Obowiązująca od 30 kwietnia 1998 r. polska ustawa z dnia 29 sierpnia 1997 r

o ochronie danych osobowych¹⁶ wymienia dane o stanie zdrowia wśród danych szcze-gólnie chronionych.

Jednakże polski ustawodawca szerzej, niż Dyrektywa określił dane, które można zaliczyć do danych o stanie zdrowia. Art. 27 ustawy o ochronie danych zabrania

12 Rekomendacja Zgromadzenia Parlamentarnego Rady Europy dotycząca sytuacji osób chorych psychicznie z 8 października 1977 r.

13 Rezolucja Nr (78)29 z 11 maja 1978 r.

14 Rekomendacja 934 (1982)

15 Rekomendacja z 29 września 1989 r.

16 Dz.U. Nr 133, poz. 883.

Ewa Kulesza

przetwarzania danych m.in. ujawniających „dane o stanie zdrowia, kodzie gene-tycznym i nałogach”. Jak podkreśla się w literaturze „nałogi stanowią wprawdzie swego rodzaju informację związaną ze stanem zdrowia, niemniej jednak w nomen-klaturze medycznej nie można ich uznać za jednostkę chorobową i dlatego zostały wyodrębnione jako osobna kategoria danych objętych zakazem przetwarzania”¹⁷. Z kolei kod genetyczny został wyodrębniony wśród danych wymagających szcze-gólnej ochrony, „ponieważ informacja genetyczna ujawnia nie tylko stan zdrowia osoby, ale także inne dane, np. skłonności osoby do określonych zachowań, w tym zachowań przestępczych”¹⁸. Zdaniem przedstawicieli Unii Europejskiej analizują-cych polskie ustawodawstwo o ochronie danych osobowych z punktu widzenia zgod-ności z Dyrektywą 46/95, ustawodawca polski poszedł za daleko wyodrębniając dodatkowo dwa rodzaje danych, gdyż postanowienia Dyrektywy, jako aktu harmo-nizacyjnego, powinny być w odniesieniu do danych sensytywnych wprost przenie-sione do ustawodawstw krajowych. Zgodnie z Dyrektywą, art. 27 polskiej ustawy powinien wymieniać jedynie dane o stanie zdrowia¹⁹.

Przyznać trzeba, iż inne ustawodawstwa europejskie nie poszerzają pojęcia chro-nionych danych o stanie zdrowia o owe dodatkowe elementy wprowadzone do art.

27 polskiej ustawy o ochronie danych osobowych.

Podobnie, jak w Dyrektywie, przy generalnym zakazie przetwarzania danych sen-sytywnych, ustawa dopuszcza przetwarzanie w ściśle wyliczonych przypadkach. Do-puszczalne jest zatem przetwarzanie²⁰ danych szczególnie chronionych, w tym da-nych o stanie zdrowia – jeżeli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie (pkt. 1); jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą i stwarza pełne gwarancje ich ochro-ny (pkt. 2); jeżeli przetwarzanie takich daochro-nych jest niezbędne dla ochroochro-ny żywot-nych interesów osoby, której dotyczą lub innej osoby, gdy osoba, której dane doty-czą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora (pkt. 3); gdy przetwarzanie jest niezbędne do wyko-nania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (pkt. 6); gdy przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzaniem, udzielaniem usług me-dycznych i są stworzone pełne gwarancje ochrony danych osobowych (pkt. 7); wresz-cie, gdy przetwarzanie dotyczy danych, które zostały podane do publicznej

wiado-17 A.Mednis: Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s.82;

18 A. Mednis: Ustawa..., op.cit. s. 82;

19 W związku z zarzutem ze strony organów unijnych, zapis art. 27 ustawy o ochronie danych osobowych zostanie zmieniony w trakcie przygotowywanej nowelizacji ustawy.

