RODO w gabinecie dietetyka: orzecznictwo i linia sądowa

Prowadzenie nowoczesnego gabinetu dietetycznego to nie tylko układanie zbilansowanych jadłospisów i motywowanie pacjentów do zmiany nawyków żywieniowych. To także, a może przede wszystkim z punktu widzenia prawa, proces ciągłego i intensywnego przetwarzania danych osobowych. Dietetyk w swojej codziennej pracy styka się z informacjami o charakterze szczególnym – danymi dotyczącymi zdrowia, nawyków, chorób współistniejących, a nierzadko również z wynikami badań laboratoryjnych czy danymi biometrycznymi. W świetle ogólnego rozporządzenia o ochronie danych (RODO), informacje te stanowią tzw. dane wrażliwe, których przetwarzanie obwarowane jest wyjątkowo surowymi restrykcjami. Niniejsza analiza ma na celu przybliżenie kluczowych aspektów prawnych związanych z RODO w gabinecie dietetyka, ze szczególnym uwzględnieniem aktualnego orzecznictwa sądów administracyjnych oraz decyzji Prezesa Urzędu Ochrony Danych Osobowych.

Status prawny dietetyka jako administratora danych

Każdy dietetyk prowadzący własną praktykę gospodarczą – czy to w formie jednoosobowej działalności gospodarczej, czy w ramach spółki – uzyskuje status administratora danych osobowych (ADO). Oznacza to, że samodzielnie decyduje on o celach i sposobach przetwarzania danych swoich pacjentów. Status ten nakłada na niego pełną odpowiedzialność za bezpieczeństwo zgromadzonych informacji od momentu ich pozyskania, aż do chwili ich trwałego usunięcia lub zniszczenia. Przetwarzanie danych w gabinecie dietetyka obejmuje bardzo szeroki zakres informacji. Są to nie tylko podstawowe dane identyfikacyjne, takie jak imię, nazwisko, numer telefonu czy adres e-mail, ale przede wszystkim dane o stanie zdrowia. Zgodnie z art. 9 ust. 1 RODO, przetwarzanie danych o zdrowiu jest co do zasady zabronione, chyba że spełniony zostanie jeden z wyjątków wskazanych w art. 9 ust. 2 RODO. W praktyce gabinetów dietetycznych najczęstszą podstawą prawną umożliwiającą legalne działanie jest wyraźna, dobrowolna i świadoma zgoda pacjenta (art. 9 ust. 2 lit. a RODO) lub – w przypadku dietetyków posiadających status personelu medycznego – realizacja celów profilaktyki zdrowotnej bądź medycyny pracy (art. 9 ust. 2 lit. h RODO).

Ustawa o niektórych zawodach medycznych a RODO

Wejście w życie ustawy z dnia 17 sierpnia 2023 r. o niektórych zawodach medycznych wprowadziło istotne zmiany w postrzeganiu statusu prawnego dietetyków pracujących w podmiotach leczniczych. Ustawa ta reguluje zasady wykonywania zawodu dietetyka m.in. w szpitalach czy przychodniach, co pozwala na zakwalifikowanie ich jako personelu medycznego. W takim przypadku podstawą przetwarzania danych o zdrowiu może być art. 9 ust. 2 lit. h RODO, co zdejmuje z dietetyka obowiązek każdorazowego pobierania odrębnej zgody na przetwarzanie danych medycznych w celach leczniczych i profilaktycznych. Jednakże dietetycy prowadzący prywatne gabinety poza strukturami podmiotów leczniczych, świadczący usługi doradztwa żywieniowego lub wellness, nie zawsze mogą skorzystać z tej podstawy prawnej. Dla nich najbezpieczniejszym i powszechnie zalecanym rozwiązaniem pozostaje opieranie przetwarzania danych o zdrowiu na wyraźnej zgodzie pacjenta udzielonej na piśmie lub w formie elektronicznej przed rozpoczęciem pierwszej konsultacji. Zgoda ta musi być wyraźna, co oznacza, że pacjent musi podjąć aktywne działanie (np. zaznaczyć checkbox lub podpisać oświadczenie), a treść zgody musi być sformułowana prostym i zrozumiałym językiem, oddzielona od innych kwestii, takich jak regulamin świadczenia usług czy zgody marketingowe.

