RODO dla placówek medycznych
Wypełnij formularz
Potrzebujesz audytu?

Dokumentacja RODO w placówce medycznej — jakie dokumenty trzeba mieć i jakie dowody wdrożenia są ważniejsze niż „segregator”?

Dokumentacja RODO powinna pokazywać, jak placówka działa w praktyce

Dokumentacja RODO w placówce medycznej często kojarzy się z segregatorem, polityką ochrony danych i kilkoma wzorami dokumentów. Sam zestaw dokumentów nie daje jednak pełnego obrazu bezpieczeństwa danych pacjentów.

Placówka powinna umieć pokazać, jakie dane przetwarza, w jakim celu, kto ma do nich dostęp, komu są przekazywane, jak są zabezpieczane i co dzieje się w razie incydentu.

RODO opiera się na zasadzie rozliczalności. W praktyce oznacza to, że administrator powinien nie tylko działać zgodnie z przepisami, ale też umieć to wykazać. Przy placówce medycznej dotyczy to dokumentacji prawnej, organizacji pracy i zabezpieczeń technicznych.

Jakie dokumenty zwykle są potrzebne w placówce medycznej?

Zakres dokumentacji zależy od wielkości placówki, rodzaju świadczeń, systemów IT, dostawców i skali przetwarzania. Inaczej wygląda mały gabinet, inaczej przychodnia z kilkoma specjalizacjami, a inaczej większa klinika.

W praktyce warto uporządkować przynajmniej:

  • klauzule informacyjne dla pacjentów,
  • rejestr czynności przetwarzania,
  • analizę ryzyka,
  • procedurę naruszeń ochrony danych,
  • ewidencję naruszeń,
  • zasady nadawania i odbierania uprawnień,
  • upoważnienia albo inne dokumenty potwierdzające zakres dostępu,
  • umowy powierzenia z dostawcami,
  • zasady retencji i przechowywania dokumentacji,
  • procedury dotyczące dokumentacji medycznej,
  • opis zabezpieczeń technicznych i organizacyjnych,
  • dowody szkoleń, przeglądów i testów.

UODO zatwierdził kodeksy postępowania dotyczące ochrony danych w ochronie zdrowia. To pokazuje, że sektor medyczny ma własną specyfikę i nie powinien być obsługiwany tak samo jak zwykła działalność biurowa.

Klauzula informacyjna dla pacjenta

Pacjent powinien otrzymać jasną informację o tym, kto przetwarza jego dane, w jakich celach, na jakiej podstawie, komu dane mogą być przekazywane i jak długo będą przechowywane.

Pacjent.gov.pl wskazuje, że placówka medyczna zbierająca dane od pacjenta musi poinformować go między innymi o danych administratora, danych kontaktowych IOD, celach i podstawach przetwarzania, odbiorcach danych oraz okresie przechowywania.

Dobra klauzula informacyjna powinna być napisana zrozumiale. Pacjent nie musi znać struktury prawnej placówki, żeby zrozumieć, kto odpowiada za jego dane i w jakich sytuacjach mogą być wykorzystywane.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania porządkuje procesy, w których placówka przetwarza dane osobowe. W placówce medycznej będą to zwykle osobne obszary, na przykład obsługa pacjentów, prowadzenie dokumentacji medycznej, rozliczenia, marketing, rekrutacja, obsługa pracowników, monitoring albo kontakt przez formularz.

W rejestrze warto wskazać:

  • nazwę czynności przetwarzania,
  • cele przetwarzania,
  • kategorie osób, których dane dotyczą,
  • kategorie danych,
  • odbiorców danych,
  • okresy przechowywania,
  • ogólny opis zabezpieczeń,
  • informację o ewentualnym przekazywaniu danych poza EOG.

UODO w wyjaśnieniach dotyczących rejestru czynności wskazuje, że rejestr służy zapewnieniu zgodności z RODO i jest ważny zarówno dla administratora, jak i dla organu nadzorczego.

