Review papers
Personal data protection regarding health protection actions

Wstęp
Dane osobowe stanowią obecnie wrażliwą sferę każdego z nas. W dobie informatyzacji i szybkiego rozwoju globalnej sieci internetowej wielu z nas może mieć wrażenie utraty jakiejś części prywatności. Często bowiem zdarza się, że otrzymujemy wszelakiego rodzaju telefoniczne oferty nabycia produktów czy usług, które – tak czy inaczej – mogą być nam potrzebne, ale nie zdążyliśmy nawet pomyśleć o potrzebie ich uzyskania, a już dostajemy wiele propozycji od podmiotów, które nie wiadomo skąd uzyskały nasze dane osobowe. Ma to istotne znaczenie, szczególnie jeżeli będzie to miało związek z danymi dotyczącymi naszego stanu zdrowia czy innych tzw. danych wrażliwych.
Zgodnie z art. 47 Konstytucji Rzeczypospolitej Polskiej każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Prawo do ochrony danych osobowych jest właśnie elementem prawa do ochrony życia prywatnego.
Niniejszy artykuł jest jedynie próbą zarysowania podstawowych regulacji i spostrzeżeń dotyczących przetwarzania danych osobowych w związku z działaniami z zakresu ochrony zdrowia i w żadnym razie nie może być uznany za całościowe i kompleksowe przedstawienie tak obszernego tematu.
Uregulowania obowiązujące w Polsce
Normy dotyczące ochrony danych osobowych można znaleźć w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r., zwana dalej „Ustawą” [1], oraz w rozporządzeniach wykonawczych, a także w innych ustawach. Zadaniem Ustawy nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą Ustawy nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania [2].
Zgodnie z Ustawą każdy ma prawo do ochrony dotyczących go danych osobowych, a ich przetwarzanie może mieć miejsce tylko w trzech przypadkach, tj. po pierwsze – ze względu na dobro publiczne, po drugie – ze względu na dobro osoby, której dane dotyczą, a po trzecie – ze względu na dobro osób trzecich w zakresie i trybie określonym Ustawą.
W rozumieniu Ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, które przetwarzane są w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w systemach informatycznych.
Obowiązki zawarte w Ustawie kieruje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, jak również do podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, a które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Przetwarzanie danych dopuszczalne jest tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgodnie z art. 18 Ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w Ustawie, Generalny Inspektor Ochrony Danych Osobowych kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Normy prawa Unii Europejskiej
W Unii Europejskiej obowiązuje natomiast dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [3]. Omawianą Ustawę konstruowano już na podstawie przytoczonej dyrektywy, z tym zastrzeżeniem, że całkowitą jej zgodność z dyrektywą uzyskano dopiero po jej nowelizacji, która nastąpiła ustawą z 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych [4].
Porównanie Ustawy z przedmiotową dyrektywą pozwala dostrzec wiele różnic występujących między tymi aktami prawnymi, z tym że w istotnej części Ustawa jest zharmonizowana z rozwiązaniami przyjętymi w dyrektywie. Analogiczne są przy tym funkcje tych dwóch aktów prawnych. Z tego powodu też nie można stwierdzić, aby obowiązujące w Polsce przepisy pozwalały wyraźnie na przetwarzanie danych poza granicami przewidzianymi dyrektywą [5].
Dane wrażliwe
Omawiając temat danych osobowych, należy wyróżnić dwa ich rodzaje – zwykłe i wrażliwe. Druga kategoria odnosi się do tych informacji, których ujawnienie może być szczególnie dotkliwe dla osoby, której dotyczą.
Obowiązujące przepisy zabraniają co do zasady przetwarzania danych ujawniających:
• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub filozoficzne,
• przynależność wyznaniową, partyjną lub związkową,
• danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,
• danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Możliwe jest jednak przetwarzanie danych wrażliwych, jeżeli m.in.:
• przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
• przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
• przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Ochrona danych osobowych w zakładzie opieki zdrowotnej a w gabinecie prywatnym
Zasadą jest obowiązek rejestracji zbioru danych osobowych u Generalnego Inspektora Danych Osobowych. Z obowiązku rejestracji zwolnione są jednak podmioty przetwarzające dane dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.
Pojęcie „usługi medyczne” definiuje art. 32e ustawy z 30 sierpnia 1991 r. o zakładach opieki zdrowotnej [6], przez które należy rozumieć świadczenia zdrowotne i związane z ich udzielaniem usługi [7]. Świadczeniem zdrowotnym są natomiast działania służące zachowaniu, ratowaniu, przywracaniu i poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania, w szczególności związane z:
• badaniem i poradą lekarską,
• leczeniem,
• badaniem i terapią psychologiczną,
• rehabilitacją leczniczą,
• opieką nad kobietą ciężarną i jej płodem, porodem, połogiem oraz nad noworodkiem,
• opieką nad zdrowym dzieckiem,
• badaniem diagnostycznym, w tym z analityką medyczną,
• pielęgnacją chorych,
• pielęgnacją niepełnosprawnych i opieką nad nimi,
• opieką paliatywno-hospicyjną,
• orzekaniem i opiniowaniem o stanie zdrowia,
• zapobieganiem powstawaniu urazów i chorób poprzez działania profilaktyczne oraz szczepienia ochronne,
• czynnościami technicznymi z zakresu protetyki i ortodoncji,
• czynnościami z zakresu zaopatrzenia w przedmioty ortopedyczne i środki pomocnicze.