20 Pod pojęciem przetwarzania danych, zgodnie z art. 7 ustawy, rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie, jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp-nianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy ...

mości przez osobę, której dotyczą (pkt. 8)²¹. Każda z wyliczonych przesłanek stano-wi odrębną podstawę przetwarzania danych, co oznacza, że jeśli np. przepis szcze-gólny innej ustawy zezwala na przetwarzanie takich danych, bądź też, jeśli spełnio-ne są przesłanki przetwarzania danych o stanie zdrowia, opisaspełnio-ne w pkt. 7 powoły-wanego przepisu art. 27 ust. 2, zbędne jest już żądanie zgody od osoby, której dane dotyczą²².

Ustawodawca ustalił w art. 27 wyższe standardy ochrony, niż ma to miejsce w przepisach określających przetwarzanie danych umownie zwanych „zwykłymi”. I tak, zgoda osoby, której dane dotyczą, na przetwarzanie danych sensytywnych, musi być wyrażona na piśmie, podczas gdy w przypadku przetwarzania danych „zwy-kłych” wystarczy zgoda wyrażona w jakiejkolwiek formie (także ustnie). W obu przypadkach musi być to oświadczenie woli, którego treścią jest zgoda na przetwa-rzanie danych osobowych tego, kto składa oświadczenie i nie może być domniema-ne lub dorozumiadomniema-ne z oświadczenia woli o indomniema-nej treści. Ponadto podkreślenia wy-maga fakt, iż zgoda pacjenta musi obejmować określony cel i zakres ujawnianych danych, nie może to być zatem zgoda niejako in blanco w niedookreślonym zakresie i celu udostępnienia danych. Przypomnieć należy, że ustawa z 5 grudnia 1996 r. o zawodzie lekarza²³ stawia dalej idące warunki, bowiem nakłada na lekarza general-nie obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyska-nych w związku z wykonywaniem zawodu (art. 40). Informacje dotyczące stanu zdro-wia pacjenta udzielane są przez lekarza temuż pacjentowi lub jego ustawowemu przed-stawicielowi, natomiast innym osobom mogą być udzielane tylko za zgodą pacjenta, gdy pacjent lub jego przedstawiciel ustawowy wyraża na to zgodę (art. 31 ust. 3), a ponadto ujawnienie może nastąpić dopiero po uprzednim poinformowaniu o nieko-rzystnych dla pacjenta skutkach ujawnienia jego danych o stanie zdrowia. Zapis ten oznacza, iż pacjent może wyrazić zgodę na udostępnienie danych osobom trzecim, jednakże każde udostępnienie danych przez lekarza powinno być poprzedzone indy-widualną informacją pacjenta o skutkach ujawnienia danych.

21 W wyliczeniu pominięte zostały przesłanki przetwarzania danych osobowych szczególnie chronionych, nie wy-korzystywane jako podstawy przetwarzania danych o stanie zdrowia. Art. 27 ust. 2 określa ponadto, jako prze-słanki przetwarzania sytuacje, gdy przetwarzanie danych jest niezbędne do wykonania statutowych zadań ko-ściołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych ( pkt. 4 ) a także, gdy przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (pkt. 5).

22 Powszechną praktyką w zakładach opieki zdrowotnej jest żądanie udzielenia zgody na przetwarzanie danych o stanie zdrowia, podczas gdy ZOZ-y prowadząc działalność w celu ochrony zdrowia, świadczenia usług medycz-nych, leczenia pacjentów, spełniają już przesłankę opisaną w art. 27 ust. 2 pkt. 7 ustawy. Owo zbędne w świetle przepisów ustawy o ochronie danych osobowych żądanie wyrażenia zgody przyjmowane jest przez pacjentów z nieufnością, podejrzewają bowiem, że ich dane będą wykorzystywane nie tylko w celu leczenia, bądź też, że jest to rodzaj szantażu: albo podpisują zgodę i świadczenie jest im udzielane, albo nie podpisują i otrzymają odmo-wę np. skierowania do sanatorium;

23 Tj. Dz.U. z 1997 r. Nr 28, poz. 152. Wcześniej analogiczne przepisy nakładające na lekarzy obowiązek zachowa-nia tajemnicy lekarskiej, zawierała ustawa z 28 października 1950 r. o zawodzie lekarza ( Dz.U. Nr 50, poz. 458 z późn. zm.), zgodnie z którą lekarz obowiązany był do zachowania w tajemnicy wszystkiego, o czym powziął wiadomość w związku z wykonywaniem zawodu (art. 14).

