Ochrona danych osobowych (RODO)

W związku z tym, iż w Samodzielnym Publicznym Szpitalu Klinicznym Nr 4 w Lublinie, przetwarzamy dane osobowe Pacjentów korzystających z usług naszego Szpitala informujemy, iż dokładamy wszelkich starań, aby dane, którymi dysponujemy były przetwarzane z należytą starannością i dbałością o ich bezpieczeństwo. Wszelkie prawa wynikające z rozporządzenia są realizowane, a szczegółowe informacje dotyczące przetwarzania danych osobowych przez Szpital opisane są w zakładkach.


mgr Karolina Przybylska

Lokalizacja: Blok Operacyjny, parter, pokój 011
E-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
Telefon: 81 72 44 810


Prawo dostępu do Pana/ Pani danych osobowych (Art. 15)

Prawo dostępu do danych osobowych polega na tym, iż może Pani/Pan wystąpić do Szpitala z pytaniem czy Szpital przetwarza Pani /Pana dane osobowe, a jeśli tak może Pani/Pan uzyskać informacje w zakresie wynikającym z art. 15 ust. 1-3 RODO (m.in. na temat: jaki jest cel przetwarzania i okres przechowywania danych osobowych, jakie dane osobowe są przetwarzane, kim są odbiorcy danych osobowych, informacje o przysługujących prawach).

Oprócz informacji, o których mowa powyżej, mogą też Państwo wnioskować o otrzymanie kopii danych osobowych (w tym kopii dokumentacji medycznej). Pierwsze wydanie kopii danych osobowych jest bezpłatne. Za kolejne administrator ma prawo pobrać opłatę w wysokości nie wyższej niż opłaty wskazane w art. 28 ust. 4 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Za kolejne kopie uznaje się w szczególności dokumentację medyczną w zakresie w jakim była uprzednio udostępniona. Pani/Pana Prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób, których dane dotyczą.

Prawo do sprostowania Pani/Pana danych osobowych (Art.16)

Pacjent ma prawo zażądać w każdym momencie niezwłocznego sprostowania danych osobowych go dotyczących, które przetwarza Szpital. Pacjent ma również prawo żądania uzupełnienia niekompletnych danych osobowych na jego temat przetwarzanych przez Szpital, w tym poprzez przedstawienie dodatkowego oświadczenia z tym zastrzeżeniem, że wszelkie aktualizacje danych muszą być ograniczone celem ich przetwarzania, np. nie może Pani/Pan żądać uzupełnienia o dane, które byłyby niezgodne z celem przetwarzania, oraz wprowadzone sprostowanie nie może prowadzić do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu do dokumentacji medycznej.

Prawo do usunięcia Pani/Pana danych, tzw. "prawo do bycia zapomnianym” (Art.17)

Prawo Pacjenta do bycia zapomnianym nie znajduje zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h) RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.

Szpital jest zmuszony odmówić zrealizowania prawa Pacjenta do bycia zapomnianym w odniesieniu do danych osobowych zawartych w dokumentacji medycznej przez cały wymagany przepisami prawa okres archiwizacji dokumentacji medycznej powołując się na przepis art. 29 ust. 1 ustawy o prawach pacjenta w zw. z art. 17 ust. 3 lit. b) RODO.

W przypadku gdy przetwarzanie danych osobowych Pacjenta odbywa się na podstawie zgody Pacjent może zrealizować prawo do bycia zapomnianym w zakresie celu, w którym dane osobowe pacjenta są przetwarzane na podstawie tej zgody, pod warunkiem, że zachodzi przynajmniej jedna z przesłanek wskazanych w art. 17 ust. 1 RODO.

Prawo do ograniczenia przetwarzania (Art.18)

Żądanie do ograniczenia przetwarzania zgodnie z przesłanką określoną w art. 18 ust. 1 lit a) RODO w odniesieniu do danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h) RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę nie jest skuteczne. Szpital może przetwarzać te dane w dotychczasowym zakresie, bowiem ograniczenie przetwarzania danych dokonywanego w celach zdrowotnych mogłoby istotnie utrudnić realizację tych celów.