Zasada minimalizacji i adekwatności danych

Jedną z kluczowych zasad RODO, która ma ogromne znaczenie w gabinecie dietetyka, jest zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO). Zgodnie z nią, administrator może przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu, w którym są przetwarzane. Dietetyk musi zatem zadać sobie pytanie, czy wszystkie informacje, o które pyta w kwestionariuszu osobowym lub podczas wywiadu, są mu rzeczywiście potrzebne do ułożenia planu żywieniowego. Zbieranie danych nadmiarowych, np. szczegółowych informacji o sytuacji rodzinnej, finansowej czy poglądach politycznych, które nie mają wpływu na proces dietoterapii, stanowi bezpośrednie naruszenie RODO. Każde pytanie w formularzu wywiadu powinno mieć swoje merytoryczne uzasadnienie powiązane z procesem planowania żywienia i ochrony zdrowia pacjenta.

Obowiązek informacyjny i transparentność przetwarzania

Jednym z fundamentalnych obowiązków każdego administratora danych jest realizacja obowiązku informacyjnego, o którym mowa w art. 13 RODO. Pacjent, przekazując swoje dane, musi dokładnie wiedzieć, kto jest ich administratorem, w jakim celu są zbierane, jak długo będą przechowywane oraz jakie prawa mu przysługują. W gabinecie dietetyka obowiązek ten powinien być realizowany w sposób maksymalnie przejrzysty i przystępny. Praktyka pokazuje, że samo wywieszenie klauzuli informacyjnej na ścianie poczekalni może okazać się niewystarczające w świetle kontroli organu nadzorczego. Klauzula powinna być przedstawiona pacjentowi do zapoznania się przed zebraniem wywiadu dietetycznego. Może to nastąpić poprzez wręczenie dokumentu w formie papierowej do podpisu, udostępnienie go na tablecie w recepcji lub – w przypadku wizyt online – poprzez akceptację odpowiednich formularzy na stronie internetowej gabinetu. Klauzula informacyjna musi zawierać m.in. tożsamość i dane kontaktowe administratora, cele przetwarzania, podstawę prawną, informacje o odbiorcach danych (np. dostawcach oprogramowania do układania diet), okres przechowywania danych oraz pouczenie o prawie do cofnięcia zgody, prawie dostępu do danych, ich sprostowania, usunięcia czy ograniczenia przetwarzania. Dobrą praktyką jest stosowanie tzw. warstwowego obowiązku informacyjnego, gdzie w pierwszej kolejności pacjent otrzymuje najważniejsze informacje (kto przetwarza dane i w jakim celu), a pełna treść klauzuli jest dostępna na żądanie lub pod wskazanym adresem internetowym.

Realizacja praw pacjenta: wniosek, termin i procedura postępowania

RODO wyposaża pacjentów w szereg uprawnień, które administrator musi bezwzględnie respektować. Najważniejszymi z nich są prawo dostępu do danych (w tym uzyskanie ich kopii), prawo do sprostowania, prawo do bycia zapomnianym (usunięcia danych) oraz prawo do ograniczenia przetwarzania. Każde z tych żądań pacjent może zgłosić w dowolnej formie – ustnie, pisemnie lub drogą elektroniczną. Gdy do gabinetu dietetyka wpływa wniosek pacjenta dotyczący realizacji jego praw, kluczowe znaczenie ma czas reakcji. Zgodnie z art. 12 ust. 3 RODO, administrator ma obowiązek udzielić odpowiedzi bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, jednak dietetyk musi poinformować pacjenta o takim przedłużeniu w ciągu pierwszego miesiąca, podając przyczyny opóźnienia. Brak odpowiedzi w terminie lub jej nieuzasadniona odmowa stanowi bezpośrednie naruszenie przepisów RODO i może stać się podstawą do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Szczególne kontrowersje w praktyce budzi wniosek o usunięcie danych (prawo do bycia zapomnianym). Pacjent, który rezygnuje z usług dietetyka, może żądać skasowania całej historii jego wizyt oraz planów żywieniowych. Czy dietetyk musi zawsze spełnić to żądanie? To zależy od statusu prawnego gabinetu i podstawy przetwarzania. Jeśli dane były przetwarzane wyłącznie na podstawie zgody, a dietetyk nie ma obowiązku przechowywania dokumentacji na podstawie innych przepisów (np. ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, jeśli gabinet działa jako podmiot leczniczy), wówczas wycofanie zgody obliguje dietetyka do niezwłocznego usunięcia danych. Jeżeli jednak gabinet podlega przepisom o dokumentacji medycznej, obowiązek jej przechowywania przez określony ustawowo czas (często 20 lat) wyłącza możliwość realizacji prawa do bycia zapomnianym. W takiej sytuacji dietetyk musi odmówić usunięcia danych, szczegółowo uzasadniając swoją decyzję podstawą prawną. Kolejnym prawem jest prawo do przenoszenia danych (art. 20 RODO). Jeśli pacjent chce zmienić dietetyka, ma prawo zażądać, aby jego dane (np. historia pomiarów, wyniki badań, dotychczasowe jadłospisy) zostały mu przekazane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. plik XML, CSV lub PDF), lub przesłane bezpośrednio innemu wskazanemu administratorowi, o ile jest to technicznie możliwe.