Analiza ryzyka

Analiza ryzyka powinna odpowiadać na proste pytanie: co może pójść źle z danymi pacjentów i jakie zabezpieczenia zmniejszają to ryzyko.

W placówce medycznej warto uwzględnić między innymi:

  • nieuprawniony dostęp do dokumentacji medycznej,
  • wspólne konta w systemie,
  • utratę laptopa lub nośnika,
  • błąd przy wysyłce dokumentacji,
  • phishing i przejęcie poczty,
  • ransomware,
  • brak backupu albo brak testu odtworzenia,
  • dostęp firmy IT,
  • zbyt szerokie uprawnienia rejestracji lub administracji,
  • brak procedury po zakończeniu współpracy z pracownikiem.

UODO zwraca uwagę, że administrator samodzielnie analizuje procesy przetwarzania, ocenia ryzyka i stosuje odpowiednie środki oraz procedury. W jednej z publikacji organ wskazał też, że RODO nie narzuca sztywnych zabezpieczeń, ale wymaga dobrania ich do ryzyka.

Procedura naruszeń i ewidencja naruszeń

Placówka powinna wiedzieć, co zrobić po incydencie: wysłaniu dokumentacji do niewłaściwej osoby, zgubieniu dokumentów, przejęciu poczty, zaszyfrowaniu systemu albo ujawnieniu danych przy recepcji.

Procedura naruszeń powinna określać:

  • kto przyjmuje zgłoszenie incydentu,
  • kto ustala fakty,
  • kto ocenia ryzyko dla pacjentów,
  • kto decyduje o zgłoszeniu do UODO,
  • kto przygotowuje komunikację do pacjentów,
  • jak zabezpieczyć dowody,
  • jak dokumentować decyzje.

Ewidencja naruszeń powinna obejmować również te zdarzenia, które po analizie nie zostały zgłoszone do UODO. Ważne jest uzasadnienie decyzji, a nie samo stwierdzenie, że „nie było ryzyka”.

Upoważnienia, role i dostęp do danych

W placówce medycznej trzeba jasno określić, kto ma dostęp do danych pacjentów i dlaczego. Dotyczy to lekarzy, rejestracji, administracji, księgowości, asysty, personelu pomocniczego i firmy IT.

UODO wyjaśnia, że nadawanie upoważnień może być jednym ze środków organizacyjnych zapewniających kontrolę nad tym, kto, z jakich powodów i w jaki sposób ma dostęp do danych. Przy osobach wykonujących zawód medyczny trzeba dodatkowo uwzględnić ich ustawowe uprawnienia, ale administrator nadal powinien mieć kontrolę nad dostępem.

W dokumentacji warto mieć:

  • listę użytkowników systemu,
  • role i zakresy uprawnień,
  • zasady nadawania dostępów,
  • zasady odbierania dostępów po zakończeniu współpracy,
  • potwierdzenia upoważnień albo inne dokumenty wskazujące zakres dostępu,
  • protokoły okresowych przeglądów uprawnień.

Umowy powierzenia z dostawcami

Placówka medyczna zwykle korzysta z wielu dostawców: programu medycznego, hostingu, poczty, firmy IT, księgowości, systemu rejestracji, backupu, SMS-ów, formularzy internetowych albo usług marketingowych.

Jeżeli dostawca przetwarza dane osobowe w imieniu placówki, trzeba sprawdzić, czy powinna zostać zawarta umowa powierzenia. Dotyczy to szczególnie podmiotów, które mają dostęp do danych pacjentów, systemów lub kopii zapasowych.

UODO w decyzjach dotyczących powierzenia zwraca uwagę, że administrator powinien korzystać z usług podmiotów zapewniających odpowiednie gwarancje i powinien być w stanie wykazać, że je zweryfikował.

W praktyce warto mieć listę dostawców i przy każdym z nich określić:

  • jakie dane może przetwarzać,
  • czy jest administratorem, procesorem czy odbiorcą danych,
  • czy zawarto umowę powierzenia,
  • gdzie przetwarzane są dane,
  • czy dostawca ma dostęp techniczny,
  • jak wygląda zakończenie współpracy,
  • czy dostawca zapewnia odpowiednie zabezpieczenia.