Ewa Kulesza

Tymczasem z praktyki w zakresie ochrony danych osobowych wynika, iż pacjen-ci, będący klientami np. firm ubezpieczeniowych zmuszani są – pod rygorem nieza-warcia umowy ubezpieczeniowej – do wyrażenia zgody na zbieranie danych o ich stanie zdrowia „...od wszystkich osób, które mnie kiedykolwiek leczyły lub badały, a także od osób trzecich/.../”. Wydaje się, iż jest to klauzula zbyt szeroka. O ile klauzula ta byłaby dopuszczalna w przypadku zbierania danych od lekarza, ponie-waż ten związany jest regułami udostępniania danych o stanie zdrowia pacjenta, określonymi w ustawie o zawodzie lekarza, o tyle ryzykowne jest wyrażenie zgody na zbieranie danych od „osób trzecich” bez dookreślenia, od jakich jeszcze „osób trzecich” i w jakim trybie dane miałyby być uzyskiwane.

W przypadku drugiej przesłanki przetwarzania danych sensytywnych, w postaci podstawy ustawowej, art. 27 ust. 2 wymaga, aby przepis szczególny innej ustawy, a nie jakiegokolwiek innego aktu prawnego zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą. Oznacza to, iż wyłącznie ustawa może stano-wić podstawę przetwarzania danych o stanie zdrowia, wskazując na zakres prze-twarzanych danych, nie może natomiast stanowić takiej podstawy np. akt wyko-nawczy do ustawy (rozporządzenie) lub akty prawa miejscowego²⁴. Również do ustaw odsyła art. 27 ust. 2 pkt. 6 w zakresie przetwarzania danych, w tym o stanie zdrowia, na potrzeby zatrudnienia²⁵.

Przykładem ustawowej podstawy przetwarzania danych o stanie zdrowia jest usta-wa o powszechnym ubezpieczeniu zdrowotnym²⁶, która szczegółowo wylicza w art.

141a, jakie dane osób ubezpieczonych mogą być przetwarzane przez kasy chorych lub też upoważniając np. kasę chorych do przeprowadzania lub zlecania kontroli bieżącej realizacji umowy o udzielanie świadczeń, wskazuje, w jakim zakresie – co do przedmiotu kontroli i dokumentacji – kontrola może być przeprowadzana. W przepisach upoważniających do kontrolowania m.in. stosowania procedur diagno-stycznych i terapeutycznych pod względem jakości i zgodności z przyjętymi stan-dardami, sposobu korzystania ze świadczeń specjalistycznych i stosowania techno-logii medycznych, zasadności wyboru leków i materiałów medycznych oraz przed-miotów ortopedycznych i środków pomocniczych stosowanych w diagnostyce, le-czeniu i rehabilitacji, zasad wystawiania recept, znajduje się zastrzeżenie, iż kon-trole dokumentacji medycznej i jakości udzielanych świadczeń mogą być przepro-wadzane tylko przez upoważnionych przez kasę chorych lekarzy, pielęgniarki, po-łożne lub przedstawicieli innych zawodów medycznych. Innym przykładem usta-wowego upoważnienia do przetwarzania danych o stanie zdrowia może być ustawa o pomocy społecznej, zgodnie z którą niepełnosprawność, długotrwała choroba, alkoholizm lub narkomania stanowią przesłanki udzielenia świadczenia, co

ozna-24 Wydane przez organy samorządu lokalnego np. na podstawie ustawy z 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 1996 r., Nr 13, poz. 74 z późn. zmianami);

25 W przypadku tej przesłanki zapis o ustawowej podstawie przetwarzania danych na potrzeby zatrudnienia wy-daje się zbędny. Generalnie bowiem, zgodnie z pkt. 2, przetwarzanie danych o stanie zdrowia może następo-wać na podstawie ustawy, natomiast cel przetwarzania może być różny – także np. zatrudnienie pracowników.