Współpraca z podmiotami zewnętrznymi a umowy powierzenia

Współczesny gabinet dietetyczny rzadko funkcjonuje w całkowitej izolacji technologicznej. Dietetycy korzystają ze specjalistycznych programów do układania jadłospisów, systemów do rezerwacji wizyt online (takich jak ZnanyLekarz), zewnętrznych biur rachunkowych, hostingodawców poczty elektronicznej czy dysków w chmurze do przechowywania dokumentacji. Korzystanie z tych narzędzi oznacza, że podmioty trzecie uzyskują dostęp do danych osobowych pacjentów gabinetu. W świetle RODO, podmioty te stają się podmiotami przetwarzającymi (procesorami). Przekazanie im danych bez odpowiedniej podstawy prawnej jest rażącym naruszenie przepisów. Dietetyk ma bezwzględny obowiązek zawarcia z każdym takim podmiotem umowy powierzenia przetwarzania danych osobowych (zgodnie z art. 28 RODO). Umowa ta musi precyzyjnie określać przedmiot i czas trwania przetwarzania, charakter i cel, rodzaj danych osobowych oraz obowiązki i prawa administratora. Przed skorzystaniem z usług danego dostawcy oprogramowania, dietetyk powinien zweryfikować, czy podmiot ten gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Korzystanie z darmowych, nieprofesjonalnych skrzynek e-mailowych czy niezabezpieczonych dysków chmurowych do przesyłania diet zawierających dane o zdrowiu jest jedną z najczęstszych przyczyn wycieku danych i nakładania kar przez organ nadzorczy. Ponadto dietetyk musi pamiętać, że procesor nie może korzystać z usług innego podmiotu przetwarzającego (podpodwykonawcy) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Analiza linii orzeczniczej sądów i decyzji Prezesa UODO

