Ogólne przesłanki przetwarzania danych wrażliwych cz. IV
1. Przetwarzanie danych osobowych medycznych
Znacząca część danych wrażliwych to powiązane z określonymi osobami informacje na temat ich stanu zdrowia, prowadzonych badań medycznych czy terapii. Osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych mogą przetwarzać takie dane, o ile stworzone są pełne gwarancje ochrony danych osobowych; pod tym samym warunkiem dopuszczalne jest przetwarzanie danych w celu zarządzania udzielaniem usług medycznych[1].
Do osób zawodowo trudniących się leczeniem lub świadczeniem innych usług medycznych, a także zarządzających służbą zdrowia zalicza się:
a) Zakłady opieki zdrowotnej,
b) Lekarzy,
c) Farmaceutów,
d) Felczerów,
e) Personel pomocniczy służby zdrowia (pielęgniarki, rehabilitanci, położne, diagności laboratoryjni itp.),
f) Personel administracyjny (sekretarki, recepcjonistki),
g) Osoby zajmujące się medycyną niekonwencjonalną (bioenergoterapeuci itp.)[2],
h) Pracowników Narodowego Funduszu Zdrowia.
Wg. P. Barty i P. Litwińskiego działalność ww. osób musi mieć charakter zawodowy, co wskazuje, że konieczne jest uzyskanie odpowiednich uprawnień zawodowych lub co najmniej specjalistycznego (kierunkowego) wykształcenia. Zdaniem autorów komentarza[3], można w tym zakresie odwołać się do definicji osoby wykonującej zawód medyczny z ustawy o działalności leczniczej (w art. 2 ust. 1 pkt 2) jako osoby uprawnionej na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz jako osoby legitymującej się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny[4]. Przesłanka ta jest ograniczona zarówno przedmiotowo (cel przetwarzania), jak i podmiotowo (administratorzy danych)[5].
Według S. Hoca i T. Szewca można przyjąć, że ochrona stanu zdrowia, leczenie i świadczenie innych usług medycznych jako cel działania osób, zawodowo się tym trudniących, to:
a) Udzielanie świadczeń zdrowotnych, czyli działań służących zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz innych działań medycznych, wynikających z procesu leczeni lub przepisów odrębnych lub przepisów odrębnych, regulujących zasady ich wykonywania,
b) Lecznictwo uzdrowiskowe,
c) Wykonywanie zadań medycyny pracy,
d) Orzekanie o zdolności do prowadzeni pojazdów mechanicznych,
e) Orzekanie o braku przeciwskazań do wykonywania prac, przy których istnieje możliwość przeniesienia zakażenia oraz wykonywanie szczepień ochronnych,
f) Diagnostyka laboratoryjna[6],
g) Świadczenie usług farmaceutycznych[7].
2. Przetwarzanie danych, które zostały podane do widomości publicznej przez osobę, której dotyczą
Kolejną z przesłanek legalizujących przetwarzanie danych sensytywnych, określoną w art. 27 ust. 2 pkt 8 OchrDanOsU, jest przetwarzanie danych, które zostały:
a) podane do wiadomości publicznej,
b) podane przez osobę, której dane dotyczą[8].
Aby można było przetwarzać dane osobowe ujawnione do wiadomości publicznej, administrator musi mieć pewność, że dokonała tego osoba, które dane dotyczą. Ujawnienie to działanie powodujące, że każdy może do danych wrażliwych dotyczących danej osoby dotrzeć. Tym samym podanie informacji w gronie znajomych nie oznacza jeszcze ich upublicznienia[9]. Nie ma przy tym znaczenia, czy informacje ujawnione w ten sposób będą dotyczyły tzw. osoby publicznej (znanej, popularnej, rozpoznawanej), czy też nie[10]. Skutek taki natomiast wystąpi w przypadku podania tych danych na jawnej rozprawie[11].
Do upublicznienia danych musi dojść przez działanie osoby, której te informacje dotyczą. O ile można zaakceptować pogląd, że dopuszczalne byłoby w tym wypadku również podanie danych przez inną osobę, ale za wyraźną zgodą osoby, której dane dotyczą[12], o tyle w żadnym wypadku nie można przyjąć, że podstawa z art. 27 ust. 2 pkt 8 znajdzie zastosowanie w przypadku upublicznienia danych bez wyraźnej zgody osoby, której one dotyczą (nawet gdy została ona o upublicznieniu należycie poinformowana).
Przez podanie do publicznej wiadomości należy rozumieć wszelkie rodzaje upublicznienia danych, czyli podania informacji potencjalnie nieograniczonej liczby osób, w szczególności za pośrednictwem środków masowego przekazu (np. prasa, radio, telewizja oraz Internet). W konsekwencji, podaniem do publicznej wiadomości danych wrażliwych będzie również umieszczenie ich na ogólnie dostępnych forach internetowych, grupach dyskusyjnych itp. (nawet jeśli wymagają one logowania)[13].
[1] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 498.
[2] M. Jackowski, Ochrona danych medycznych, Warszawa 2002, s. 115.
[3] P. Barta, P. Fajgielski.
[4] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Warszawa 2015, s. 318.
[5] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Warszawa 2015, s. 317.
[6] A. Drozd, Ustawa o ochronie danych osobowych. Komentarz, wzory pism, przepisy, Warszawa 2004, s. 175.
[7] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Kraków 2004, s. 586.
[8] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Warszawa 2015, s. 319-320.
[9] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Kraków 2004, s. 587.
[10] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Warszawa 2015, s. 320.
[11] M. Stanowska, Udostępnianie dziennikarzom akt sądowych i prokuratorskich, PS 2001, Nr 10, s. 85.
[12] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Kraków 2004, s. 586.
[13] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Warszawa 2015, s. 320.