Najczęściej chyba przetwarzaną kategorią danych wrażliwych (zwanych też danymi sensytywnymi) są dane dotyczące zdrowia. Przetwarzanie ich dotyczy przede wszystkim szeroko pojętej służby zdrowia. Przyjrzyjmy się, jak do przetwarzania danych wrażliwych (w obecnej publikacji ograniczymy się do danych zdrowotnych) odnosi się nowe unijne rozporządzenie (RODO).
Przede wszystkim art. 9 RODO nie definiuje danych dotyczących zdrowia, definicję odnajdziemy w art. 4 ust. 15 RODO, który stwierdza, iż są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. W tym świetle można się zastanowić, czy sam fakt zapisania się do lekarza określonej specjalizacji jest już daną sensytywną, gdyż może z niego wynikać, że osoba cierpi na dany rodzaj schorzenia. Wydaje się, że tak, gdyż RODO mówi o „korzystaniu z usług opieki zdrowotnej”. Poza definicją danych zdrowotnych pozostają dane genetyczne i dane biometryczne, dla których RODO przewiduje własne definicje.
RODO w tym artykule wprowadza generalny zakaz przetwarzania danych dotyczących zdrowia osoby, przy czym zakaz ten nie ma zastosowania, jeżeli a) osoba, której dane dotyczą, wyraziła wyraźną zgodę tych danych osobowych w jednym lub w kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu przetwarzania. Proszę zauważyć, że nie ma już obowiązku uzyskiwania pisemnej zgody na przetwarzanie, choć oczywiście dla przetwarzającego uzyskanie takiej zgody jest najbezpieczniejszym wariantem. Z powyższego wynika, że zakaz przetwarzania takich danych bez uzyskania wyraźnej zgody uprawnionego dotyczy np. zbierania danych o stanie zdrowia dla celów marketingowo – handlowych, np. aby sprzedać określonej osobie suplementy diety, poradniki o stanie zdrowia, czy zaoferować wizytę u specjalisty, a nawet by sprzedać zupełnie niezwiązany z tym towar czy usługę, wyrażając troskę o zdrowie osoby i dopytując się np. czy wyleczyła się z danego schorzenia. Wbrew pozorom, takie dane bowiem nietrudno pozyskać, a najlepiej to wiedza osoby parające się telemarketingiem i rozmowami tego typu z osobami starszymi. Jeśli wyraźnie taka osoba nie wyrazi zgody na przetwarzane jej danych zdrowotnych i to właśnie w celu marketingowym, czynić tego niewolno.
Dla służby zdrowia najważniejszym wyjątkiem od zakazu przetwarzania danych dotyczących stanu zdrowia jest art. 9 ust. 2 lit. h) oraz i) RODO, który stanowi, iż zakaz ten nie ma zastosowania, jeżeli:
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (jeżeli są przetwarzane przez - lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę podlegającą również obowiązkowi zachowania tajemnicy zawodowej na mocy takich przepisów) lub, gdy
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Należy podkreślić, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych dotyczących zdrowia.
Wcześniejsze nasze artykuły o danych osobowych znajdziecie Państwo klikając tu.
Przede wszystkim art. 9 RODO nie definiuje danych dotyczących zdrowia, definicję odnajdziemy w art. 4 ust. 15 RODO, który stwierdza, iż są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. W tym świetle można się zastanowić, czy sam fakt zapisania się do lekarza określonej specjalizacji jest już daną sensytywną, gdyż może z niego wynikać, że osoba cierpi na dany rodzaj schorzenia. Wydaje się, że tak, gdyż RODO mówi o „korzystaniu z usług opieki zdrowotnej”. Poza definicją danych zdrowotnych pozostają dane genetyczne i dane biometryczne, dla których RODO przewiduje własne definicje.
RODO w tym artykule wprowadza generalny zakaz przetwarzania danych dotyczących zdrowia osoby, przy czym zakaz ten nie ma zastosowania, jeżeli a) osoba, której dane dotyczą, wyraziła wyraźną zgodę tych danych osobowych w jednym lub w kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu przetwarzania. Proszę zauważyć, że nie ma już obowiązku uzyskiwania pisemnej zgody na przetwarzanie, choć oczywiście dla przetwarzającego uzyskanie takiej zgody jest najbezpieczniejszym wariantem. Z powyższego wynika, że zakaz przetwarzania takich danych bez uzyskania wyraźnej zgody uprawnionego dotyczy np. zbierania danych o stanie zdrowia dla celów marketingowo – handlowych, np. aby sprzedać określonej osobie suplementy diety, poradniki o stanie zdrowia, czy zaoferować wizytę u specjalisty, a nawet by sprzedać zupełnie niezwiązany z tym towar czy usługę, wyrażając troskę o zdrowie osoby i dopytując się np. czy wyleczyła się z danego schorzenia. Wbrew pozorom, takie dane bowiem nietrudno pozyskać, a najlepiej to wiedza osoby parające się telemarketingiem i rozmowami tego typu z osobami starszymi. Jeśli wyraźnie taka osoba nie wyrazi zgody na przetwarzane jej danych zdrowotnych i to właśnie w celu marketingowym, czynić tego niewolno.
Dla służby zdrowia najważniejszym wyjątkiem od zakazu przetwarzania danych dotyczących stanu zdrowia jest art. 9 ust. 2 lit. h) oraz i) RODO, który stanowi, iż zakaz ten nie ma zastosowania, jeżeli:
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (jeżeli są przetwarzane przez - lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę podlegającą również obowiązkowi zachowania tajemnicy zawodowej na mocy takich przepisów) lub, gdy
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Należy podkreślić, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych dotyczących zdrowia.
Wcześniejsze nasze artykuły o danych osobowych znajdziecie Państwo klikając tu.
Aleksandra Dalecka
adwokat
Brak komentarzy:
Prześlij komentarz
Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.
W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.
Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.