Wprowadzenie
Prawo do ochrony danych osobowych, a w szczególności danych medycznych, jest przynależne każdemu człowiekowi. Jest to prawo wolnościowe, które cechuje się tym, że pewne sfery życia jednostki pozostają wolne od ingerencji i niedostępne dla innych. Ponadto państwo ma obowiązek stworzenia mechanizmów zabezpie-czających tę sferę. Jednocześnie jest to prawo przyrodzone i niezbywalne, a zasadą jest jego powszechność, równość i trwałość. W niniejszym opracowaniu zostaną wskazane uniwersalne standardy prawa do ochrony danych medycznych, jak rów-nież regulacje międzynarodowe i krajowe, które zaimplementowały te wzorce.
Podstawowe pojęcia
Aby określić czym są dane medyczne należy na początku zdefiniować pojęcie da-nych osobowych. Przepis art. 2 Konwencji nr 108 1 określa dane osobowe jako każdą informację dotyczącą osoby fizycznej o określonej tożsamości lub dającej się ziden-tyfikować. Ustawa o ochronie danych osobowych 2 w art. 6 zawiera definicję danych osobowych, która pokrywa się z wykładnią zawartą w art. 2 Dyrektywy 95/46/WE 3. W myśl art. 6 ustawy za dane osobowe uważa się wszelkie informacje dotyczące zi-dentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zaś osobą
moż-* Wydział Prawa i Administracji, Uniwersytet Śląski.
1 Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automa-tycznym przetwarzaniem danych osobowych. Dz.U. z 2003, nr 3, poz. 25.
2 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dz.U. z 2016, poz. 922.
3 Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE), w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Dz. Urz. WE L 281 z 23.11.1995, s. 31. Dz. Urz. UE Polskie wydanie specjal-ne, rozdz. 13, t. 15, s. 355 z późn. zm.
liwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjolo-giczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ogólne rozporządzenie o ochronie danych 4 utrzymuje definicję danych osobowych z Dyrektywy 95/46/WE, rozszerzając jednak czynni-ki, na podstawie których można zidentyfikować osobę o imię i nazwisko, dane o lo-kalizacji, identyfikator internetowy i czynniki określające genetyczną tożsamość.
Informacje o charakterze medycznym stanowią szczególną kategorię danych osobowych – tzw. dane wrażliwe. Definicja jednostkowych danych medycznych została wskazana w art. 2 pkt 7 ustawy o systemie informacji w ochronie zdrowia 5 i ujmuje dane medyczne w szeroki sposób. Za takie dane uznaje się bowiem nie tylko przesłanki dotyczące stanu zdrowia, ale także wszelkiego rodzaju informacje w zakresie uprawnień do udzielonych, udzielanych i planowanych świadczeń opie-ki zdrowotnej, a także informacje przetwarzane w związku z planowanymi, udzie-lanymi i udzielonymi świadczeniami opieki zdrowotnej oraz profilaktyką i realiza-cją programów zdrowotnych.
Definicja przetwarzania danych osobowych, która zawarta jest w art. 7 pkt 2 Ustawy o ochronie danych osobowych, została zaimplementowana z Dyrektywy 95/46/WE. Zgodnie z tym przepisem przez przetwarzanie rozumie się jakiekolwiek operacje wykonywane (zwłaszcza w systemach informatycznych) na danych osobo-wych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienia-nie, udostępnianie i usuwanie. W tym samym przepisie ustawy, w pkt 4, znajduje się również definicja administratora danych, którym jest organ państwowy lub sa-morządowy, państwowa lub komunalna jednostka organizacyjna, podmiot niepu-bliczny realizujący zadania publiczne lub osoba prawna, jednostka organizacyjna niemająca osobowości prawnej albo osoba fizyczna, przetwarzająca dane w związ-ku z działalnością zarobkową, zawodową bądź dla realizacji celów statutowych, de-cydujące o celach i środkach przetwarzania danych osobowych.
