85 700 00 00 Zamów audyt
Akty prawne i przepisy

RODO art. 9 – dane wrażliwe pacjentów w klinice

webmaster_kbproject 15 maja 2026 · 4 min czytania
RODO art. 9 - dane wrazliwe pacjentow

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (znane jako RODO/GDPR) reguluje przetwarzanie danych osobowych w UE. Dla branży medycznej kluczowy jest artykuł 9 – dane szczególnej kategorii (dane wrażliwe).

Co to są dane wrażliwe

Art. 9 ust. 1 RODO definiuje 9 kategorii szczególnie chronionych danych:

  1. Pochodzenie rasowe lub etniczne
  2. Poglądy polityczne
  3. Przekonania religijne lub filozoficzne
  4. Przynależność do związków zawodowych
  5. Dane genetyczne
  6. Dane biometryczne w celu jednoznacznej identyfikacji
  7. Dane dotyczące zdrowia
  8. Dane dotyczące seksualności lub orientacji seksualnej
  9. Wyroki skazujące i czyny zabronione

Dla kliniki medycznej kluczowe są punkty 5, 6, 7 i 8. Pełna lista zabiegów pacjenta, wyniki badań, diagnozy, fotografie zabiegowe – to wszystko dane wrażliwe.

Domyślny zakaz przetwarzania

Art. 9 ust. 1: „Zabrania się przetwarzania” danych wrażliwych. Tak, domyślnie ZAKAZ. Wyjątki są w ust. 2 – musi być spełnione co najmniej JEDNO z 10:

Najważniejsze podstawy dla branży medycznej

  • Art. 9 ust. 2 lit. a) – wyraźna zgoda osoby
  • Art. 9 ust. 2 lit. h) – cele profilaktyki, diagnozy medycznej, leczenia (przez personel medyczny)
  • Art. 9 ust. 2 lit. i) – cele zdrowia publicznego

Kiedy potrzebujesz „wyraźnej zgody”

Wyraźna zgoda RODO art. 9 = coś więcej niż zwykła zgoda art. 6 lit. a. Musi być:

  • Dobrowolna – bez przymusu, bez warunkowania usługi
  • Świadoma – osoba wie co podpisuje
  • Konkretna – osobna zgoda na osobny cel
  • Jednoznaczna – aktywne działanie (zaznaczenie checkboxa, NIE pre-checked)
  • Wyraźna (explicit) – jednoznaczne potwierdzenie wyrażenia zgody na dane wrażliwe

Praktycznie: w formularzu rezerwacji online, gdzie pacjent podaje powód wizyty (np. „bole krzyża”), MUSISZ mieć osobny checkbox:

„[ ] Wyrażam wyraźną zgodę na przetwarzanie danych dotyczących mojego zdrowia w celu rezerwacji wizyty i świadczenia usług medycznych. Jestem świadomy/a, że dane te są szczególnie chronione zgodnie z art. 9 RODO.”

Najczęstsze błędy w klinkach medycznych

1. Jeden checkbox dla wszystkiego

„Akceptuję regulamin i politykę prywatności” + zgoda na zdrowie + marketing. Nielegalne – musi być minimum 3 osobne zgody.

2. Pre-checked checkboxy

Domyślnie zaznaczony „wyrażam zgodę”. UODO interpretuje to jako brak zgody (art. 7 RODO).

3. Brak prawa do wycofania

RODO daje prawo do wycofania zgody w dowolnym momencie. W praktyce: link „wycofaj zgodę” w każdym mailu + opcja „usuń moje konto” w panelu pacjenta.

4. Hosting w USA bez SCC

Dane pacjentów w hostingu poza UE (Bluehost, GoDaddy USA, AWS US) – tylko z Standard Contractual Clauses. Bez SCC = nielegalne.

5. Mailing przez Mailchimp/Constant Contact bez SCC

Te platformy są w USA. Wymagają SCC podpisanego z dostawcą. Mailchimp ma to dostępne ale wymaga aktywacji.

6. Brak rejestru czynności przetwarzania

Art. 30 RODO – obowiązek prowadzenia rejestru czynności. Co najmniej:

  • Jakie dane przetwarzamy (kategorie)
  • W jakim celu (rezerwacja, marketing, księgowość)
  • Komu udostępniamy (procesorzy)
  • Jak długo przechowujemy
  • Jak usuwamy

7. Brak inspektora ochrony danych (IOD)

Art. 37 RODO – obowiązek wyznaczenia IOD dla podmiotów przetwarzających dane wrażliwe na dużą skalę. Klinika z 1000+ pacjentami – musi mieć IOD.

Konsekwencje naruszeń

RODO przewiduje kary do 20 mln euro lub 4% globalnego obrotu (wybiera się wyższą). Dla kliniki w Polsce to może oznaczać:

  • 50 000 – 200 000 zł za naruszenie podstawowe
  • 500 000 – 2 mln zł za naruszenie poważne (wyciek danych)
  • 5+ mln zł za masowe naruszenie

RODO checklist dla kliniki medycznej

  1. Polityka prywatności napisana przez prawnika specjalizującego się w prawie medycznym
  2. Formularz rezerwacji z osobnymi zgodami (rezerwacja + zdrowie + marketing)
  3. System EDM/CRM zgodny z RODO (na serwerach w UE)
  4. Hosting strony WWW w UE (lub USA z SCC)
  5. Rejestr czynności przetwarzania (Excel lub specjalne narzędzie)
  6. Procedury usuwania danych po żądaniu
  7. Procedura zgłaszania incydentów (72h do UODO)
  8. Inspektor Ochrony Danych (IOD) – wyznaczony i zarejestrowany w UODO
  9. Szkolenia personelu z RODO (raz na rok)
  10. Audyt RODO co 12 miesięcy

Marketing zgodny z RODO

medwsieci.pl wszystkie strony WWW dla klinik medycznych są zgodne z RODO. Formularze rezerwacji z osobnymi zgodami, polityki prywatności napisane przez prawników specjalizujących się w branży medycznej, hosting w UE. Sprawdź naszą ofertę stron WWW dla klinik.

Treść ma charakter informacyjny. Pełny tekst RODO: EUR-Lex – Rozporządzenie 2016/679.

Autor webmaster_kbproject

Członek zespołu medwsieci.pl - agencji marketingowej dla branży medycznej i beauty.

Podobne artykuły

Może Cię zainteresować.

Wytyczne NIA - reklama aptek
Akty prawne i przepisy 15.05.2026

Wytyczne NIA dla aptek – reklama apteki w 2026 r.
Ustawa o wyrobach medycznych - reklama
Akty prawne i przepisy 15.05.2026

Ustawa o wyrobach medycznych – reklama urządzeń i sprzętu
Kodeks Etyki Lekarskiej - reklama lekarza
Akty prawne i przepisy 15.05.2026

Kodeks Etyki Lekarskiej – co lekarz może powiedzieć w reklamie

Chcesz takich wyników u siebie?

Zamów bezpłatny audyt - 30 minut rozmowy, raport pisemny PDF.

Zamów wycenę → +48 85 700 00 00
Zamów audyt Zadzwon