Prawo do przenoszenia danych (Art. 20)

Prawo Pacjenta do przenoszenia danych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Szpital na podstawie art. 9 ust. 2 lit. h) RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.

Prawo Pacjenta do przenoszenia danych znajduje zastosowanie wyłącznie wobec operacji przetwarzania danych osobowych prowadzonych przez Szpital, które mają charakter zautomatyzowany (nie obejmuje danych przetwarzanych w postaci papierowej) i które prowadzone są w oparciu o zgodę Pacjenta na przetwarzanie danych osobowych lub w oparciu o umowę, której Pacjent jest stroną.

Prawo do sprzeciwu (Art.21)

Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych przez Szpital na podstawie art. 9 ust. 2 lit. h) RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o ww. przesłankę.

Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych znajduje zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez Szpital:

  • w celu wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e) RODO);
  • w oparciu o przesłankę tzw. prawnie uzasadnionych interesów Szpitala jako administratora danych osobowych (art. 6 ust. 1 lit. f) RODO).

Podstawy przetwarzania danych osobowych

  1. Podstawą prawną przetwarzania danych osobowych Pacjentów w celach zdrowotnych przez Szpital są bezpośrednio właściwe przepisy RODO pozostające w związku z przepisami krajowego prawa medycznego.

  2. W szczególności Szpital może przetwarzać dane osobowe Pacjentów, w tym dotyczące zdrowia na podstawie: 

    - art. 9 ust. 2 lit. h) RODO, który wymienia cele zdrowotne przetwarzania;

    - przepisów polskich ustaw z obszaru prawa medycznego, pozostających w związku z celami zdrowotnymi przetwarzania i mogących przy tym zawierać dalsze warunki, w tym ograniczenia, w odniesieniu do przetwarzania danych dotyczących zdrowia.

  3. Dane osobowe Pacjenta mogą być także przetwarzane na podstawie zgody, o której mowa w art. 9 ust. 2 lit. a) RODO.

  4. Przetwarzanie danych osobowych Pacjenta w celach zdrowotnych na podstawie art. 9 ust. 2 lit. h) RODO odbywa się, co do zasady, w związku z wykonywaniem działalności leczniczej zgodnie z ustawą o działalności leczniczej przy zachowaniu obowiązków wynikających z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

  5. W sytuacji, gdy udzielenie Świadczenia zdrowotnego ze względu na swą specyfikę regulowane jest szczegółowo przepisami innych aktów prawnych, zastosowanie znajdą również odpowiednio właściwe przepisy szczegółowe, zawarte m.in. w:

  6. W przypadku udzielania świadczeń w ramach transgranicznej opieki zdrowotnej, podstawę prawną będą stanowiły także przepisy dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej.
  • ustawie o działalności leczniczej;

  • ustawie o ochronie zdrowia psychicznego;

  • ustawie o służbie medycyny pracy;

  • ustawie o Państwowym Ratownictwie Medycznym;

  • ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych;

  • ustawie o publicznej służbie krwi;

  • ustawie o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów;

  • ustawie o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi;

  • ustawie o leczeniu niepłodności;

  • ustawie o systemie informacji w ochronie zdrowia.

Przetwarzanie danych w celach zdrowotnych (niewymagające zgody Pacjenta)

Przepisy RODO określają katalog celów uzasadniających przetwarzanie danych przez Szpital bez konieczności uzyskania zgody Pacjenta, co uzasadnione jest ochroną innych praw podstawowych Pacjenta.