Natomiast ogólne rozporządzenie definiuje przetwarzanie jako operację lub ze-staw czynności wykonywanych na danych osobowych lub ich zespołach w sposób zautomatyzowany lub niezautomatyzowany. W tym kontekście należy wyróżnić zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adapto-wanie lub modyfikoadapto-wanie, pobieranie, przeglądanie, wykorzystyadapto-wanie, ujawnianie
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych). Dz.Urz. UE L, nr 119 z 27.4.2016 r.
5 Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Dz.U. z 2015, poz. 636 z późn. zm.
poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopaso-wywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Pod pojęciem „ad-ministratora” rozumie się osobę fizyczną lub prawną , organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Prawo do ochrony danych medycznych w świetle uniwersalnych standardów praw człowieka
Uniwersalne standardy w zakresie ochrony danych medycznych są zawarte w Powszechnej Deklaracji Praw Człowieka, uchwalonej 10 grudnia 1948 roku przez Zgromadzenie Ogólne ONZ 6 oraz w Międzynarodowym Pakcie Praw Obywatel-skich i Politycznych (MPPOiP) 7.
Przepis art. 12 Powszechnej Deklaracji Praw Człowieka przewiduje, że nikt nie będzie podlegał arbitralnej ingerencji w jego życie prywatne i każdy ma prawo do ochrony prawnej przeciwko takiej ingerencji. Natomiast zgodnie z art. 17 MPPOiP nikt nie może być narażony na samowolną lub bezprawną ingerencję w jego życie prywatne i każdy ma prawo do ochrony prawnej przed tego rodzaju działaniami.
Oznacza to, że poza przypadkami wskazanymi w ustawie, niedopuszczalna jest ja-kakolwiek ingerencja, a w szczególności przekraczająca rozsądne granice w stosun-ku do okoliczności 8. Powyższe przepisy określają fundamentalne prawo do ochro-ny życia prywatnego sensu largo. Ochrona daochro-nych osobowych jest bezsprzecznie elementem prawa do prywatności. Jednak nie tylko przepisy dotyczące ochrony danych osobowych realizują powszechne prawo człowieka do prywatności, jest to bowiem pojęcie znacznie szersze. Należy zwrócić również uwagę na fakt, że prawo do prywatności nie jest prawem absolutnym i istnieją określone przepisami prze-słanki, które mogą usprawiedliwiać ingerencję w tę sferę.
Prawo do ochrony danych medycznych w świetle standardów europejskich.
Konwencja o ochronie praw człowieka i podstawowych wolności
Konwencja o ochronie praw człowieka i podstawowych wolności (EKPC) 9 okre-śla europejski standard w obszarze ochrony danych medycznych.
6 Tekst polski zob. Prawo międzynarodowe publiczne. Wybór dokumentów. Oprac. A. Przybo-rowska-Klimczak. Lublin 2006.
7 Międzynarodowy Pakt Praw Obywatelskich i Politycznych, otwarty do podpisu w Nowym Jor-ku w dniu 19 grudnia 1966 r. Dz.U. z 1977, nr 38, poz. 167.
8 T. Jasudowicz: Wspólny standard do osiągnięcia. Stan urzeczywistnienia. Toruń 1998, s. 262.
9 Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w dniu 4 listo-pada 1950 r. w Rzymie. Dz.U. z 1993, nr 61, poz. 284 z późn. zm.
W myśl art. 8 EKPC każdy ma prawo do poszanowania swojego życia prywat-nego i rodzinprywat-nego, swojego mieszkania i korespondencji. Zgodnie z nim dopusz-czalna jest jedynie taka ingerencja, która jest przewidziana przez przepisy prawa rangi ustawowej. Ponadto, wgląd w takie dane musi być konieczny z powodów wy-mienionych w tych przepisach.
Dodatkowo art. 15 EKPC ściśle wskazuje sytuacje, w których możliwe jest ogra-niczenie prawa do prywatności. Może to nastąpić w przypadku wojny lub innego niebezpieczeństwa publicznego pod warunkiem, że środki te nie są sprzeczne z in-nymi zobowiązaniami wynikającymi z prawa międzynarodowego.
