Kto odpowiada za dane pacjentów „w chmurze” i na co zwrócić uwagę przy zmianie dostawcy? 

Placówki medyczne coraz częściej działają na systemach dostępnych online, w których dane przechowywane są w infrastrukturze chmurowej zapewnianej przez zewnętrznego dostawcę systemu. Tego typu rozwiązania wykorzystywane są m.in. do prowadzenia dokumentacji medycznej, obsługi wizyt, zarządzania kalendarzem czy telemedycyny. Jak ich wykorzystanie wpływa na kwestie ochrony danych i kto w takiej sytuacji za nie odpowiada? 

Co zmienia przejście na systemy chmurowe w zarządzaniu danymi? 

Model chmurowy jest coraz popularniejszy m.in. ze względu na jego wygodę – eliminuje konieczność utrzymywania własnej infrastruktury, przyspiesza wdrożenie oraz zapewnia dostęp do danych z różnych lokalizacji i urządzeń. W praktyce rodzą się jednak istotne pytania: 

  • Kto ponosi odpowiedzialność za dane pacjentów w chmurze? 
  • Czy placówka ma możliwość ich przeniesienia do innego systemu? 
  • Jakie problemy mogą pojawić się w trakcie takiego procesu? 

W sektorze medycznym dane pacjentów nie funkcjonują w oderwaniu od procesów leczenia – stanowią element dokumentacji medycznej i całej infrastruktury organizacyjnej placówki.  

W modelu chmurowym dochodzi więc do rozdzielenia funkcji pomiędzy: 

  • podmiot prowadzący placówkę, który odpowiada za udzielanie świadczeń zdrowotnych i przetwarzanie danych pacjentów,  
  • dostawcę systemu, który zapewnia środowisko techniczne, w którym dane są przetwarzane i przechowywane.  

Taki podział wynika z modelu usługowego, jednak nie zmienia podstawowej zasady odpowiedzialności wobec pacjenta.  

To placówka medyczna pozostaje odpowiedzialna za prawidłowe przetwarzanie danych pacjentów w chmurze oraz udostępnianie dokumentacji medycznej również wtedy, gdy korzysta z infrastruktury zewnętrznego dostawcy.  

Role placówki medycznej i dostawcy systemu chmurowego w kontekście danych osobowych pacjentów 

Z perspektywy przepisów o ochronie danych osobowych sytuacja jest stosunkowo jasna. Placówka medyczna pełni rolę administratora danych, ponieważ decyduje o celach i sposobach ich przetwarzania. Dostawca systemu działa natomiast jako podmiot przetwarzający i świadczący usługę na jej rzecz. 

Rzeczywisty zakres kontroli nad danymi pacjentów w chmurze określają zarówno postanowienia umowne regulujące relację z dostawcą, jak i ograniczenia wynikające z architektury systemu.  

Umowa między placówką medyczną a dostawcą chmurowym powinna więc określać ramy prawne współpracy, natomiast system wyznacza granice faktycznej możliwości zarządzania danymi – w szczególności w zakresie ich bieżącego przetwarzania, eksportu, integracji oraz dalszego wykorzystania w innych systemach. 

Newralgiczne sytuacje w cyklu życia systemu chmurowego 

W zakresie administrowania danymi pacjentów w chmurze dostarczanej przez zewnętrznego dostawcę pojawia się kilka newralgicznych kwestii, w których warto zachować szczególną ostrożność. Chodzi przede wszystkim o sytuacje związane z incydentami bezpieczeństwa, wykorzystaniem danych np. do celów analitycznych czy zmianą dostawcy. Kto jest odpowiedzialny za ochronę danych w takich sytuacjach? 

Incydenty bezpieczeństwa 

W przypadku naruszeń ochrony danych odpowiedzialność spoczywa na placówce – to ona musi: 

  • ocenić incydent,  
  • zgłosić go do organu nadzorczego,  
  • skontaktować się z pacjentami oraz wdrożyć działania naprawcze. 

Jednocześnie to dostawca systemu ma często kluczowe informacje techniczne dotyczące zdarzenia. Dlatego brak jasno uregulowanych procedur współpracy może prowadzić do opóźnień w procesie zgłoszenia incydentu lub braku pełnych danych niezbędnych do oceny ryzyka naruszenia. 

