W dobie cyfryzacji i rosnących wymagań dotyczących ochrony danych osobowych, prawidłowe uzyskanie zgody pacjenta na przetwarzanie jego danych jest kluczowe dla placówek medycznych. W niniejszym artykule omówimy, kiedy zgoda pacjenta jest wymagana, jakie warunki musi spełniać oraz jak prawidłowo ją uzyskać, aby działać zgodnie z przepisami RODO i uniknąć sankcji.

Kiedy zgoda pacjenta jest potrzebna?

Zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (RODO), przetwarzanie danych osobowych, w tym danych wrażliwych takich jak dane dotyczące zdrowia, wymaga podstawy prawnej. Zgoda pacjenta jest jedną z takich podstaw, ale nie zawsze jest konieczna. Poniżej przedstawiamy sytuacje, w których zgoda jest wymagana, oraz te, w których można przetwarzać dane bez niej.

1. Przetwarzanie danych w celach medycznych
   W przypadku świadczenia usług medycznych (np. diagnostyka, leczenie), zgoda pacjenta na przetwarzanie danych zdrowotnych zazwyczaj nie jest wymagana. Podstawą prawną jest tu art. 9 ust. 2 lit. h RODO, który pozwala na przetwarzanie danych w celu zapewnienia opieki zdrowotnej, pod warunkiem że jest to niezbędne i zgodne z przepisami krajowymi, np. ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta.
2. Przetwarzanie danych w innych celach
   Zgoda pacjenta jest potrzebna, gdy dane osobowe są wykorzystywane w celach innych niż bezpośrednie świadczenie usług medycznych, np.:

• Marketing usług medycznych (np. wysyłanie newsletterów, ofert promocyjnych).
• Udostępnianie danych podmiotom trzecim (np. w ramach badań naukowych lub współpracy z innymi placówkami, jeśli nie wynika to z przepisów prawa).
• Przetwarzanie danych w systemach niezwiązanych bezpośrednio z leczeniem, np. w celach statystycznych lub analitycznych.

1. Dane szczególnie chronione
   Dane dotyczące zdrowia są danymi wrażliwymi, dlatego ich przetwarzanie wymaga szczególnej staranności. Zgoda jest konieczna, gdy nie ma innej podstawy prawnej do ich przetwarzania, np. gdy placówka chce wykorzystać dane pacjenta w celach komercyjnych lub badawczych.

Jak prawidłowo uzyskać zgodę pacjenta?

Uzyskanie zgody pacjenta na przetwarzanie danych osobowych musi spełniać wymagania RODO, które określają, że zgoda powinna być:

• Dobrowolna – pacjent nie może być zmuszany do wyrażenia zgody, a odmowa nie może wpływać na jakość świadczonych usług.
• Konkretna – zgoda musi dotyczyć określonego celu przetwarzania danych, np. konkretnego badania lub kampanii marketingowej.
• Świadoma – pacjent musi zostać poinformowany o celu przetwarzania, zakresie danych, okresie przechowywania oraz prawie do cofnięcia zgody.
• Wyraźna – zgoda powinna być wyrażona w sposób aktywny, np. przez podpisanie dokumentu lub zaznaczenie checkboxa w formularzu elektronicznym.

Kroki do uzyskania prawidłowej zgody:

1. Informacja dla pacjenta
   Przed uzyskaniem zgody należy przekazać pacjentowi klarowne informacje w tzw. klauzuli informacyjnej. Powinna ona zawierać:

• Tożsamość administratora danych (np. nazwa placówki medycznej).
• Cel przetwarzania danych (np. marketing, badania naukowe).
• Okres przechowywania danych.
• Informacje o prawie do cofnięcia zgody w dowolnym momencie.
• Dane kontaktowe inspektora ochrony danych (jeśli dotyczy).

1. Forma zgody
   Zgoda może być wyrażona w formie:

• Pisemnej (np. podpis na formularzu w placówce).
• Elektronicznej (np. checkbox na stronie internetowej lub w aplikacji).
  Ważne, aby zgoda była łatwa do udokumentowania – placówka musi być w stanie wykazać, że została uzyskana zgodnie z prawem.

1. Możliwość cofnięcia zgody
   Pacjent ma prawo w każdej chwili cofnąć zgodę na przetwarzanie danych. Placówka medyczna powinna zapewnić prosty mechanizm cofnięcia zgody, np. poprzez formularz online lub kontakt z recepcją.

Najczęstsze błędy przy uzyskiwaniu zgody

• Brak precyzyjnego określenia celu przetwarzania – zgoda ogólna, np. „na wszystko”, jest niezgodna z RODO.
• Zbieranie zgód „na zapas” – zgoda musi dotyczyć konkretnego, aktualnego celu.
• Brak informacji o prawie do cofnięcia zgody – pacjent musi wiedzieć, że może wycofać zgodę w dowolnym momencie.
• Wymuszanie zgody – np. uzależnianie przyjęcia na wizytę od wyrażenia zgody na cele marketingowe.

Praktyczne wskazówki dla placówek medycznych

1. Szkolenia personelu
   Pracownicy placówki powinni być przeszkoleni z zasad RODO, aby prawidłowo informować pacjentów i uzyskiwać zgody.
2. Standaryzacja procesów
   Wdrożenie gotowych formularzy zgód i klauzul informacyjnych ułatwia przestrzeganie przepisów i zapewnia spójność działań.
3. Audyt procesów
   Regularne audyty procesów przetwarzania danych pomagają wychwycić ewentualne niezgodności i dostosować procedury do aktualnych wymagań prawnych.
4. Elektroniczne systemy zarządzania zgodami
   Wdrożenie systemów CRM lub EDM (elektronicznej dokumentacji medycznej) z funkcją zarządzania zgodami ułatwia ich gromadzenie i przechowywanie.

Podsumowanie

Prawidłowe uzyskanie zgody pacjenta na przetwarzanie danych osobowych to nie tylko wymóg prawny, ale także element budowania zaufania między placówką medyczną a pacjentem. Kluczowe jest zapewnienie, że zgoda jest dobrowolna, świadoma i konkretna, a pacjent został w pełni poinformowany o swoich prawach. Placówki medyczne powinny zadbać o standaryzację procesów, szkolenia personelu oraz regularne audyty, aby działać zgodnie z RODO i uniknąć kosztownych sankcji.

Jeśli potrzebują Państwo wsparcia w dostosowaniu procesów przetwarzania danych do wymogów RODO, zapraszam do kontaktu z naszą kancelarią. Oferujemy profesjonalne doradztwo prawne w zakresie ochrony danych osobowych w sektorze medycznym.

---

Autor: Kamila Anioł, Radca Prawny
Kontakt: biuro@kancelariakam.pl
Data publikacji: 27 maja 2025

---