Orzecznictwo ETPC
O uznaniu prawa do ochrony danych medycznych, za objęte zakresem ochrony art. 8 Konwencji, przesądziło orzecznictwo Europejskiego Trybunału Praw Czło-wieka (ETPC). Jednoznacznie potwierdziły tę ochronę dwa orzeczenia wydane przez Trybunał w 1997 roku. ETPC w sprawie Z. v. Finlandia wskazał, że „ochrona danych osobowych, a w szczególności medycznych, ma fundamentalne znaczenie dla korzystania z prawa poszanowania życia prywatnego i rodzinnego, zagwaranto-wanego w art. 8 Konwencji. […]. Prawo wewnętrzne musi zapewnić odpowiednie gwarancje pozwalające zapobiec ujawnianiu danych dotyczących zdrowia poszcze-gólnych osób” 10. Z kolei w sprawie M.S. v. Szwecja Trybunał powtórzył, że ochro-na danych osobowych, w szczególności danych medycznych, ma fundamentalne znaczenie dla korzystania z prawa do poszanowania życia prywatnego i rodzinne-go, zgodnie z art. 8 EKPC 11. Również w nowszym orzecznictwie ETPC podkreśla dużą wagę prawa do ochrony danych medycznych.
Konwencja 108 Rady Europy
Jedną z pierwszych i najważniejszych regulacji europejskich w zakresie ochro-ny daochro-nych osobowych, w tym daochro-nych medyczochro-nych, jest Konwencja 108. Jej celem było wprowadzenie w krajach europejskich ujednoliconej ochrony danych osobo-wych, a przez to umożliwienie swobodnego przepływu informacji na terenie państw członkowskich i zagwarantowanie poszanowania praw i podstawowych wolności, w szczególności prawa do prywatności w związku z automatycznym przetwarza-niem danych osobowych. Konwencja określiła zasady przetwarzania danych oso-bowych, zarówno danych zwykłych (art. 5), jak i wrażliwych (art. 6) w odniesieniu
10 Wyrok ETPC z dnia 25 lutego 1997 r. w sprawie Z. v. Finlandia, nr 22009/93; cyt. za: M.A. No-wicki: Europejski Trybunał Praw Człowieka Orzecznictwo. T. 2. Kraków 2002, s. 672–677.
11 Wyrok ETPC z dnia 27 sierpnia 1997 r. w sprawie M.S. v. Szwecja, nr 20873/93/92.
do każdej osoby fizycznej niezależnie od jej narodowości i miejsca zamieszkania.
W myśl art. 6 Konwencji nie wolno przetwarzać danych medycznych automatycz-nie, chyba że prawo wewnętrzne gwarantuje odpowiednie zabezpieczenia. Natomiast zgodnie z art. 9 Konwencji od stosowania powyższych przepisów można odstąpić jedynie jeżeli jest to konieczne do ochrony państwa, bezpieczeństwa publicznego, interesów walutowych państwa, zwalczania przestępczości lub ochrony podmiotu danych oraz praw i wolności innych osób.
Na mocy Konwencji 108 każdej osobie, której dane są przetwarzane, został przy-znany szereg kompetencji. Przede wszystkim prawo do ustalenia informacji o ist-nieniu zautomatyzowanego zbioru danych osobowych, o jego celach oraz kto jest administratorem danych. Następnie prawo do otrzymywania w czytelnej formie, w rozsądnym czasie, bez zwłoki i nadmiernych kosztów informacji, czy w danym zautomatyzowanym zbiorze znajdują się jej dane osobowe oraz prawo do uzyska-nia potwierdzeuzyska-nia. Dodatkowo prawo do sprostowauzyska-nia lub usunięcia danych, jeśli zostały przetworzone z naruszeniem przepisów prawa oraz prawo do ustalenia for-my zadośćuczynienia w razie nieuwzględnienia prośby o potwierdzenie albo udo-stępnienie, sprostowanie lub usunięcie danych.