26 Ustawa z dnia 6 lutego 1997 r., Dz.U. Nr 28, poz.153 z późn. zmianami.

Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy ...

cza, że organy pomocy społecznej są ustawowo upoważnione do przetwarzania da-nych o stanie zdrowia czy nałogach²⁷.

Na marginesie należy wspomnieć, iż w przypadku przetwarzania danych na pod-stawie przepisów prawa, jeśli przepisy wskazują zakres przetwarzania danych np.

poprzez ich wyliczenie, podmioty działające na ich podstawie nie mają prawa do dowolnego ustalania zakresu przetwarzanych danych²⁸.

Niezwykle interesująca jest przesłanka przetwarzania danych w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trud-niące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarzą-dzanie udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony da-nych osobowych (art. 27 ust. 2 pkt. 7). Zacytowany wyżej przepis daje szerokie podstawy przetwarzania danych o stanie zdrowia, nie ograniczając ich jedynie do świadczeń usług medycznych. Wydaje się iż ustawodawca szeroko ujmując ową odrębną podstawę przetwarzania danych, kierował się definicją świadczeń zdrowot-nych zawartą w ustawie o zakładach opieki zdrowotnej. Zgodnie bowiem z art. 3 owej ustawy świadczeniem zdrowotnym jest działanie służące zachowaniu, ratowaniu, przy-wracaniu i poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub z przepisów odrębnych regulujących zasady ich wykonywania, w szcze-gólności związane z badaniem i poradą lekarską, leczeniem, badaniem i terapią psychologiczną, rehabilitacją leczniczą, opieką nad kobietą ciężarną i jej płodem w czasie porodu, połogu oraz nad noworodkiem, opieką nad zdrowym dzieckiem, badaniem diagnostycznym, w tym z analityką medyczną, pielęgnacją chorych, orze-kaniem i opiniowaniem o stanie zdrowia, w tym orzeorze-kaniem o stopniu niepełno-sprawności, zapobieganiem powstawaniu urazów i chorób poprzez działania profi-laktyczne czy szczepienia ochronne i inne działania. Owa szeroka przesłanka uzu-pełniona jest dodatkową okolicznością upoważniającą do przetwarzania danych – jaką jest zarządzanie udzielaniem usług medycznych.

Jest rzeczą oczywistą, iż działania związane z szeroko rozumianym udzielaniem usług medycznych związane muszą być z prowadzeniem stosownej dokumentacji, która służy w całym procesie leczenia, profilaktyki czy rehabilitacji. Nie byłoby tem celowe wprowadzanie jakichkolwiek ograniczeń w przetwarzaniu danych za-wartych w dokumentach, jeśli służą temu właśnie celowi.

2.2. Administrator, przetwarzający dane o stanie zdrowia, jest obowiązany do przestrzegania wszystkich zasad przetwarzania danych. Jest zatem zobowiązany do

27 Ustawa z dnia 29 listopada 1990 r. o pomocy społecznej, t.j. Dz.U. z 1993 r. Nr 13, poz. 60 z późn. zmianami.

Nie wchodząc szerzej w zagadnienie przetwarzania danych o stanie zdrowia przez jednostki organizacyjne pomocy społecznej zasygnalizować należy problem zbędności potrzeby znajomości dokładnej diagnozy lekar-skiej przez pracowników pomocy społecznej; wydaje się, iż należałoby dążyć do zmiany przepisów w kierunku wystawiania przez lekarza ogólnego zaświadczenia np. o stopniu niepełnosprawności, czy potrzebie zapewnie-nia określonego rodzaju opieki.

28 Nie są działaniami zgodnymi z prawem żądania kas chorych udostępniania innych danych, wykraczających poza zakres określony w przepisach ustawy o ubezpieczeniach zdrowotnych i aktach wykonawczych do niej, jak też żądanie np. na potrzeby zawieranych kontraktów z zakładami opieki zdrowotnej dokumentów osobowych pracowników zatrudnionych w zoz.