Analiza decyzji administracyjnych wydawanych przez Prezesa Urzędu Ochrony Danych Osobowych oraz wyroków Wojewódzkich Sądów Administracyjnych (WSA) i Naczelnego Sądu Administracyjnego (NSA) pozwala na zrekonstruowanie jednolitej linii orzeczniczej dotyczącej podmiotów świadczących usługi zdrowotne i paramedyczne. Organ nadzorczy stoi na stanowisku, że dane dotyczące zdrowia, jako dane szczególnej kategorii, wymagają najwyższego stopnia ochrony, a wszelkie zaniedbania w tym obszarze będą traktowane ze szczególną surowością. W jednym z postępowań Prezes UODO nałożył karę finansową na placówkę medyczną za wysyłanie wyników badań oraz zaleceń dietetycznych na błędne adresy e-mail. Sytuacja ta bezpośrednio przekłada się na realia gabinetów dietetycznych. Pomyłka w adresie e-mail przy wysyłce jadłospisu, który zawiera szczegółowy opis jednostek chorobowych pacjenta, jego wagę, wiek oraz nawyki, stanowi naruszenie poufności danych. Sądy administracyjne w swoich wyrokach potwierdzają, że administrator odpowiada za błędy swoich pracowników lub własne pomyłki pisarskie, jeśli nie wdrożył procedur weryfikacji tożsamości odbiorcy przed wysyłką (np. poprzez szyfrowanie plików PDF hasłem wysyłanym SMS-em). Innym istotnym wątkiem w orzecznictwie jest kwestia braku umów powierzenia przetwarzania danych. Prezes UODO wielokrotnie nakładał kary na przedsiębiorców, którzy powierzali dane pacjentów firmom informatycznym bez zawarcia pisemnych umów, o których mowa w art. 28 RODO. Linia orzecznicza sądów jednoznacznie wskazuje, że samo posiadanie regulaminu świadczenia usług przez dostawcę oprogramowania nie zwalnia administratora z obowiązku zawarcia dedykowanej umowy powierzenia lub upewnienia się, że regulamin ten spełnia wszystkie rygorystyczne warunki ustawowe. Ponadto sądy administracyjne podkreślają, że wysokość kary administracyjnej powinna być proporcjonalna, ale też skuteczna i odstraszająca. W przypadku naruszenia ochrony danych wrażliwych, nawet u małych przedsiębiorców, organ nadzorczy rzadko poprzestaje na samym upomnieniu, wskazując, że ochrona zdrowia i prywatności pacjentów ma charakter nadrzędny.

Zasada rozliczalności i środki bezpieczeństwa

Zgodnie z art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności). W praktyce oznacza to, że dietetyk musi posiadać odpowiednią dokumentację potwierdzającą wdrożenie procedur ochrony danych. Do podstawowych dokumentów należą: rejestr czynności przetwarzania (RCP), polityka ochrony danych, instrukcja zarządzania systemami informatycznymi, upoważnienia dla personelu do przetwarzania danych oraz rejestr naruszeń. Rejestr czynności przetwarzania jest obowiązkowy dla każdego podmiotu, którego głównym przedmiotem działalności jest przetwarzanie danych wrażliwych na dużą skalę, ale w praktyce zaleca się jego prowadzenie każdemu gabinetowi dietetycznemu, gdyż ułatwia on wykazanie zgodności przed organem nadzorczym. Środki bezpieczeństwa dzielą się na techniczne i organizacyjne. Do środków technicznych zaliczamy m.in. szyfrowanie dysków twardych w komputerach gabinetowych, stosowanie silnych, unikalnych haseł oraz dwuskładnikowego uwierzytelniania (2FA) w systemach dietetycznych, regularne tworzenie kopii zapasowych (backupów) przechowywanych w bezpiecznym miejscu, a także instalację oprogramowania antywirusowego i zapór sieciowych (firewall). Środki organizacyjne to przede wszystkim procedury postępowania, takie jak zasada czystego biurka (niepozostawianie dokumentów papierowych na wierzchu), zasada czystego ekranu (blokowanie komputera przy każdym odejściu od stanowiska), a także fizyczne zabezpieczenie gabinetu (zamki w drzwiach, szafy pancerne na dokumentację papierową, rolety w oknach uniemożliwiające podglądanie ekranu z zewnątrz).

Najczęstsze błędy i uchybienia w gabinetach dietetycznych

Identyfikacja potencjalnych zagrożeń pozwala na uniknięcie dotkliwych konsekwencji prawnych i finansowych. Do najczęstszych błędów popełnianych przez dietetyków należą:

  • Przesyłanie niezabezpieczonych planów dietetycznych: Wysyłanie jadłospisów w formacie PDF lub Word jako zwykłych załączników do wiadomości e-mail, bez jakiegokolwiek szyfrowania czy zabezpieczenia hasłem.
  • Brak fizycznych zabezpieczeń w gabinecie: Pozostawianie kart pacjentów na biurku w obecności innych osób, niezamykanie szaf z dokumentacją papierową na klucz, brak blokady ekranu komputera.
  • Niewłaściwe zbieranie zgód: Stosowanie ogólnych, nieprecyzyjnych formułek, które nie spełniają warunków dobrowolności i konkretności wymaganych przez RODO.
  • Brak weryfikacji tożsamości: Udzielanie informacji o stanie zdrowia pacjenta lub przekazywanie jego wyników badań osobom trzecim (np. partnerowi, rodzicom pełnoletniego pacjenta) bez uprzedniego, pisemnego upoważnienia.
  • Brak umów powierzenia: Korzystanie z usług zewnętrznych księgowych, informatyków czy platform marketingowych bez podpisania umów powierzenia przetwarzania danych.