Zgodnie z ustawą o zakładach opieki zdrowotnej świadczenia zdrowotne mogą być udzielane przez zakłady opieki zdrowotnej oraz przez osoby fizyczne wykonujące zawód medyczny lub przez grupową praktykę lekarską, grupową praktykę pielęgniarek, położnych na zasadach określonych w odrębnych przepisach.
Zwolnienie z obowiązku rejestracji dotyczy wyłącznie podmiotów przetwarzających dane w związku z udzielaniem przez nie usług medycznych. Nie będą zatem zwolnione z obowiązku rejestracyjnego podmioty, które nie udzielają usług medycznych, jakkolwiek zarządzają udzielaniem usług medycznych i w związku z tym w szerokim zakresie przetwarzają dane o stanie zdrowia osób ubezpieczonych [8].
Zakład opieki zdrowotnej jest obowiązany prowadzić i udostępniać dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu zgodnie z zasadami zawartymi w ustawie o zakładach opieki zdrowotnej i ciąży na nim obowiązek zapewnienia ochrony danych zawartych w tej dokumentacji. Podobnie lekarz prowadzący prywatny gabinet ma zgodnie z ustawą o zawodzie lekarza obowiązek prowadzenia indywidualnej dokumentacji medycznej pacjenta.
Z uwagi na powyższe zarówno w zakładach opieki zdrowotnej, jak i w prywatnych gabinetach możliwe jest przetwarzanie danych wrażliwych oraz nie ma obowiązku rejestracji zbioru danych osobowych. Na zakładach opieki zdrowotnej oraz lekarzach prowadzących prywatną praktykę ciążą jednak dodatkowe obowiązki narzucone ustawą, związane z prowadzeniem dokumentacji.
Osoba, której dane dotyczą, nie jest jednak wyłącznym dysponentem swoich danych o stanie zdrowia. Prawo do ochrony tych danych nie jest absolutne. Przepisy Ustawy oraz ustaw szczególnych wyznaczają ramy prawne dla legalnego przetwarzania takich danych. Prawo to chroni ponadto, na gruncie publicznoprawnym, Generalny Inspektor Ochrony Danych Osobowych. Nie stanowi naruszenia tego prawa czy instytucji tajemnicy lekarskiej przetwarzanie danych w ramach legalnie wyznaczonego i społecznie akceptowalnego celu [9].
Pozyskiwanie danych osobowych przez podmioty zewnętrzne
Kwestią odrębną jest procedura zbierania danych osobowych przez podmioty, które nie wykonują usług medycznych, ale ich działalność wiąże się z ich wykonywaniem. W grę wchodzą tu choćby firmy farmaceutyczne. Pod uwagę należy tu wziąć przepisy Ustawy.
Zgodnie z art. 25 Ustawy w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, m.in. o:
• adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
• źródle danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• uprawnieniach dotyczących żądania zaprzestania przetwarzania danych w przypadkach określonych w przepisach.
W przypadku wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy, albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. W razie niedopełnienia obowiązku, o którym mowa w ust. 1, osoba, której dane dotyczą, może zwrócić się do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.
Podkreślenia wymaga, że pozyskiwanie danych przez podmioty, o których mowa w niniejszym punkcie, musi się mieścić w przypadkach z art. 23 Ustawy, w których Ustawa zezwoliła na przetwarzanie danych osobowych. Najczęstszą podstawą będzie pkt 5 wyżej wymienionego artykułu, który dopuszcza przetwarzanie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z ust. 4 art. 23 Ustawy za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
W przypadku przetwarzania przez dany podmiot danych, których przetwarzanie nie jest dopuszczalne, albo do których przetwarzania dany podmiot nie jest uprawniony, podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2, a w przypadku danych wrażliwych – karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3. Udzielenie danych osobowych osobie nieupoważnionej zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.
Pozyskiwanie danych osobowych przez izby lekarskie i stowarzyszenia naukowe
Zgodnie z obowiązującym ustawodawstwem pozyskiwanie danych zarówno członków izb lekarskich, jak i stowarzyszeń należy uznać za dozwolone i zwolnione z obowiązku rejestracji u Generalnego Inspektora Danych Osobowych. W myśl art. 43 ust. 1 pkt 4 Ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.
Piśmiennictwo
1. Dziennik Ustaw z 2002 r., Nr 101, poz. 926 z późniejszymi zmianami.
2. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 20 kwietnia 2006 r., sygnatura akt: II SA/Wa 2227/05.
3. Dziennik Ustaw UE. L. 95.281.31, Dz. U. UE-sp. 13-15-355 z późniejszymi zmianami.
4. Dziennik Ustaw z 2004 r., Nr 33, poz. 285.
5. Barta J, Fajgielski P, Markiewicz R. Komentarz do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 02.101.926). W: Ochrona danych osobowych. Komentarz. Barta J, Fajgielski P, Markiewicz R. LEX 2007.
6. Dziennik Ustaw z 2007 Nr14 poz. 89 z późniejszymi zmianami.
7. Dercz M, Rek T, komentarz ABC 2007, Ustawa o zakładach opieki zdrowotnej, Komentarz.
8. Barta J, Fajgielski P, Markiewicz R. Komentarz do art. 43 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 02.101.926). W: Ochrona danych osobowych. Komentarz. Barta J, Fajgielski P, Markiewicz R. LEX 2007.
9. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 kwietnia 2006 r., sygnatura akt: II SA/Wa 183/06, LEX nr 220919.