Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski potwierdził, że przetwarzanie danych osobowych pacjentów w celu kierowania do nich zaproszeń na badania przesiewowe jest zgodne z przepisami RODO. W wydanym stanowisku wskazał, że działania takie mieszczą się w zakresie profilaktyki zdrowotnej i mogą być realizowane bez konieczności uzyskiwania zgody pacjenta.
Podstawa prawna w RODO
Jak podkreślono w piśmie skierowanym do Narodowego Instytutu Onkologii im. Marii Skłodowskiej-Curie, podstawą prawną jest art. 9 ust. 2 lit. h RODO. Przepis ten dopuszcza przetwarzanie szczególnych kategorii danych osobowych – w tym danych dotyczących zdrowia – jeżeli jest to niezbędne do celów profilaktyki, diagnozy medycznej lub organizacji systemu opieki zdrowotnej.
Prezes UODO zaznaczył jednak, że takie przetwarzanie musi odbywać się pod ścisłym nadzorem osób zobowiązanych do zachowania tajemnicy zawodowej. Oznacza to konieczność spełnienia wysokich standardów bezpieczeństwa i poufności danych.
Efekt konsultacji z Narodowym Instytutem Onkologii
Stanowisko UODO jest efektem spotkania z przedstawicielami Narodowego Instytutu Onkologii, którzy zwrócili się o interpretację przepisów w kontekście profilaktyki onkologicznej i działalności naukowej. Kluczową kwestią była legalność kierowania zaproszeń na badania przesiewowe do pacjentów.
W odpowiedzi organ nadzorczy potwierdził, że takie działania są zgodne z prawem i wpisują się w szeroko rozumiane działania profilaktyczne systemu ochrony zdrowia.
Kodeks postępowania dla sektora zdrowia
Prezes UODO odwołał się również do Kodeksu postępowania dla sektora ochrony zdrowia, który precyzuje zasady przetwarzania danych. Zgodnie z jego zapisami zgoda pacjenta nie jest wymagana, jeśli przetwarzanie danych służy celom zdrowotnym, w tym profilaktyce.
Do takich działań zaliczają się m.in. zaproszenia na badania przesiewowe czy informacje o szczepieniach realizowanych w ramach Programu Szczepień Ochronnych. Jednocześnie podkreślono, że kodeks może być dowodem należytego działania administratora tylko w przypadku podmiotów, które są jego formalnymi sygnatariuszami.
Wątpliwości wokół Internetowego Konta Pacjenta
W stanowisku zwrócono uwagę na niejasności dotyczące wykorzystania Internetowego Konta Pacjenta (IKP) jako narzędzia komunikacji profilaktycznej. Choć obowiązujące przepisy przewidują dostęp pacjentów do informacji zdrowotnych, nie określają jednoznacznie zasad aktywnego przekazywania takich informacji przez podmioty medyczne.
Zdaniem prezesa UODO konieczne są zmiany legislacyjne, które pozwolą wykorzystać IKP jako pełnoprawny kanał komunikacji – w tym do wysyłania zaproszeń na badania przesiewowe.
Dane pseudonimowe i badania naukowe
W piśmie poruszono także kwestię przetwarzania danych pseudonimowych w badaniach naukowych. Prezes UODO wskazał na potrzebę dostosowania polskich regulacji do unijnych przepisów dotyczących Europejskiej Przestrzeni Danych dotyczących Zdrowia (rozporządzenie 2025/327).
Nowe regulacje umożliwiają przetwarzanie takich danych w uzasadnionych przypadkach, pod warunkiem że jest to niezbędne dla celów naukowych i odbywa się z zachowaniem odpowiednich zabezpieczeń.
Konieczność ochrony praw pacjentów
UODO podkreśla, że przetwarzanie danych osobowych – nawet w celach zdrowotnych – musi respektować prawa i wolności pacjentów. Kluczowe znaczenie ma tu zasada minimalizacji danych oraz wdrożenie odpowiednich środków technicznych i organizacyjnych.
Postulat zmian legislacyjnych
Już 1 września 2025 r. prezes UODO wystąpił do Ministra Zdrowia z wnioskiem o przygotowanie zmian prawnych umożliwiających bezpieczne udostępnianie danych medycznych, m.in. w formie zaszyfrowanej i pseudonimizowanej. Proponowane rozwiązania zakładają wykorzystanie specjalnego „klucza kodującego”, który uniemożliwiałby odbiorcy danych ich ponowną identyfikację.
Minister Zdrowia zadeklarował gotowość do współpracy w tym zakresie, natomiast UODO oczekuje jeszcze na stanowisko Ministra Nauki.
Wnioski
Stanowisko UODO rozwiewa istotne wątpliwości dotyczące zgodności działań profilaktycznych z przepisami o ochronie danych osobowych. Jednocześnie pokazuje, że system prawny w obszarze cyfrowej ochrony zdrowia wciąż wymaga doprecyzowania – szczególnie w kontekście nowych technologii i rosnącej roli danych w medycynie.





