Drukuj ten rozdziałDrukuj ten rozdział

14.5. Prowadzenie e-dokumentacji i ochrona danych osobowych (RODO)

4. Zgoda na przetwarzanie danych i rejestr czynności przetwarzania

Zgoda — definicja i warunki ważności

Zgoda pacjenta na przetwarzanie danych osobowych powinna być: świadoma, dobrowolna, konkretna, jednoznaczna i możliwa do wycofania w dowolnym momencie. W praktyce gabinetu terapeutycznego oznacza to, że pacjent musi otrzymać zrozumiały opis celu przetwarzania (np. dokumentacja medyczna, zdjęcia do monitoringu gojenia, analiza wyników), wskazanie podstawy prawnej (jeżeli podstawą jest zgoda), okres przechowywania danych oraz informację o prawie do wycofania zgody bez negatywnych konsekwencji dla bieżącej opieki medycznej (poza ograniczeniami wynikającymi z prawa przechowywania dokumentacji medycznej).

Elementy wymagane w treści zgody:

  • tożsamość administratora (nazwa gabinetu, dane kontaktowe, inspektor ochrony danych jeżeli jest wyznaczony),

  • cele przetwarzania (wyszczególnione, nie ogólnikowo),

  • rodzaje danych (np. dane identyfikacyjne, notatki kliniczne, zdjęcia, wyniki badań),

  • informacja o odbiorcach danych lub kategoriach odbiorców (np. laboratorium, współpracujący lekarz),

  • okres przechowywania lub kryteria jego ustalania,

  • prawo do cofnięcia zgody i sposób jego wykonania,

  • prawo do wniesienia skargi do organu nadzorczego,

  • informacja o planowanym przekazywaniu danych poza EOG (jeżeli ma miejsce) oraz gwarancje zabezpieczeń.

Zgoda nie może być ukryta w długim regulaminie — powinna być wyodrębniona i podana w języku zrozumiałym dla pacjenta.

Forma zgody: papierowa, elektroniczna, dorozumiana

  • Forma pisemna — standard dla wielu procedur medycznych; zalecana przy zbieraniu zdjęć, materiałów do publikacji, czy do celów poza leczeniem (marketing, badania).

  • Forma elektroniczna — e-zgoda z użyciem podpisu elektronicznego/kwalifikowanego lub prostszych mechanizmów (checkbox + identyfikacja pacjenta) — istotne jest, by system przechowywał dowód wyrażenia zgody (czas, co zostało zaakceptowane, IP/identyfikator użytkownika).

  • Zgoda dorozumiana — dopuszczalna tylko w bardzo wąskim zakresie i nigdy nie powinna zastępować jasnej zgody przy przetwarzaniu danych szczególnie wrażliwych (zdrowotnych, zdjęcia).

Wszystkie formy zgody muszą być zapisywane i możliwe do zweryfikowania (dowód zgody).

Zgoda a dane wrażliwe (dane zdrowotne)

Dane medyczne są danymi szczególnej kategorii wymagającymi dodatkowych gwarancji. Jeżeli podstawą przetwarzania jest zgoda, musi ona być wyraźna — czyli pacjent powinien zaznaczyć oddzielną zgodę na przetwarzanie danych zdrowotnych (nie wystarczy ogólna zgoda „na przetwarzanie danych”). Dodatkowo wskazać cele (np. diagnostyka, leczenie, szkolenie personelu) i ewentualne przekazanie do podmiotów trzecich.

Wycofanie zgody i konsekwencje praktyczne

Pacjent ma prawo wycofać zgodę w dowolnym momencie. Proces wycofania powinien być prosty (forma mailowa, formularz w gabinecie, panel pacjenta). Wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed jego wycofaniem. Po wycofaniu należy:

  • zaprzestać dalszego przetwarzania danych dla celów objętych zgodą (jeżeli brak innej podstawy prawnej),

  • poinformować pacjenta o skutkach wycofania (np. brak możliwości publikacji zdjęć, możliwe ograniczenie niektórych usług),

  • w przypadku gdy dalsze przechowywanie jest wymagane prawem (np. przepisy medyczne o archiwizacji dokumentacji), zapewnić ograniczenie przetwarzania do niezbędnego minimum i odpowiednio odznaczyć w rejestrze czynności.

System e-dokumentacji powinien rejestrować datę i sposób wycofania zgody oraz zakres danych, których wycofanie dotyczy.