Dowody wdrożenia są ważniejsze niż sama deklaracja

Dokumentacja RODO powinna mieć pokrycie w faktach. Jeżeli placówka pisze, że robi przegląd uprawnień, powinien istnieć ślad takiego przeglądu. Jeżeli deklaruje test backupu, powinien istnieć protokół albo raport. Jeżeli personel został przeszkolony, powinno być potwierdzenie szkolenia.

Przykładowe dowody wdrożenia:

  • lista obecności ze szkolenia,
  • potwierdzenie nadania lub odebrania uprawnień,
  • raport z przeglądu użytkowników systemu,
  • potwierdzenie działania MFA,
  • raport z backupu,
  • protokół testu odtworzenia danych,
  • lista dostawców i umów powierzenia,
  • notatka z analizy incydentu,
  • ewidencja naruszeń,
  • potwierdzenie aktualizacji klauzul informacyjnych.

UODO zwracał uwagę, że dokumenty mające świadczyć o analizie ryzyka powinny być konkretne i powiązane z rzeczywistymi zagrożeniami oraz środkami organizacyjnymi i technicznymi. Ogólne deklaracje są słabym zabezpieczeniem przy kontroli.

Przykładowa tabela dokumentów i dowodów

ObszarDokumentDowód wdrożenia
Informowanie pacjentówKlauzula informacyjnaWersja klauzuli na stronie, w rejestracji lub w formularzu
Procesy przetwarzaniaRejestr czynności przetwarzaniaAktualna lista procesów i danych
BezpieczeństwoAnaliza ryzykaLista zagrożeń i dobranych zabezpieczeń
Dostęp do danychZasady nadawania uprawnieńLista użytkowników, role, przegląd dostępów
IncydentyProcedura naruszeń i ewidencjaOpis zdarzeń, decyzje, zgłoszenia, działania naprawcze
DostawcyUmowy powierzeniaLista dostawców, umowy, zakres danych
BackupProcedura kopii zapasowychRaporty kopii i protokół testu odtworzenia
SzkoleniaProcedura lub plan szkoleńLista obecności, zakres szkolenia, data

Co trzeba aktualizować?

Dokumentacja szybko traci wartość, jeżeli nie jest aktualizowana po zmianach w placówce. Nowy program medyczny, nowa firma IT, zmiana poczty, nowy formularz na stronie, nowe stanowiska pracy albo nowy dostawca SMS-ów mogą wymagać zmian w dokumentacji.

Aktualizacji zwykle wymagają:

  • rejestr czynności przetwarzania,
  • lista dostawców,
  • umowy powierzenia,
  • analiza ryzyka,
  • lista użytkowników i uprawnień,
  • klauzule informacyjne,
  • procedura naruszeń,
  • opis zabezpieczeń technicznych,
  • procedury backupu i odtwarzania danych.

Warto robić przegląd dokumentacji co najmniej okresowo oraz zawsze po większej zmianie organizacyjnej lub technicznej.

Najczęstsze błędy w dokumentacji RODO

W placówkach medycznych często pojawiają się podobne problemy.

Dokumenty są gotowe, ale nie pasują do placówki. Opisują procesy, których placówka nie ma, albo pomijają realne systemy i dostawców.

Brakuje dowodów wdrożenia. Procedura istnieje, ale nie ma raportu z backupu, przeglądu uprawnień ani potwierdzenia szkolenia.

Rejestr czynności jest zbyt ogólny. Nie pokazuje, jakie dane są przetwarzane i komu są przekazywane.

Analiza ryzyka jest oderwana od rzeczywistości. Nie uwzględnia poczty, ransomware, backupu, rejestracji, wspólnych kont ani dostawców IT.

Umowy z dostawcami nie są sprawdzone. Placówka nie wie, kto realnie ma dostęp do danych pacjentów.