Konwencja 108 wąsko odniosła się do kwestii zabezpieczenia danych przewi-dując jedynie, że należy wprowadzić odpowiednie środki bezpieczeństwa w stosun-ku do danych osobowych zarejestrowanych w zautomatyzowanych zbiorach, w celu ich ochrony przed zniszczeniem przypadkowym lub dokonanym bez zezwolenia, oraz przed przypadkową utratą, a także przed udostępnieniem, zmianą lub rozpo-wszechnieniem bez zezwolenia.
Dyrektywa 95/46/WE
Dyrektywa 95/46/WE stanowiła przełom w zakresie ochrony danych osobo-wych w Europie. Stosuje się ją do danych medycznych wchodzących lub mają-cych wejść w skład zbioru danych, przetwarzanego w całości lub części w spo-sób zautomatyzowany, jak również do ich tradycyjnego przetwarzania w zbiorach danych.
W art. 8 Dyrektywy wprowadzono zakaz przetwarzania danych medycznych.
Zakaz ten nie obowiązuje jeżeli osoba, której dane dotyczą, udzieliła m.in. wyraź-nej zgody na ich przetwarzanie. Jednak wewnętrzne przepisy prawa państwa człon-kowskiego mogą przewidywać, że zakaz ten nie może być uchylony mimo udzie-lonej zgody. Takie rozwiązanie ma na celu ochronę słabszej strony, jaką jest osoba, której dane dotyczą, przed wymuszeniem zgody przez stronę silniejszą 12.
12 A. Mednis: Ochrona danych osobowych w Konwencji Rady Europy i Dyrektywie Unii Europej-skiej. „Państwo i Prawo” 1997, nr 6, s. 39.
Dyrektywa przewidziała również szereg innych wyjątków od powyższego za-kazu, wskazując jednocześnie, że państwa członkowskie mogą określić – mając na względzie interes publiczny – inne wyłączenia, pod warunkiem, że zapewnią odpo-wiednie środki zabezpieczające. Wskazać zatem należy, iż Dyrektywa, tak jak Kon-wencja 108, generalnie zakazują przetwarzania danych medycznych, jednak w spo-sób bardziej rozbudowany regulują odstępstwa od tego zakazu, jednocześnie nie wskazując zamkniętego katalogu tych wyjątków.
Odnośnie do wymogów co do jakości przetwarzanych danych Dyrektywa w art. 6 formułuje je w sposób zbliżony do Konwencji 108. Dane medyczne mają być:
a) przetwarzane rzetelnie i legalnie,
b) gromadzone dla jasnych, konkretnych i zgodnych z prawem celów, a także nie-poddawane dalszemu przetwarzaniu w sposób niezgodny z tym przeznacze-niem, chyba że są to cele historyczne, statystyczne lub naukowe i ustanowiono odpowiednie środki zabezpieczające,
c) poprawne, stosowne i nienadmierne w stosunku do celów przetwarzania, d) prawidłowe oraz, w razie konieczności, aktualizowane,
e) przechowywane w postaci i formie umożliwiającej identyfikację osób, któ-rych dane dotyczą, nie dłużej niż jest to konieczne do realizacji celów prze-twarzania.
Dyrektywa, tak jak Konwencja 108, przyznała osobom (właścicielom danych) uprawnienia mające na celu ich kontrolę. Przede wszystkim podmiot danych ma prawo uzyskania od administratora szeregu informacji, których zakres różni się w zależności od tego, czy pozyskał je od tej osoby, czy z innych źródeł. W pierw-szym przypadku administrator powiadamia podmiot danych o swojej tożsamości i ewentualnie przedstawicielu, celach przetwarzania danych, innych informacjach, takich jak – odbiorca lub kategorie odbiorców danych, dobrowolności lub wiązek podania danych i ewentualnych konsekwencjach za zaniechanie tego obo-wiązku oraz prawie do wglądu i sprostowania danych. W sytuacji pozyskiwania danych z innego źródła jest on zobowiązany, nie później niż do momentu pierw-szego ujawnienia ich osobie trzeciej, dodatkowo poinformować osobę, której dane dotyczą, o kategoriach przetwarzanych danych. Obowiązek informacyjny nie musi zostać spełniony gdy osoba, której dane dotyczą, już taką wiedzę posiada, a tak-że wtedy, gdy wymagałoby to niewspółmiernie dutak-żego wysiłku ze strony admini-stratora danych lub gromadzenie tych danych i ich ujawnianie jest wyraźnie prze-widziane przepisami prawa. Ponadto, podmiot danych posiada prawo dostępu do swoich danych medycznych, a także prawo do ich sprostowania, usunięcia lub za-blokowania, jeżeli są one przetwarzane z naruszeniem przepisów, a w szczególno-ści gdy są niekompletne lub niedokładne. W pewnych przypadkach uprawnienia te mogą być jednak ograniczone.
