Normy prawa europejskiego

1.1. Konieczność szczególnej ochrony danych o stanie zdrowia podkreślona zo-stała w Konwencja Nr 108 o ochronie osób w kontekście automatycznego przetwa-rzania danych osobowych w systemach informatycznych⁶. Konwencja, z racji swego ogólnego charakteru, nie zawiera rozwiązań szczegółowych, wymienia jedynie spe-cjalne kategorie danych wymagających szczególnej ochrony, wśród których znajdu-ją się dane dotyczące stanu zdrowia. W zakresie tych danych Konwencja wymaga, aby nie podlegały automatycznemu przetwarzaniu, chyba że prawo krajowe gwa-rantuje ich właściwe zabezpieczenie.

1.2. Szczegółowe zasady przetwarzania danych, w tym specjalnych kategorii da-nych zwada-nych w literaturze danymi sensytywnymi, zawiera Dyrektywa 46 / 95

doty-4 Por. zapisy Zalecenia nr R ( 97)5 .

5 Oświadczenie wydane 28 października 1983 r.

6 Konwencja Rady Europy z dnia 28 stycznia 1981 r. ( podpisana przez Polskę – w trakcie ratyfikacji ). Szczegó-łowe omówienie Konwencji, patrz: G. Szpor: Ochrona danych osobowych w ubezpieczeniach społecznych ( w:) Społeczno-ekonomiczne uwarunkowania ubezpieczeń społecznych. Materiały z międzynarodowej konferencji naukowej Bystra Śląska 15-17 listopada 1996 r. pod red. A. Rączaszka, Katowice 1997, s.56 i n.

Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy ...

cząca ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz wolnego przepływu danych⁷. Dyrektywa 46/95 wskazała zasady przetwarzania da-nych osobowych, w tym obowiązki administratorów dada-nych i prawa osób, których dane dotyczą, wyróżniając i nakazując objęciem szczególną ochroną niektórych kategorii danych (danych sensytywnych) jako tych, których nieuprawnione ujaw-nienie mogłoby w szczególny sposób narazić na szkodę osobę, której dane dotyczą.

Wśród danych tych wylicza się także dane o stanie zdrowia.

Podkreślenia wymaga, iż Dyrektywa posługuje się jednolitym terminem „dane o stanie zdrowia”, obejmując tym pojęciem wszystkie dane, w tym np. dane genetycz-ne, czy dane o nałogach⁸.

Generalnie Dyrektywa zabrania przetwarzania danych sensytywnych, dopusz-czając taką możliwość jedynie w ściśle wyliczonych przypadkach. W odniesieniu do danych medycznych zakaz nie ma zastosowania, gdy przetwarzanie danych jest wy-magane dla celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, albo też zarządzania opieką zdrowotną, jak również, gdy dane są przetwarzane przez uprawnionego pracownika służby zdrowia zgodnie z przepi-sami krajowymi lub zasadami ustalonymi przez właściwe krajowe instytucje, z za-strzeżeniem obowiązku zachowania tajemnicy zawodowej przez właściwego pra-cownika służby zdrowia lub przez inną osobę również zobowiązaną do zachowania tajemnicy. Ponadto przetwarzanie danych o stanie zdrowia jest dopuszczalne w przy-padku wyraźnie udzielonej zgody na ich przetwarzanie (chyba, że regulacja prawa krajowego nie dopuszcza uchylenia zakazu przetwarzania tych danych zgodą oso-by, której dane dotyczą), bądź też, gdy przetwarzanie jest konieczne dla wykonania obowiązków i szczególnych uprawnień kontrolera (administratora) w dziedzinie prawa pracy, pod warunkiem, iż prawo krajowe tego dozwala. Dyrektywa dopusz-cza również przetwarzanie danych o stanie zdrowia, gdy przetwarzanie jest konieczne dla ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku, gdy podmiot danych jest fizycznie lub prawnie niezdolny do udzielenia zgody.

