+48 600 547 728 Zamów audyt
Akty prawne i przepisy

RODO art. 9 - dane wrażliwe pacjentów w klinice

webmaster_kbproject 15 maja 2026 · 4 min czytania
RODO art. 9 - dane wrazliwe pacjentow

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (znane jako RODO/GDPR) reguluje przetwarzanie danych osobowych w UE. Dla branży medycznej kluczowy jest artykuł 9 - dane szczególnej kategorii (dane wrażliwe).

Co to są dane wrażliwe

Art. 9 ust. 1 RODO definiuje 9 kategorii szczególnie chronionych danych:

  1. Pochodzenie rasowe lub etniczne
  2. Poglądy polityczne
  3. Przekonania religijne lub filozoficzne
  4. Przynależność do związków zawodowych
  5. Dane genetyczne
  6. Dane biometryczne w celu jednoznacznej identyfikacji
  7. Dane dotyczące zdrowia
  8. Dane dotyczące seksualności lub orientacji seksualnej
  9. Wyroki skazujące i czyny zabronione

Dla kliniki medycznej kluczowe są punkty 5, 6, 7 i 8. Pełna lista zabiegów pacjenta, wyniki badań, diagnozy, fotografie zabiegowe - to wszystko dane wrażliwe.

Domyślny zakaz przetwarzania

Art. 9 ust. 1: "Zabrania się przetwarzania" danych wrażliwych. Tak, domyślnie ZAKAZ. Wyjątki są w ust. 2 - musi być spełnione co najmniej JEDNO z 10:

Najważniejsze podstawy dla branży medycznej

  • Art. 9 ust. 2 lit. a) - wyraźna zgoda osoby
  • Art. 9 ust. 2 lit. h) - cele profilaktyki, diagnozy medycznej, leczenia (przez personel medyczny)
  • Art. 9 ust. 2 lit. i) - cele zdrowia publicznego

Kiedy potrzebujesz "wyraźnej zgody"

Wyraźna zgoda RODO art. 9 = coś więcej niż zwykła zgoda art. 6 lit. a. Musi być:

  • Dobrowolna - bez przymusu, bez warunkowania usługi
  • Świadoma - osoba wie co podpisuje
  • Konkretna - osobna zgoda na osobny cel
  • Jednoznaczna - aktywne działanie (zaznaczenie checkboxa, NIE pre-checked)
  • Wyraźna (explicit) - jednoznaczne potwierdzenie wyrażenia zgody na dane wrażliwe

Praktycznie: w formularzu rezerwacji online, gdzie pacjent podaje powód wizyty (np. "bole krzyża"), MUSISZ mieć osobny checkbox:

"[ ] Wyrażam wyraźną zgodę na przetwarzanie danych dotyczących mojego zdrowia w celu rezerwacji wizyty i świadczenia usług medycznych. Jestem świadomy/a, że dane te są szczególnie chronione zgodnie z art. 9 RODO."

Najczęstsze błędy w klinkach medycznych

1. Jeden checkbox dla wszystkiego

"Akceptuję regulamin i politykę prywatności" + zgoda na zdrowie + marketing. Nielegalne - musi być minimum 3 osobne zgody.

2. Pre-checked checkboxy

Domyślnie zaznaczony "wyrażam zgodę". UODO interpretuje to jako brak zgody (art. 7 RODO).

3. Brak prawa do wycofania

RODO daje prawo do wycofania zgody w dowolnym momencie. W praktyce: link "wycofaj zgodę" w każdym mailu + opcja "usuń moje konto" w panelu pacjenta.

4. Hosting w USA bez SCC

Dane pacjentów w hostingu poza UE (Bluehost, GoDaddy USA, AWS US) - tylko z Standard Contractual Clauses. Bez SCC = nielegalne.

5. Mailing przez Mailchimp/Constant Contact bez SCC

Te platformy są w USA. Wymagają SCC podpisanego z dostawcą. Mailchimp ma to dostępne ale wymaga aktywacji.

6. Brak rejestru czynności przetwarzania

Art. 30 RODO - obowiązek prowadzenia rejestru czynności. Co najmniej:

  • Jakie dane przetwarzamy (kategorie)
  • W jakim celu (rezerwacja, marketing, księgowość)
  • Komu udostępniamy (procesorzy)
  • Jak długo przechowujemy
  • Jak usuwamy

7. Brak inspektora ochrony danych (IOD)

Art. 37 RODO - obowiązek wyznaczenia IOD dla podmiotów przetwarzających dane wrażliwe na dużą skalę. Klinika z 1000+ pacjentami - musi mieć IOD.

Konsekwencje naruszeń

RODO przewiduje kary do 20 mln euro lub 4% globalnego obrotu (wybiera się wyższą). Dla kliniki w Polsce to może oznaczać:

  • 50 000 - 200 000 zł za naruszenie podstawowe
  • 500 000 - 2 mln zł za naruszenie poważne (wyciek danych)
  • 5+ mln zł za masowe naruszenie

RODO checklist dla kliniki medycznej

  1. Polityka prywatności napisana przez prawnika specjalizującego się w prawie medycznym
  2. Formularz rezerwacji z osobnymi zgodami (rezerwacja + zdrowie + marketing)
  3. System EDM/CRM zgodny z RODO (na serwerach w UE)
  4. Hosting strony WWW w UE (lub USA z SCC)
  5. Rejestr czynności przetwarzania (Excel lub specjalne narzędzie)
  6. Procedury usuwania danych po żądaniu
  7. Procedura zgłaszania incydentów (72h do UODO)
  8. Inspektor Ochrony Danych (IOD) - wyznaczony i zarejestrowany w UODO
  9. Szkolenia personelu z RODO (raz na rok)
  10. Audyt RODO co 12 miesięcy

Marketing zgodny z RODO

medwsieci.pl wszystkie strony WWW dla klinik medycznych są zgodne z RODO. Formularze rezerwacji z osobnymi zgodami, polityki prywatności napisane przez prawników specjalizujących się w branży medycznej, hosting w UE. Sprawdź naszą ofertę stron WWW dla klinik.

Treść ma charakter informacyjny. Pełny tekst RODO: EUR-Lex - Rozporządzenie 2016/679.

Autor webmaster_kbproject

Członek zespołu medwsieci.pl - agencji marketingowej dla branży medycznej i beauty.

Podobne artykuły

Może Cię zainteresować.

Ustawa o wyrobach medycznych cytat
Akty prawne i przepisy 15.05.2026

Ustawa o wyrobach medycznych art. 110-115 - cytat dosłowny
Ustawa o swiadczeniu uslug drogą elektroniczną
Akty prawne i przepisy 15.05.2026

Ustawa o świadczeniu usług drogą elektroniczną - newsletter (cytaty)
KEL art. 63 cytat doslowny
Akty prawne i przepisy 15.05.2026

Kodeks Etyki Lekarskiej art. 63 - cytat dosłowny (reklama lekarza)

Chcesz takich wyników u siebie?

Zamów bezpłatny audyt - 30 minut rozmowy, raport pisemny PDF.

Zamów wycenę → +48 600 547 728
Zamów audyt Zadzwon