Ewa Kulesza

dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane przetwarzane były zgodnie z prawem zbierane dla oznaczonych, zgodnym z prawem celów i nie pod-dawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie po-prawne i adekwatne do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób nie dłużej, niż jest to niezbędne do osią-gnięcia celu.

Ustawodawca nie zwolnił administratorów danych z żadnego z obowiązków, wręcz przeciwnie, z filozofii ustawy wynika, iż wykonywanie tych obowiązków winno być specjalnie staranne w odniesieniu do danych szczególnie chronionych. Nie oma-wiając szczegółowo ustawy podkreślić jednak należy, iż niewątpliwie jednym z naj-ważniejszych obowiązków administratora danych, wynikających z ustawy, jest obo-wiązek zabezpieczenia danych, w szczególności wówczas, gdy przetwarzanie odby-wa się w systemach informatycznych. W tym zakresie administrator danych jest zobowiązany do poddania się wszystkim rygorom w zakresie zabezpieczenia zbio-ru, wynikającym z ustawy o ochronie danych osobowych i przepisów wykonawczych do ustawy²⁹.

Administrator zobowiązany jest ponadto do respektowania w pełni praw osoby, której dane dotyczą, w tym prawa do uzyskania informacji. W szczególności osoba, której dane dotyczą powinna być – w momencie zbierania danych – poinformowa-na o celu zbierania, prawie wglądu do danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (art. 24 ust. 1 ustawy o ochronie danych). W przypadku zbierania danych nie od osoby, której dane dotyczą, zgodnie z art. 25 ust. 1 ustawy, administrator danych winien poinformować osobę, której dane dotyczą o swojej nazwie i adresie siedziby, celu i zakresie zbierania danych, źródle danych, prawie wglądu oraz pra-wie poprawiania danych, a także o uprawnienia określone w art. 32 ust. 1 pkt. 7 i 8 ustawy³⁰. Nie ma takiego obowiązku jedynie wówczas, gdy przepis szczególny innej ustawy przewiduje lub dopuszcza zbieranie danych bez wiedzy osoby, której dane dotyczą, jeśli dane są ogólnie dostępne, jeśli są one niezbędne do badań nauko-wych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw i wolności osoby, której dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, bądź też, jeśli administrator nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu (art. 25 ust. 2).

29 Por. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określe-nia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzeokreśle-nia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 80, poz. 521).

30 Wymóg dopełnienia obowiązku informacyjnego, wynikającego z art. 25 ust. 1 ustawy o ochronie danych, budzi wątpliwości w odniesieniu do podmiotów sektora publicznego, w tym placówek służby zdrowia. Polska ustawa o ochronie danych osobowych nie zawiera bowiem słusznego, istniejącego w Dyrektywie 46/95, zastrzeżenia, iż nie ma konieczności nakładania obowiązku informacyjnego, kiedy podmiot danych (osoba, której dane doty-czą), posiada już tę informację (por. pkt. 40 wstępu do Dyrektywy).

Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy ...

Ustawa wprowadza natomiast ograniczenia co do możliwości udostępniania da-nych szczególnie chronioda-nych. Ustawodawca zobowiązując administratora dada-nych do udostępniania danych podmiotom uprawnionym na mocy przepisów prawa, wyraźnie wyłączył taką możliwość w odniesieniu do udostępniania danych na indy-widualny wniosek w oparciu o uznaniową decyzję podmiotu publicznego (art. 29 ust. 1 i 2). Takie ograniczenie dostępu do danych szczególnie chronionych jest w pełni zasadne, bowiem w przypadku umożliwienia dostępu do danych na podstawie uznaniowej decyzji administratora danych, ich ochrona byłaby iluzoryczna i nie korespondowała z przepisami określającymi szczególne przesłanki przetwarzania danych sensytywnych. Jednocześnie ustawodawca dopuścił przetwarzanie danych w innym celu niż ten, dla którego zostały zebrane, jeśli to nie narusza praw i wolno-ści osoby, której dotyczą i wykorzystywane są w celach badań naukowych, dydak-tycznych, historycznych lub statystycznych³¹.