Państwa członkowskie mogą ponadto, ze względu na istotny interes publiczny, ustalić dodatkowe zwolnienia z zakazu przetwarzania danych wymagających szcze-gólnej ochrony, poza tymi, które zostały wymienione w powoływanym przepisie Dyrektywy, pod warunkiem zachowania odpowiednich zabezpieczeń.

Jak podkreśla się w komentarzach do Dyrektywy, szczególna ochrona niektó-rych kategorii danych, w tym danych o stanie zdrowia, wynika z faktu, iż przetwo-rzenie tych danych w określonym kontekście może całkowicie zniszczyć prywatność osób⁹.

7 Dyrektywa Parlamentu Europejskiego wydana wspólnie z Radą Unii Europejskiej 24.10.1995 r.

8 Jak podkreśla się w literaturze, dane o stanie zdrowia obejmują – jakkolwiek Dyrektywa tego nie wyszczególnia – wcześniejsze, obecne i przyszłe dane także o zdrowiu psychicznym i upośledzeniu umysłowym, informacje o uzależnieniu od narkotyków i alkoholu, jak też dane genetyczne. Por. U.Dammann, S.Simitis: EG-Datenschut-zrichtlinie. Kommentar, Baden-Baden 1997, s. 156-157.

9 Por. U.Dammann, S.Spiros: EG-Datenschutzrichtlinie. Kommentar, Baden-Baden 1997, s. 161-162; Także:

E.Ehmann, M.Helfrich: EG-Datenschutzrichtlinie. Kurzkommentar, Köln 1999, s. 130-131.

Ewa Kulesza

1.3. Wartości owe, w szczególności prawo do prywatności i prawo do informacyj-nego samookreślenia, podkreślane są w aktach europejskich dotyczących w jakim-kolwiek zakresie danych o stanie zdrowia pacjentów. Relatywnie najnowsza w tym zestawie aktów prawnych Europejska Konwencja Bioetyczna z 1997 r.¹⁰, podkre-ślając w art. 1 obowiązek państw – stron Konwencji zagwarantowania każdej oso-bie ochrony godności i tożsamości człowieka oraz poszanowania integralności każ-dego oraz innych podstawowych wolności w kontekście zastosowań biologii i me-dycyny, poświęca osobny rozdział prawu każdego do prywatności i do informacji.

Zgodnie z art. 10 Konwencji, każda osoba ma prawo do poszanowania jej życia prywatnego w zakresie informacji dotyczących jej zdrowia. Oznacza to – jak wynika ze sprawozdania wyjaśniającego do Konwencji – iż przepis ten podkreśla prawo do poszanowania życia prywatnego, zwłaszcza do poddania szczególnej ochronie in-formacji o stanie zdrowia, jako szczególnej kategorii danych, które jako takie w ramach tej Konwencji podlegają specjalnemu reżimowi ochrony.

1.4. Potrzeba ochrony danych o stanie zdrowia, czy szczególnych kategorii da-nych zdrowotda-nych, znalazła odzwierciedlenie również w aktach europejskich niż-szego rzędu: rekomendacjach, które są wydawane w celu zwrócenia uwagi na okre-ślone zagadnienia, wymagające szczególnej pieczy w ustawodawstwach wewnętrz-nych państw członkowskich Unii.

Szczególne znaczenie w tym zakresie ma Zalecenie nr R (97) 5 Komitetu Mini-strów dla państw członkowskich dotyczące ochrony danych medycznych¹¹. Zalece-nie zawiera wskazówki co do zasad przetwarzania danych medycznych, uprawZalece-nień osób, których dane dotyczą, obowiązków podmiotów przetwarzających dane oraz zasad zabezpieczenia danych.