Dokumentacja nie jest aktualizowana. Po zmianie systemu albo dostawcy dokumenty nadal opisują poprzedni stan.

Co powinno zostać po uporządkowaniu dokumentacji?

Po audycie albo wdrożeniu placówka powinna mieć uporządkowany zestaw dokumentów i dowodów.

W praktyce powinny zostać:

  • aktualne klauzule informacyjne,
  • rejestr czynności przetwarzania,
  • analiza ryzyka,
  • procedura naruszeń,
  • ewidencja naruszeń,
  • lista użytkowników i ról,
  • zasady nadawania i odbierania dostępów,
  • lista dostawców i umów powierzenia,
  • opis backupu i testów odtworzenia,
  • dowody szkoleń i przeglądów,
  • lista zaleceń oraz wykonanych działań.

Taki zestaw pomaga w kontroli, ale też w codziennej pracy. Właściciel placówki wie, co jest uporządkowane, co wymaga poprawy i gdzie znajdują się dowody wykonania działań.

Podsumowanie

Dokumentacja RODO w placówce medycznej powinna być praktyczna. Ma pokazywać, jak placówka informuje pacjentów, kontroluje dostęp do danych, współpracuje z dostawcami, reaguje na incydenty i zabezpiecza systemy.

Najważniejsze są aktualne dokumenty i dowody wdrożenia. Sama polityka ochrony danych nie wystarczy, jeżeli nie ma przeglądów uprawnień, testów backupu, szkoleń personelu, umów z dostawcami i realnej analizy ryzyka.

Dobrze przygotowana dokumentacja porządkuje odpowiedzialność. Dzięki niej placówka wie, kto ma dostęp do danych pacjentów, jakie zabezpieczenia działają, co zrobić po incydencie i jak wykazać zgodność z RODO w praktyce.

Źródła

1. EUR-Lex – Rozporządzenie RODO – https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679

2. Pacjent.gov.pl – Ochrona danych pacjenta – https://pacjent.gov.pl/artykul/ochrona-danych-pacjenta

3. UODO – Kodeks postępowania dla sektora ochrony zdrowia – https://uodo.gov.pl/pl/file/4525

4. UODO – Kodeks postępowania dla małych placówek medycznych – https://uodo.gov.pl/pl/file/4123

5. UODO – Wskazówki dotyczące rejestru czynności przetwarzania – https://uodo.gov.pl/pl/file/708

6. UODO – Czy lekarzom należy nadawać upoważnienia? – https://uodo.gov.pl/pl/676/4269

7. UODO – Nie da się dobrze chronić danych bez odpowiednich procedur – https://uodo.gov.pl/pl/138/2770

8. UODO – decyzja dotycząca analizy ryzyka w szpitalu – https://uodo.gov.pl/pl/138/3803

9. UODO – decyzja dotycząca powierzenia przetwarzania danych – https://orzeczenia.uodo.gov.pl/document/urn%3Andoc%3Agov%3Apl%3Auodo%3A2021%3Adkn_5131_31/content?query=

10. Centrum e-Zdrowia – Fundamentalne wytyczne w zakresie ochrony przed cyberatakami – https://cez.gov.pl/pl/page/o-nas/aktualnosci/fundamentalne-wytyczne-w-zakresie-ochrony-przed-cyberatakami

RODO MEDYCZNE

Specjalistyczne wsparcie w obszarze RODO i bezpieczeństwa informacji dedykowane wyłącznie dla sektora ochrony zdrowia.
Usługi
Audyt RODO
Wdrażanie RODO
Stała Obsługa
Firma
Rodo Stomatologia
Jak pracujemy
O nas
Baza wiedzy
Kontakt
Informacja
Wszystkie nasze audyty są przeprowadzane zgodnie z wytycznymi UODO i ENISA dla sektora zdrowia.
Polityka Prywatności

© 2026 RODO Medyczne. Wszystkie prawa zastrzeżone.

RODO dla placówek medycznych
Wypełnij formularz