Praktyczne studium przypadku (case study)

Aby lepiej zobrazować mechanizm działania przepisów RODO oraz konsekwencje ich naruszenia, przeanalizujmy praktyczny przypadek z życia codziennego gabinetu dietetycznego. Pani Anna, prowadząca jednoosobowy gabinet dietetyczny, przygotowała szczegółowy plan żywieniowy dla pacjenta, pana Jana Kowalskiego. Plan ten zawierał informacje o zdiagnozowanej u niego cukrzycy typu II, dnie moczanowej oraz nietolerancji laktozy, a także aktualne wyniki badań krwi. Podczas wysyłania wiadomości e-mail, pani Anna, na skutek autouzupełniania adresów w programie pocztowym, wysłała dokument do innego pacjenta o podobnym nazwisku – pana Janusza Kowalskiego. Pan Janusz po otwarciu wiadomości zorientował się, że dane dotyczą innej osoby, i poinformował o tym dietetyczkę. Jakie kroki w tej sytuacji musi podjąć pani Anna jako administrator danych? Przede wszystkim musi dokonać wewnętrznej oceny ryzyka naruszenia praw i wolności osoby, której dane dotyczą. Ponieważ ujawnione dane należą do szczególnej kategorii (dane o zdrowiu), ryzyko dla praw i wolności pana Jana Kowalskiego jest wysokie (istnieje ryzyko naruszenia jego prywatności, dyskryminacji czy nawet wyłudzenia tożsamości). W związku z tym pani Anna ma obowiązek:

  1. Zgłosić naruszenie ochrony danych osobowych do Prezesa UODO w terminie 72 godzin od stwierdzenia naruszenia. Zgłoszenie to dokonuje się za pomocą specjalnego formularza elektronicznego na platformie biznes.gov.pl.
  2. Niezwłocznie zawiadomić o incydencie samego pana Jana Kowalskiego, opisując prostym językiem charakter naruszenia, możliwe konsekwencje oraz środki podjęte w celu zminimalizowania negatywnych skutków (np. prośba do pana Janusza o trwałe usunięcie wiadomości).
  3. Wprowadzić działania naprawcze, np. wdrożyć zasadę szyfrowania wszystkich wysyłanych planów dietetycznych hasłem przekazywanym osobnym kanałem komunikacji (np. SMS-em).

Zaniechanie zgłoszenia takiego incydentu, w przypadku gdy organ nadzorczy dowie się o nim z innego źródła (np. od niezadowolonego pacjenta), skutkuje niemal gwarantowanym nałożeniem kary administracyjnej, która dla małego przedsiębiorcy może być bardzo dotkliwa finansowo.

Podsumowanie i rekomendacje dla profesjonalistów

Zapewnienie zgodności z RODO w gabinecie dietetyka nie jest jednorazowym zadaniem, lecz procesem wymagającym stałej uwagi. Kluczem do bezpieczeństwa jest świadomość prawna oraz wdrożenie prostych, ale skutecznych procedur technicznych i organizacyjnych. Każdy dietetyk powinien opracować i wdrożyć Politykę Ochrony Danych Osobowych, regularnie szkolić personel pomocniczy, zawierać umowy powierzenia z dostawcami usług oraz dbać o rzetelną realizację praw pacjentów. Prawidłowo wdrożone RODO nie tylko chroni przed karami, ale również buduje profesjonalny wizerunek gabinetu jako miejsca godnego zaufania, gdzie zdrowie i prywatność pacjenta są traktowane z najwyższą powagą. Inwestycja w bezpieczne oprogramowanie, szyfrowanie komunikacji oraz rzetelne procedury to fundament stabilnej i bezpiecznej praktyki dietetycznej w XXI wieku.