Rekomendacja R(97)5
Szeroka definicja danych medycznych, znajdująca się w ustawie o systemie in-formacji w ochronie zdrowia, pokrywa się z wykładnią zawartą w Rekomendacji R(97)5 13, zgodnie z którą wyrażenie „dane dotyczące zdrowia” ma zastosowanie do wszelkich informacji na temat stanu zdrowia danej osoby. Odnosi się również do da-nych mających oczywisty i ścisły związek ze zdrowiem oraz z danymi genetycznymi.
Powyższa rekomendacja konkretyzuje postanowienia zawarte w Konwencji 108 w zakresie przetwarzania i ochrony szczególnej kategorii danych osobowych, jaką są dane medyczne. Przepisy rekomendacji doprecyzowują przypadki, w któ-rych przetwarzanie danych medycznych jest dopuszczalne – określają zasady prze-twarzania danych medycznych, w tym w związku z badaniami naukowymi, pra-wa osób, których dane dotyczą, dozwolone przypadki ujawnienia danych osobom trzecim, środki zabezpieczenia danych oraz transfer danych za granicę. Przedmio-towa rekomendacja kładzie znaczący nacisk na poszanowanie praw i podstawo-wych wolności, w szczególności prawa do prywatności, które musi być zagwaran-towane podczas gromadzenia i przetwarzania danych medycznych. Jednocześnie wskazuje, że dane medyczne mogą być gromadzone i przetwarzane jedynie zgod-nie z przepisami prawa krajowego, określającymi odpowiedzgod-nie gwarancje przez profesjonalne podmioty ochrony zdrowia lub przez osoby lub organy działające na rzecz tych podmiotów, które powinny podlegać takim samym lub porównywal-nym zasadom poufności.
Ogólne rozporządzenie o ochronie danych osobowych
Wysokie standardy w zakresie ochrony danych osobowych, w tym danych me-dycznych w Europie utrzymuje przyjęte w ostatnim czasie Ogólne rozporządzenie o ochronie danych osobowych, które weszło w życie 25 maja 2018 roku i zastąpi-ło we wszystkich krajach Unii Europejskiej Dyrektywę 95/46/WE oraz uchwalone na jej podstawie krajowe ustawy o ochronie danych osobowych. Rozporządzenie w dużym stopniu powtarza rozwiązania przyjęte w Dyrektywie oraz Rekomenda-cji R(95)7, rozszerzając jednocześnie kategorię danych dotyczących zdrowia. Zgod-nie z art. 4 pkt 15 Rozporządzenia są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Dodatkowo, w myśl motywu 35 Roz-porządzenia, do danych osobowych dotyczących zdrowia należy zaliczyć wszyst-kie fakty o stanie zdrowia osoby, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.
13 Rekomendacja R(97)5 Ministrów Rady Europy do państw członkowskich dotycząca ochrony danych medycznych z dnia 13 lutego 1997 r. Tekst dostępny: https://archiwum.giodo.gov.pl/.
Do danych takich należą: informacje o osobie fizycznej zbierane podczas jej reje-stracji do usług opieki zdrowotnej lub podczas świadczenia usług opieki zdrowot-nej, numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jed-noznacznego jej zidentyfikowania do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przy-kład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane doty-czą, niezależnie od ich źródła.
