Słownik
Administrator danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii Europejskiej lub państwa członkowskiego, to również w prawie Unii lub państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone kryteria jego wyznaczania.
Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, zwłaszcza na podstawie identyfikatora takiego jak:
- imię i nazwisko
- numer identyfikacyjny
- dane o lokalizacji
- identyfikator internetowy
- jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Chodzi zwłaszcza o wykorzystanie ich do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Przetwarzanie danych – oznacza wszelkie operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Są to takie operacje, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Aplikacje IKP i mojeIKP
Aplikacja IKP jest dostępna pod adresem pacjent.gov.pl po zalogowaniu się.
Z aplikacji mojeIKP możesz korzystać na urządzeniach mobilnych po jej pobraniu z odpowiedniego serwisu i zalogowaniu się. Aplikację mojeIKP możesz pobrać:
- dla systemu operacyjnego iOS – z App Store
- dla systemu operacyjnego Android – z Google Play.
Administrator danych osobowych
Administratorem danych osobowych przetwarzanych w systemie e‑zdrowie (P1), w tym do obsługi IKP i mojeIKP, jest Minister Zdrowia.
Kontakt z administratorem danych osobowych
Ministerstwo Zdrowia
ul. Miodowa 15
00-952 Warszawa
e-mail: kancelaria@mz.gov.pl
Kontakt z inspektorem ochrony danych w Ministerstwie Zdrowia
e-mail: iod@mz.gov.pl
elektroniczna skrzynka podawcza: /8tk37sxx6h/SkrytkaESP
Jakie dane przetwarzamy
W systemie e-zdrowie, w tym w IKP i mojeIKP, przetwarzane są dane w zakresie:
- imienia (imion) i nazwiska
- nazwiska rodowego
- płci
- obywatelstwa
- numeru PESEL
- daty urodzenia
- adresu miejsca zamieszkania i adres do korespondencji
- adresu zameldowania
- adresu poczty elektronicznej, jeśli został podany
- numeru telefonu, jeśli został podany
- informacji o uprawnieniach dodatkowych, w tym numerze i terminie ważności dokumentów potwierdzających te uprawnienia oraz dacie utraty tych uprawnień
- danych dotyczących zaświadczenia lekarskiego, o których mowa w art. 55 ust. 3 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2021 r. poz. 1133, 1621 i 1834 oraz z 2022 r. poz. 655)
- informacji o prawie do świadczeń opieki zdrowotnej finansowanych ze środków publicznych
- jednostkowych danych medycznych.
Podstawa prawna przetwarzania danych
Dane w systemie e-zdrowie (P1) przetwarzamy w celach określonych w ustawie o systemie informacji w ochronie zdrowia [2] i zgodnie z tą ustawą. Przetwarzamy je zwłaszcza do obsługi IKP i mojeIKP, czyli m.in. obsługi e‑recept, e‑skierowań czy deklaracji POZ i ich prezentowania Tobie.
Przetwarzamy dane zgodnie z art. 9 ust. 1 litera h) RODO, czyli gdy przetwarzanie jest niezbędne do: celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego.
Czas przechowywania danych
Dane w systemie e‑zdrowie (P1) przechowywane są przez okres wynikający z przepisów prawa, zwłaszcza z:
- art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta [3]: dokumentacja medyczna jest przechowywana przez 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:
- dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon;
- dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu;
- zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie;
- skierowań na badania lub zleceń lekarza, które są przechowywane przez:
- 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza,
- 2 lata, licząc od końca roku kalendarzowego, w którym wystawiono skierowanie – w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie, chyba że pacjent odebrał skierowanie;
- dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez 22 lata.
- art. 55b ust. 2 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa [4]: zaświadczenia lekarskie przetwarzane są przez 3 lata, licząc od końca roku kalendarzowego, w którym je wystawiono.
- art. 96a ust. 9e ustawy Prawo farmaceutyczne [5]: Recepty w postaci elektronicznej są przechowywane w SIM przez co najmniej 5 lat, licząc od zakończenia roku kalendarzowego, w którym:
- nastąpiła refundacja – w przypadku recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego lub wyroby medyczne;
- zostały zrealizowane – w przypadku recept innych niż określone w pkt 3.1.
