Dane medyczne można przetwarzać bez zgody pacjenta?

Jedne z najbardziej wrażliwych danych osobowych stanowią informacje o naszym zdrowiu. Co prawda nie jest możliwe wykorzystanie ich do zaciągnięcia kredytu lub w niektórych przypadkach podszycia się, jednak ich naruszenie tworzy ryzyko dla podstawowych praw i wolności.

Naruszenia bezpieczeństwa danych pacjentów nie są niestety rzadkością. Tylko w marcu informowaliśmy o incydentach w szpitalu wojskowym oraz jednej z krakowskich placówek. W maju 2025 roku miał miejsce błąd w Internetowym Koncie Pacjenta, który pozwalał na uzyskanie dostępu do dokumentacji medycznej innych osób, zaś w 2024 roku mogliśmy usłyszeć o nagich zdjęciach pacjentów, które znalazły się w darknecie.

Przetwarzanie danych ze ścisłymi warunkami

Kwestiom związanym z ochroną danych medycznych cały czas przygląda się Urząd Ochrony Danych Osobowych.

Prezes instytucji, Mirosław Wróblewski, w piśmie do Pełnomocnika Dyrektora Narodowego Instytutu Onkologii w Warszawie prof. Mariusza Bidzińskiego wyjaśnił, że przetwarzanie danych medycznych w związku z zaproszeniami na badania przesiewowe jest jak najbardziej legalne.

Dokument jest efektem spotkania między stronami oraz zwróceniem się Pełnomocnika o zajęcie stanowiska przez PUODO. W odpowiedzi Prezesa instytucji czytamy, że jednym z wyjątków od zakazu przetwarzania danych szczególnej kategorii – a takimi są dane medyczne – są cele związane z profilaktyką zdrowotną.

Wróblewski zwrócił jednak uwagę na zastrzeżenia i zabezpieczenia, które w tym przypadku obowiązują.

W myśl art. 9 ust. 3 (RODO – red.) dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
Pismo Prezesa UODO do Pełnomocnika Dyrektora Narodowego Centrum Onkologii

Warunki przetwarzania także w Kodeksie

Co ciekawe, badania przesiewowe nie są jedynym przypadkiem w ramach profilaktyki zdrowotnej, który dopuszcza takie przetwarzanie danych. Według Kodeksu dla sektora ochrony zdrowia, drugim są szczepienia ochronne.

„Stosowanie kodeksu może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora, który jest członkiem kodeksu, ciążących na nim obowiązków” – podkreślił Wróblewski.

Przypomniał również o warunkach przedstawionych w Kodeksie, takich jak zaangażowaniu osób z wykonujących zawód medyczny w przetwarzanie danych, uzasadnienie czynnikami ryzyka oraz wynikanie procesu ze wskazań wiedzy medycznej.

Badania naukowe wymagają anonimizacji danych

Inną kwestią jest z kolei przesyłanie informacji o profilaktyce zdrowotnej. Okazuje się bowiem, że o ile dostęp do tychże jest możliwy za pomocą Internetowego Konta Pacjenta na podstawie jednostkowych danych medycznych, tak przepisy nie przewidują precyzyjnych rozwiązań co do przekazywania informacji do IKP przez usługodawcę.

„W tym zakresie celowa byłaby zmiana przepisów prawa, żeby IKP służyć mogło także usługodawcom, podmiotom udzielającym świadczeń zdrowotnych, w tym w ramach profilaktyki chorób, do wysyłania zaproszeń na badania” – zaznaczył Prezes UODO w swoim piśmie.

Szef instytucji odniósł się też do sprawy wykorzystywania danych medycznych w celach naukowych. W przepisach nie zawarto bowiem ogólnych rozwiązań umożliwiających przetwarzania danych z dokumentacji do wtórnego wykorzystania w celach naukowych.

Jednakże, ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta wskazuje, że jest to możliwe w jednym przypadku: gdy dane osobowe zostaną poddane anonimizacji.