Wykorzystanie danych przez dostawcę 

Szczególnej analizy wymagają sytuacje, w których dane mogą być wykorzystywane poza świadczeniem usługi utrzymania systemu. Dotyczy to w szczególności celów analitycznych oraz rozwoju produktu. W przypadku danych medycznych nawet dane zagregowane mogą wymagać odrębnej oceny pod kątem dopuszczalności ich przetwarzania. 

Zmiana dostawcy 

Praktycznym testem modelu chmurowego jest migracja do innego systemu. W kontekście dokumentacji medycznej istotne jest rozróżnienie dokumentacji medycznej jako kategorii prawnej od formy jej prowadzenia, która podlega dodatkowym wymaganiom techniczno-organizacyjnym

Podmiot wykonujący działalność leczniczą musi zapewnić nie tylko dostępność czy integralność dokumentacji, ale również możliwość jej prowadzenia i udostępniania przez wymagany przepisami okres. Obejmuje to także obowiązek ukształtowania systemu tak, aby umożliwiał eksport danych oraz ich wykorzystanie w innym środowisku

Problemy pojawiają się, gdy dane są zapisane w zamkniętych, niestandardowych formatach lub silnie zależne od architektury konkretnego systemu. To może utrudniać ich przeniesienie bez utraty funkcjonalności lub czytelności i może prowadzić do „związania” współpracą z danym podmiotem. 

W tym kontekście istotne znaczenie ma unijna regulacja Data Act, obowiązująca od września 2025 r. Wzmacnia ona pozycję podmiotów korzystających z systemów chmurowych – w szczególności w zakresie dostępu do danych oraz przenoszenia ich do innego dostawcy – a także ograniczania barier technicznych, organizacyjnych i umownych przy migracji.  

Na co zwrócić uwagę przy wdrażaniu systemu chmurowego? 

Ryzyka często nie wynikają tylko z samej technologii, ale również z założeń przyjmowanych na etapie rozpoczęcia współpracy i wdrażania systemu. Do typowych błędów należą: 

  • nadmierne poleganie na deklaracjach dostawcy bez ich weryfikacji oraz zabezpieczenia kluczowych kwestii w umowie, 
  • traktowanie wdrożenia systemu jako wyłącznie projektu IT,  
  • brak analizy rzeczywistego przepływu danych,  
  • nieuwzględnianie scenariusza zmiany dostawcy w przyszłości, w tym eksportu danych. 

Szczególnie problematyczne jest założenie, że deklaracja zgodności dostawcy z rynkowymi standardami automatycznie zapewnia zgodność placówki z jej obowiązkami prawnymi. 

Podsumowanie 

Odpowiedzialność za dane pacjentów w systemach chmurowych nie znika wraz z przeniesieniem ich do infrastruktury dostawcy systemu. W praktyce oznacza to, że choć wiele kwestii związanych z danymi – takich jak ich dostępność, możliwość eksportu czy integracja z innymi systemami – zależy od rozwiązań technicznych dostarczonych przez zewnętrznego dostawcę, to odpowiedzialność pozostaje po stronie placówki medycznej. Jej wykonywanie odbywa się jednak w warunkach ograniczonej, pośredniej kontroli. 

W tym kontekście znaczenie zyskują regulacje takie jak Data Act, które co prawda ułatwiają przenoszenie danych między dostawcami, ale nie zastępują kwestii takich jak: 

  • ocena działania systemu w praktyce czy 
  • odpowiednie zabezpieczenie umowne współpracy z dostawcą systemu.  

Jeśli potrzebują Państwo wsparcia w opracowaniu takiego kontraktu lub pomocy przy utworzeniu procesów oceny i zgłoszenia incydentów, to zachęcamy do kontaktu. 

Autor :
Paweł Kaczmarek
Senior Associate Adwokat | OW Legal
Specjalizuje się w obszarze ochrony danych osobowych i bezpieczeństwa informacji, TMT, prawa konsumenckiego oraz compliance (w tym whistleblowingu).

może zainteresuje Cię również