Rejestr czynności przetwarzania — wymagane informacje

Rejestr czynności przetwarzania (RCP) jest dokumentem obowiązkowym dla administratorów przetwarzających dane do celów wynikających z działalności leczenia. Rejestr powinien zawierać przynajmniej:

  • nazwę i dane administratora oraz ewentualnych współadministratorów,

  • cele przetwarzania danych,

  • opis kategorii zainteresowanych osób oraz kategorii danych osobowych,

  • kategorie odbiorców danych, w tym odbiorców w państwach trzecich,

  • planowane terminy usunięcia różnych kategorii danych (retencja),

  • ogólny opis technicznych i organizacyjnych środków zabezpieczeń (TOM — środki ochrony danych),

  • podstawy prawne przetwarzania (w tym wskazanie, czy podstawą jest zgoda, kontrakt, obowiązek prawny, itp.),

  • informacje o przekazywaniu danych poza EOG i zabezpieczeniach,

  • wskazanie osoby odpowiedzialnej za rejestr i kontakt do inspektora ochrony danych (jeśli wyznaczony).

Rejestr powinien być prowadzony w sposób aktualny, dostępny dla organu nadzorczego na żądanie i skonsolidowany w formie pozwalającej na sprawną kontrolę.

Powiązanie rejestru z dowodami zgód i uprawnieniami

Dobrą praktyką jest powiązanie zapisu w rejestrze z konkretnymi zgodami (np. ID zgody → ID rekordu w rejestrze), tak aby w razie kontroli można było szybko wykazać: kto wyraził zgodę, kiedy, na co oraz które czynności ją obejmują. System e-dokumentacji powinien umożliwiać:

  • automatyczne logowanie momentu wyrażenia zgody wraz ze szczegółami,

  • powiązanie zgody z epizodem leczenia i z rejestrem czynności,

  • mechanizm blokowania wykonywania pewnych operacji po wycofaniu zgody.

Rola i odpowiedzialność administratora oraz podmiotu przetwarzającego

Administrator odpowiada za prawidłowość procesu uzyskiwania zgody i za prawidłowe prowadzenie rejestru. Jeżeli administrator korzysta z podmiotu przetwarzającego (np. dostawcy systemu e-dokumentacji, chmury), umowa powierzenia przetwarzania powinna szczegółowo określać obowiązki dotyczące przechowywania dowodów zgód, prowadzenia rejestru oraz udostępniania danych na żądanie organu nadzorczego.

Krótki przykład

Pacjentka zgadza się na wykonanie serii zdjęć rany po zabiegu w celu monitoringu gojenia oraz na użycie jednego zdjęcia do celów szkoleniowych (prezentacja anonimowa). Formularz zgody zawiera odrębne pola: (1) zgoda na dokumentację medyczną (leczenie) oraz (2) zgoda na wykorzystanie zdjęcia do celów dydaktycznych. W systemie e-dokumentacji zapisano: ID zgody 2025-11-22-001, czas, identyfikator użytkownika skanującego. Rejestr czynności ma wpis: kategoria „zdjęcia rany”, cel „monitoring leczenia”, odbiorcy „wyłącznie personel gabinetu” oraz oddzielny wpis: cel „dydaktyka”, odbiorcy „uczestnicy kursu (anonimizowane)”, okres retencji 5 lat. Po wycofaniu zgody dydaktycznej zdjęcie zostaje zablokowane do wykorzystania w prezentacjach — ale pozostaje w dokumentacji klinicznej zgodnie z obowiązkiem archiwizacji.

Krótkie ćwiczenie praktyczne (czas: 20–30 minut)

  1. Przygotuj wzór jednorazowego formularza zgody dla fotografii klinicznych w swoim gabinecie. Formularz powinien zawierać: dane administratora, jasno zdefiniowane cele (minimum trzy), pola wyboru dla odrębnych zgód (leczenie / dydaktyka / marketing), informację o prawie do wycofania zgody oraz sposób wycofania.

  2. W rejestrze czynności dodaj pozycję odpowiadającą tym zdjęciom: kategorie danych, cele, odbiorcy, okres retencji.

  3. Przeprowadź symulację: wpisz do rejestru fikcyjne ID zgody, datę, osobę wyrażającą zgodę, a następnie zaplanuj procedurę techniczną zablokowania zdjęcia po wycofaniu zgody (kroki: identyfikacja pliku → oznaczenie flagą „nie do publikacji” → aktualizacja logów).

Wynik ćwiczenia: gotowy szablon zgody i powiązany wpis w rejestrze czynności, który możesz wdrożyć natychmiast w praktyce gabinetowej.