikacji Społecznej w UODO, wśród najczęściej ujawnionych uchybień wskazuje uzyskiwanie przez lekarzy dostępu do danych zgromadzonych w ramach Platformy Usług Elektronicznych ZUS (PUE ZUS), przetwarzanie danych w celu wystawienia recepty osobie trzeciej, a także udostępnienie danych na rzecz osób lub podmiotów nieuprawnionych, najczęściej na skutek zwykłej pomyłki. Problemem jest również przetwarzanie przez personel danych zawartych w dokumentacji medycznej pacjenta w celach innych niż udzielanie świadczeń zdrowotnych.

Wzrost liczby skarg ma swoje odbicie w sankcjach finansowych nałożonych na placówki medyczne. W 2025 roku prezes UODO nałożył na nie sześć kar na łączną kwotę prawie 1,3 mln zł. Jak wymienia Karol Witowski, podmioty zostały ukarane m.in. za niezgłoszenie naruszenia ochrony danych, brak zapewnienia niezależności inspektora ochrony danych, czy nieuwzględnienie w analizie ryzyka przetwarzania danych pacjentów podczas wizyt domowych. Poza tym placówkom medycznym dostało się za niewdrożenie odpowiednich środków technicznych i organizacyjnych prowadzących do przełamania zabezpieczeń infrastruktury informatycznej, prowadzenie monitoringu niezgodnie z przepisami oraz niezabezpieczenie nośników z utraconymi danymi.

- Najwyższą kwotą zostało ukarane Centrum Medyczne Ujastek, na które prezes UODO nałożył dwie kary o łącznej wysokości 1,145 mln zł. Jedna dotyczyła monitoringu wizyjnego, a druga została nałożona za utratę niezabezpieczonych nośników z danymi – wylicza Karol Witowski i dodaje, że sprawą zajmował się Wojewódzki Sąd Administracyjny w Warszawie, który oddalił skargę administratora.

Do tej pory podmioty medyczne zostały ukarane łącznie 13 karami pieniężnymi, a najwyższa z nich wyniosła 1,44 mln zł.

Rejestry medyczne poza kontrolą

Za eskalacją skarg na placówki medyczne stoi jednak nie tylko codzienna praktyka, ale i systemowe zaniedbania prawne. Już w 2011 roku ówczesny Generalny Inspektor Ochrony Danych Osobowych, dr Wojciech Rafał Wiewiórowski, apelował do marszałka Sejmu Grzegorza Schetyny o uporządkowanie kwestii rejestrów medycznych, które były prowadzone przez różne podmioty bez umocowania ustawowego. Niestety, apel ten nie przyniósł efektów. Taka sytuacja doprowadziła do złożenia przez Rzecznika Praw Obywatelskich wniosku do Trybunału Konstytucyjnego. UODO, popierając ten wniosek, przeprowadził analizę, z której wynika, że w Polsce istnieje co najmniej 70 rejestrów medycznych prowadzonych przez różne podmioty: placówki medyczne, uczelnie, instytuty, a nawet kierowników katedr. Wyrok TK z 18 grudnia 2014 r. (sygn. akt K 33/13) wymusił nowelizację przepisów. Mimo to, w dalszym ciągu istotna część regulacji znajduje się w aktach wykonawczych. Obecnie tylko 15 rejestrów medycznych ma oparcie w przepisach prawa, w postaci rozporządzeń wydanych na podstawie delegacji ustawowej (np. rozporządzenie w sprawie Krajowego Rejestru Nowotworów). Wbrew ustawowemu obowiązkowi, do dziś nie zakończył się proces inwentaryzacji istniejących rejestrów medycznych. Istnieje więc realne niebezpieczeństwo, że obok tych zalegalizowanych, funkcjonują inne, co do których brakuje podstawy prawnej oraz szczegółowych informacji, jakie dane pacjentów są w nich zbierane i przez kogo.

Jak zauważają eksperci ten stan prawny i faktyczny wymaga uporządkowania, nie tylko z uwagi na konieczność zapewnienia ochrony danych pacjentów, ale także z powodu potrzeby dostosowania polskiego systemu prawnego do unormowań nowego rozporządzenia EHDS (European Health Data Space).

Jak mówią prawnicy, wciąż wiele placówek medycznych nie przywiązuje zbyt dużej wagi do prawidłowego zabezpieczenia i zarządzania danymi osobowymi. Skargi pacjentów są efektem nie tylko bagatelizowania tych kwestii przez personel szpitali i przychodni, ale także braku wiedzy.

- Gdy wchodziły przepisy o ochronie danych osobowych to widać było pospolite ruszenie. Wówczas placówki wdrożyły regulaminy i klauzule informacyjne, często bazując na gotowych rozwiązaniach z rynku. Nie poszły jednak za tym często dalsze działania, jak szkolenia, wdrożenie procedur w stosunku do pacjentów – mówi Michał Gajda, adwokat specjalizujący się w prawie medycznym. I dodaje, że działania naprawcze są wprowadzane w momencie pojawienia się skarg czy kontroli.

Dr n. med. Janusz Mielcarek, rzecznik prasowy Wojewódzkiego Szpitala Zespolonego w Toruniu, w którym działa monitoring wizyjny na salach operacyjnych, podkreślił, że mamy do czynienia z sytuacją, w której znacząco zwiększa się świadomość pacjentów w przysługujących im prawach, w tym prawie do dochodzenia od podmiotów leczniczych roszczeń w związku z tzw. błędami medycznymi. Dodał, że wiele zmieniłoby ustawowe wprowadzenie monitoringu zabiegów operacyjnych i jego przechowywanie w takim samym czasie, jak dokumentacji medycznej, bo dokumentowałoby w sposób jednoznaczny sposób przeprowadzenia zabiegu operacyjnego.

Skargi nie tylko do UODO

Na rosnące problemy placówek medycznych zwraca uwagę również Rzecznik Praw Pacjenta (RPP), którego biuro odnotowuje coraz większą liczbę skarg związanych z monitoringiem wizyjnym. W tym roku było ich już osiem, wobec siedmiu rok wcześniej. Zgłoszenia te dotyczyły m.in. odmowy wydania zapisu monitoringu na wniosek pacjenta lub jego bliskich, zainstalowania kamery w gabinecie lekarskim i braku zgody pacjenta na nagrywanie.

Ponadto, w 2025 roku RPP odnotował 23 zgłoszenia dotyczące naruszenia przepisów o ochronie danych osobowych przez placówki medyczne, a wszystkie dotyczyły ujawnienia danych zawartych w dokumentacji medycznej. Pacjenci skarżą się na przekazywanie informacji przez personel w sposób mogący naruszać ochronę informacji.

Jakie są konsekwencje tych skarg? Anna Hernik-Solarska z biura prasowego RPP informuje, że rzecznik występuje o wyjaśnienia do podmiotu, zgłasza sprawę do UODO, a w przypadku stwierdzenia naruszenia praw pacjenta wydaje zalecenia do podmiotów leczniczych w celu poprawy istniejącej sytuacji.