Nie jest wymagana zgoda Pacjenta, jeżeli przetwarzanie jego danych osobowych jest niezbędne do realizacji celów zdrowotnych przetwarzania, czyli do celów:

  1. Profilaktyki zdrowotnej;

  2. Kierowanie zaproszeń na wykonanie szczepień, w szczególności szczepień obowiązkowych – podstawowych i uzupełniających, zgodnie z obowiązującym Programem Szczepień Ochronnych. Przetwarzanie danych osobowych Pacjenta do celów Profilaktyki zdrowotnej w zakresie działań podejmowanych w celu prewencji chorób może mieć miejsce, kiedy jest uzasadnione czynnikami ryzyka oraz wynika ze wskazań aktualnej wiedzy medycznej, wskazań statystycznych lub też, jeżeli wynika ono z przepisów prawa dotyczących Profilaktyki zdrowotnej;

  3. Przetwarzanie danych osobowych Pacjenta do celów Profilaktyki zdrowotnej w zakresie działań do zapewnienia Pacjentowi ciągłości świadczeń zdrowotnych jest niezbędne wtedy, kiedy jest uzasadnione stanem zdrowia Pacjenta lub czynnikami ryzyka lub rokowaniami co do niego zawartymi w Dokumentacji medycznej, którą dysponuje Szpital oraz wynika ze wskazań aktualnej wiedzy medycznej;

  4. Diagnozy medycznej i leczenia;

  5. Zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej;

  6. Zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego.

Przetwarzanie danych w celach innych niż zdrowotne (niewymagające zgody Pacjenta)

Dane osobowe Pacjenta, mogą być przetwarzane przez Szpital bez wymagania udzielania zgody przez Pacjenta także w innych wskazanych w RODO celach, w szczególności w celach określonych w art. 6 ust. 1 lit. b) – f) lub art. 9 ust. 2 lit. c), f), g), i), j) RODO.

Możliwość powołania się na przesłankę art. 9 ust 2 lit. c) RODO opisana występuje w sytuacjach dotyczących zasad przekazywania informacji dotyczących Pacjenta w stanach nagłych.

Zakres przetwarzanych danych (niewymagające zgody Pacjenta) 

  1. Przetwarzane przez Szpital dane osobowe Pacjenta muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów w jakich są przetwarzane;

  2. Z zastrzeżeniem pkt. 1, Szpital, przetwarzając dane osobowe w celach zdrowotnych, może potencjalnie przetwarzać zakres danych osobowych wykraczający poza minimalny zakres danych obowiązkowo zawartych w Dokumentacji medycznej zgodnie z przepisami prawa polskiego. Co do zasady gromadzenie danych obejmujących adres e-mail lub numer telefonu jest adekwatne do celów zdrowotnych, mimo że nie są to dane minimalne, wymagane przez przepisy prawa.

  3. Zakwalifikowanie przetwarzanych przez Szpital danych osobowych Pacjenta jako niestanowiących Dokumentacji medycznej, np. danych zawartych w dokumentacji rozliczeniowej, raportach zarządczych, ankietach ds. jakości itp. nie przesądza o możliwości ich przetwarzania. Oznacza to, iż dane osobowe Pacjenta nieujęte w Dokumentacji medycznej mogą również być przetwarzane w celach zdrowotnych.

Przetwarzanie danych na podstawie zgody Pacjenta

  1. Przetwarzanie danych na podstawie zgody Pacjenta w praktyce funkcjonowania Szpital może mieć niekiedy miejsce w przypadku braku innych podstaw prawnych przetwarzania.

  2. Pacjent ma prawo wycofać zgodę w każdym momencie. Wycofanie zgody powinno następować w równie prosty sposób, jak jej wyrażenie i bez ponoszenia przez Pacjenta kosztów. Wycofanie zgody może nastąpić, w szczególności, w formie ustnej lub pisemnej, poprzez zaznaczenie okienka wyboru na formularzu lub w systemie informatycznym (przy którym są wskazane treści zgód) lub poprzez wybór przez Pacjenta określonych ustawień technicznych w systemie informatycznym, w zależności od rozwiązań przyjętych przez Administratora.