Twoje prawo do dostępu do danych, ich sprostowania
Każda osoba, której dane przetwarzamy, ma prawo do dostępu do danych osobowych (art. 15 RODO). Dotyczy to zwłaszcza prawa do bezpłatnej pierwszej kopii danych (art. 15 ust. 3 RODO).
Każda osoba, której dane przetwarzamy, ma prawo do niezwłocznego sprostowania swoich danych osobowych, które przetwarza system e-zdrowie (P1). Jeżeli jednak sprostowanie miałoby dotyczyć danych medycznych, to jest ograniczone. Użytkownik ma wówczas prawo do niezwłocznego sprostowania lub uzupełnienia danych osobowych wyłącznie w zakresie, w jakim nie będzie to prowadzić do naruszenia autonomii zawodowej osoby wykonującej zawód medyczny, która dokonała wpisu do dokumentacji medycznej.
Jeśli chcesz mieć dostęp do swoich danych, sprostować je lub usunąć, zażądaj tego od administratora danych.
Twoje prawo do ograniczenia przetwarzania danych, do przeniesienia ich lub wniesienia sprzeciwu
Każda osoba, której dane przetwarzamy, ma prawo do ograniczenia przetwarzania w zakresie zgodnym z art. 18 RODO, jeżeli:
- kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń
- osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Prawo do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych osobowych przetwarzanych w systemie e‑zdrowie (P1), w tym m.in. w celu obsługi IKP na podstawie art. 9 ust. 2 lit. h) RODO. Prawo to nie ma zastosowania zwłaszcza wobec danych przetwarzanych w ramach elektronicznej dokumentacji medycznej i innych przetwarzanych w oparciu o wymienioną przesłankę.
Prawo do przeniesienia danych w zakresie zgodnym z art. 20 RODO nie ma zastosowania do danych przetwarzanych w systemie e-zdrowie (P1).
Każda osoba, której dane przetwarzamy, ma prawo do wniesienia skargi do organu nadzorczego. Jest nim Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, adres e-mail: kancelaria@uodo.gov.pl).
Ograniczenie prawa do usunięcia danych medycznych
Prawo do usunięcia danych (prawo do zapomnienia) nie dotyczy danych medycznych. Nie możesz ich usunąć. Sposób przetwarzania danych medycznych i okres ich przechowywania regulują odrębne przepisy prawa.
Przetwarzanie danych diagnostycznych
Aplikacja mojeIKP wykorzystuje Google Analytics. Szczegóły dotyczące polityki prywatności Google’a dostępne są na stronie Google’a.
Dane przekazywane do Google Analytics dotyczą:
- identyfikacji urządzenia, na którym korzystasz z serwisu pacjent.gov.pl lub aplikacji mobilnej mojeIKP
- Twojej interakcji z funkcjonalnościami na stronie pacjent.gov.pl oraz w aplikacji mojeIKP
- jeśli korzystasz z aplikacji mojeIKP – informacji o awariach, wydajności aplikacji oraz innych informacjach diagnostycznych, które pozwalają na analizę i rozwój funkcjonalności aplikacji.
Do Google Analytics nie są przekazywane żadne dane osobowe ani dane gromadzone i przetwarzane w IKP.
Aplikacja mojeIKP pobiera i przekazuje do systemu e-zdrowie (P1) identyfikator Twojego urządzenia. Robi to po to, aby poprawnie przekazywać powiadomienia PUSH oraz umożliwiać Ci identyfikację urządzeń mobilnych, na których aktywowana została aplikacja mojeIKP.
Podstawa prawna
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
[2] Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2021 r. poz. 666 z późn. zm.).
[3] Ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2020 r. poz. 849).
[4] Ustawa z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2020 r. poz. 870, z późn. zm.).
[5] Ustawa z dnia 6 września 2001 r. – Prawo farmaceutyczne (Dz.U. 2020 r. poz. 944, z późn. zm.).