Zalecenie jest o tyle jeszcze interesujące, że w art. 1 Załącznik zawiera dookre-ślenie pojęć: dane medyczne („wyrażenie dane medyczne odnosi się do jakichkol-wiek danych o charakterze osobowym odnoszących się do stanu zdrowia osoby;

odnosi się ono także do danych mających wyraźny i ścisły związek ze stanem zdrowia oraz danymi genetycznymi”) i dane genetyczne („wyrażenie dane genetyczne -odnosi się do wszystkich danych, bez względu na ich rodzaj, dotyczących cech dzie-dzicznych osoby lub związanych z takimi cechami, stanowiącymi dziedzictwo grupy osób spowinowaconych”).

Zalecenie nakazuje, aby zbieranie i przetwarzanie danych medycznych odbywa-ło się w sposób „lojalny” i dozwolony prawem. Dane medyczne winny być w zasa-dzie zbierane od osoby, której dotyczą. Jeśli natomiast są zbierane z innych źródeł, ich gromadzenie winno wynikać z konieczności zbierania takich danych, zgodnie z zasadami określonymi w zaleceniu oraz pod warunkiem, że jest to niezbędne dla realizowania celu przetwarzania. Dane medyczne mogą być przetwarzane jeśli jest to przewidziane w ustawie i w zakresie, na jaki ustawa zezwala, bądź też jeśli osoba, której dane dotyczą – bądź jej przedstawiciel ustawowy – wyrazi na to zgodę.

10 Konwencja o ochronie praw i godności człowieka w odniesieniu do zastosowania w biologii i medycynie Rady Europy z 4 kwietnia 1997 r.

11 Zalecenie przyjęte 13 lutego 1997 r.

Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy ...

Zalecenie posiada szczególne znaczenie z tego względu, iż zawiera szczegółowe zasady zbierania i przetwarzania danych medycznych. Zgodnie z normami zawarty-mi w Zaleceniu, ma ono zastosowanie do zbierania i automatycznego przetwarza-nia danych medycznych, o ile ustawodawstwo wewnętrzne nie przewiduje właści-wych gwarancji, określając szczegółowo zasady w zakresie ochrony praw osób, któ-rych dane dotyczą, obowiązków administratorów w zakresie zabezpieczenia danych, przepływu transgranicznego, przechowywania danych czy badań naukowych.

1.5. Szczególne miejsce wśród aktów, których celem jest ochrona danych o stanie zdrowia są rekomendacje i rezolucje określające zalecane standardy bioetyczne.

Wymienić tu można choćby Rekomendację 818 (1977) dotyczącą osób psychicz-nie chorych¹², Rezolucję Komitetu Ministrów Rady Europy z maja 1978 r. dotyczą-cą harmonizacji ustawodawstwa państw członkowskich związanego z pobieraniem i przeszczepianiem ludzkich tkanek i organów¹³, Rekomendację Zgromadzenia Parlamentarnego Rady Europy z 1982 r. dotyczącą inżynierii genetycznej¹⁴ czy Rekomendację 1116 (1989 ) Zgromadzenia Parlamentarnego Rady Europy „AIDS a prawa człowieka”¹⁵.

We wszystkich tych dokumentach bardzo silnie podkreślana jest konieczność ochrony tajemnicy lekarskiej oraz zagwarantowanie prawa do ochrony prywatności bądź zapewnienie anonimowości osób, wobec których podejmowane są działania medyczne.

Ochrona danych o stanie zdrowia rozpatrywana i regulowana jest również w kon-tekście przetwarzania danych dla innych celów, aniżeli świadczenia medyczne.

Przykładem w tym zakresie może być : Zalecenie Nr R/89/2 Komitetu Ministrów dla Państw Członkowskich Rady Europy ustalające zasady rejestracji danych doty-czących stanu zdrowia pracownika, objętych tajemnicą lekarską (nakazujące np.

aby dane o stanie zdrowia pracownika, przetwarzane np. przez pracodawcę były oddzielone od innych danych posiadanych przez pracodawcę oraz aby dla tych da-nych były zastosowane odpowiednie środki zabezpieczające przed dostępem do nich osób nie należących do służb lekarskich).

2. Ochrona danych o stanie zdrowia w polskiej ustawie