Czy kiedykolwiek zastanawiałeś się, skąd szpital lub przychodnia ma Twój numer, by zaprosić Cię na bezpłatną mammografię lub kolonoskopię? Choć w dobie RODO jesteśmy wyczuleni na każdy telefon od nieznanego numeru, w ochronie zdrowia zasady gry wyglądają nieco inaczej. Najnowsze stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO) rzuca nowe światło na to, jak placówki medyczne mogą – i powinny – komunikować się z pacjentami, by ratować ich życie, nie łamiąc przy tym prawa.
Mirosław Wróblewski, Prezes UODO, w piśmie skierowanym do Narodowego Instytutu Onkologii im. Marii Skłodowskiej-Curie, rozwiał wątpliwości, które od lat spędzały sen z powiek dyrektorom szpitali. Okazuje się, że walka o zdrowie publiczne ma w przepisach o ochronie danych bardzo mocny fundament.
Spis treści
Profilaktyka bez zgody pacjenta? Tak, to legalne
Najważniejszy wniosek z wystąpienia Prezesa UODO jest jasny: przetwarzanie danych pacjentów w celu kierowania do nich zaproszeń na badania przesiewowe jest w pełni uzasadnione. Nie potrzebujemy do tego każdorazowej, wyraźnej zgody pacjenta (tzw. „marketingowej”), o ile celem jest profilaktyka zdrowotna.
Podstawą prawną jest tutaj art. 9 ust. 2 lit. h RODO. Przepis ten pozwala na przetwarzanie danych szczególnych kategorii (czyli danych o zdrowiu), jeśli jest to niezbędne do celów profilaktyki, diagnozy medycznej lub zapewnienia opieki zdrowotnej.
„Dane szczególnych kategorii mogą być przetwarzane bez zgody pacjenta, jeśli służy to organizacji systemu opieki zdrowotnej i odbywa się pod nadzorem osób zobowiązanych do zachowania tajemnicy zawodowej” – podkreśla Prezes UODO.
W praktyce oznacza to, że lekarz lub uprawniony pracownik placówki medycznej może zajrzeć do bazy pacjentów i wysłać zaproszenie na badania, ponieważ działa w interesie Twojego zdrowia, a nie w celach komercyjnych.
Kodeks postępowania dla ochrony zdrowia - przewodnik po legalności
Prezes UODO przypomniał również o istnieniu Kodeksu postępowania dla sektora ochrony zdrowia. To niezwykle ważne narzędzie, które doprecyzowuje zawiłe przepisy unijnego rozporządzenia. Zgodnie z tym dokumentem, działania takie jak:
- kierowanie zaproszeń na badania przesiewowe (np. onkologiczne),
- powiadomienia o szczepieniach zgodnych z Programem Szczepień Ochronnych,
- przypomnienia o wizytach kontrolnych,
są uznawane za realizację celów zdrowotnych. Warto jednak wiedzieć, że na ten kodeks mogą powoływać się jedynie te placówki, które oficjalnie go przyjęły i są jego członkami. Jest to swego rodzaju certyfikat rzetelności i bezpieczeństwa danych pacjenta.
Internetowe Konto Pacjenta (IKP) - niewykorzystany potencjał
Mimo że prawo pozwala na wysyłanie zaproszeń, problemem pozostaje kanał komunikacji. Obecnie Internetowe Konto Pacjenta (IKP) jest potężnym narzędziem, ale wciąż niedoskonałym pod względem prawnym.
Choć ustawa o systemie informacji w ochronie zdrowia wspomina o dostępie do informacji o zdrowym trybie życia, to brakuje konkretnych przepisów określających, jak podmioty medyczne (np. szpitale onkologiczne) mogą przez IKP wysyłać bezpośrednie zaproszenia. Prezes UODO zdiagnozował tę lukę i wystąpił do Ministra Zdrowia o pilną zmianę przepisów. Cel jest prosty: IKP ma stać się bezpiecznym, cyfrowym mostem między lekarzem a pacjentem, który zachęca do badań, zanim pojawi się choroba.
Bezpieczna pseudonimizacja
Kolejnym kluczowym wątkiem poruszonym przez UODO jest wykorzystywanie danych pacjentów do badań naukowych. Postęp w medycynie nie jest możliwy bez analizy wielkich zbiorów danych (Big Data), ale pacjenci boją się, że ich historie chorób „wyciekną” do sieci.
Rozwiązaniem ma być dostosowanie polskich przepisów do rozporządzenia 2025/327 w sprawie Europejskiej Przestrzeni Danych dot. Zdrowia (EHDS). Prezes UODO proponuje nowoczesne podejście do ochrony prywatności:
- Pseudonimizacja: Dane są przetwarzane w taki sposób, by nie można ich było przypisać do konkretnej osoby bez użycia dodatkowego klucza.
- Klucz kodujący: Urząd postuluje stworzenie systemu, w którym odbiorca danych naukowych otrzymuje dane zaszyfrowane „kluczem”, którego nie da się odkodować zwrotnie. Klucz ten pozostawałby wyłącznie w posiadaniu podmiotu udostępniającego dane (np. szpitala).
Taki model, zgodny z art. 89 RODO, pozwalałby naukowcom na prowadzenie badań nad nowymi lekami, jednocześnie dając pacjentom 100% gwarancji, że ich tożsamość pozostanie ukryta.
Nowa era w legislacji medycznej
1 września 2025 r. Prezes UODO oficjalnie zawnioskował do Ministra Zdrowia o podjęcie działań legislacyjnych. To historyczny moment, w którym organ nadzorczy nie tylko „pilnuje i karze”, ale aktywnie proponuje rozwiązania, które mają ułatwić życie pacjentom i pracę lekarzom. Minister Zdrowia zadeklarował już otwartość na współpracę, a kolejnym krokiem będzie uzyskanie stanowiska Ministra Nauki w kwestii danych do celów badawczych.
Podsumowanie
Dla pacjenta decyzja UODO to przede wszystkim większe bezpieczeństwo i szansa na szybszą diagnozę. Nie musisz się obawiać, że zaproszenie na badania onkologiczne z Twojej przychodni to „wyciek danych”. To działanie zgodne z prawem, mające na celu profilaktykę.
Dla placówek medycznych to z kolei zielone światło do bardziej aktywnych działań prozdrowotnych, pod warunkiem zachowania wysokich standardów bezpieczeństwa (tajemnica zawodowa, minimalizacja danych, ewentualne wdrożenie sektorowego kodeksu postępowania).