Rozporządzenie, tak jak Dyrektywa 95/46/WE, zalicza dane dotyczące zdrowia do szczególnych kategorii danych osobowych (art. 9 Rozporządzenia). Zasadą jest, że przetwarzanie tzw. danych wrażliwych, w tym danych genetycznych, danych bio-metrycznych lub danych dotyczących zdrowia, seksualności lub orientacji seksual-nej, jest zabronione. Wyjątki od tego zakazu określa art. 9 ust. 2 Rozporządzenia i są nimi m.in.: wyraźna zgoda podmiotu danych, wypełnienie obowiązków i wykony-wanie szczególnych praw przez administratora lub podmiot danych w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, ochrona żywotnych interesów osoby, której dane dotyczą, gdy jest ona fizycznie lub prawnie niezdolna do wyrażenia zgody; ważny interes publiczny; profilaktyka zdrowotna lub medy-cyna pracy; interes publiczny w dziedzinie zdrowia publicznego.
Dodatkowo art. 9 ust. 4 Rozporządzenia przewiduje, iż państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych: genetycznych, biometrycznych lub dotyczących zdrowia.
Regulacje krajowe Konstytucja RP
Na gruncie prawa polskiego podstaw do ochrony danych osobowych należy do-szukiwać się przede wszystkim w Konstytucji Rzeczypospolitej Polskiej 14 W roz-dziale II określone zostały wolności, prawa i obowiązki człowieka i obywatela, któ-re stanowią podstawę dla któ-regulacji chroniących dane jednostek.
Stosownie do art. 47 Konstytucji każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim ży-ciu osobistym. Natomiast w myśl art. 51 nikt nie może być zobowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (1); wła-dze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (2); każdy
14 Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Dz.U. z 1997, nr 78, poz. 483 z późn. zm.
ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych (3); ograniczenie tego prawa może określić ustawa (4); każdy ma prawo do żąda-nia sprostoważąda-nia oraz usunięcia informacji nieprawdziwych, niepełnych lub zebra-nych w sposób sprzeczny z ustawą (5); zasady i tryb gromadzenia oraz udostępnia-nia informacji określa ustawa (6).
Ustawa o ochronie danych osobowych
Zagadnienia dotyczące ochrony danych osobowych, w tym danych medycznych, określa ustawa o ochronie danych osobowych, która została uchwalona 29 sierpnia 1997 roku. Na przestrzeni lat podlegała ona szeregowi zmian, które miały na celu przeniesienie rozwiązań Dyrektywy 95/46/WE na grunt prawa polskiego.
Zakres przedmiotowy stosowania Ustawy o ochronie danych osobowych wska-zuje jej art. 2, w świetle którego przedmiotem ustawy są wszystkie dane osobowe dotyczące osób fizycznych utrwalone w dowolnej postaci, ze szczególnym uwzględ-nieniem przetwarzania z użyciem systemów informatycznych. Zatem ustawę stosuje się do danych osobowych przetwarzanych w sposób tradycyjny w zbiorach danych oraz do danych przetwarzanych w systemach informatycznych. Zakres stosowania ustawy o ochronie danych osobowych jest zatem szerszy niż Konwencji 108, która odnosiła się jedynie do automatycznego przetwarzania danych, a pokrywa się on z zakresem stosowania Dyrektywy 95/46/WE.
Wymogi jakości przetwarzania danych osobowych, w tym danych medycz-nych, zostały wskazane w art. 26 Ustawy o ochronie danych osobowych. W myśl tego przepisu administrator danych ma dochować szczególnej staranności i zacho-wać następujące zasady przetwarzania danych:
a) zasadę legalności, czyli przetwarzać dane zgodnie z prawem – w przypadku da-nych medyczda-nych chodzi o legitymowanie się choćby jedną przesłanką z art. 27 ust. 2 Ustawy o ochronie danych osobowych;
b) zasadę celowości, czyli zbierać dane dla oznaczonych, zgodnych z prawem ce-lów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami;
c) zasadę merytorycznej poprawności, czyli dbać o merytoryczną poprawność zbieranych danych;
d) zasadę adekwatności danych, czyli dbać o zgodność danych w stosunku do
d) zasadę adekwatności danych, czyli dbać o zgodność danych w stosunku do