Dane osobowe

I. Definicja danych osobowych
Definicja danych osobowych wprowadzona została ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) Zgodnie z art. 6 ust. 1 niniejszej ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

W literaturze wyróżnia się dwa rodzaje danych osobowych tzw. dane zwykłe i dane wrażliwe (delikatne, sensytywne). Za dane wrażliwe ustawa o ochronie danych osobowych uznaje dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przedstawione w ustawie wyliczenie danych wrażliwych ma charakter taksatywny. Kryterium wyróżnienia powyższych danych stanowi to, iż dotyczą one bezpośrednio sfer należących do prywatności czy nawet intymności osoby fizycznej. W pozostałych przypadkach (a więc przy danych zwykłych, danych neutralnych, danych trywialnych) ingerencja w obszar prywatności bądź w ogóle nie zachodzi, bądź – jeśli nawet występuje – to wynika nie tyle z samej treści danych, ile raczej z ich zestawienia, kontekstu. Poza tym dane wrażliwe, w przeciwieństwie do pozostałych, wiążą się ze znacznie większym poczuciem zagrożenia oraz niebezpieczeństwem wywołania na różnych polach (zatrudnienie, ubezpieczenie, kredytowanie itd.) decyzji dyskryminacyjnych (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011).

II. Przetwarzanie danych osobowych
W rozumieniu ustawy o ochronie danych osobowych przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Zgodnie z art. 23 ustawy o ochronie danych osobowych:
Art. 23.

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
    1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
    2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
    3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
    4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
    5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
  2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
  3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.
  4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
    1. marketing bezpośredni własnych produktów lub usług administratora danych,
    2. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Przepis art. 27 ust. 1 ustawy wprowadza ogólną zasadę zakazu przetwarzania danych wrażliwych, i to bez względu na to, czy przetwarzanie ma następować w formie zautomatyzowanej czy tradycyjnej (manualnej). Postanowienia zezwalające na przetwarzanie takich danych mają więc charakter przepisów wyjątkowych i w żadnej mierze nie mogą podlegać wykładni rozszerzającej. Od zasady, że przetwarzanie danych wrażliwych jest zakazane, ustawa wprowadza wiele wyjątków ujętych w zamknięty katalog (art. 27 ust. 2 ustawy). Trzeba zaznaczyć, iż każda z okoliczności usprawiedliwiających przetwarzanie danych wrażliwych ma charakter autonomiczny i niezależny (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011).

W świetle art. 27 ustawy o ochronie danych osobowych:
Art. 27.

  1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
  2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
    1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
    2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
    3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
    4. jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
    5. przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
    6. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
    7. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
    8. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
    9. jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
    10. przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Zasadniczym warunkiem dopuszczającym przetwarzanie danych osobowych jest to, że osoba, której dane dotyczą, wyrazi na to zgodę na piśmie. Znajduje tu odbicie – traktowana często za podstawową – przesłanka usprawiedliwiająca przetwarzanie jakichkolwiek danych osobowych, a mianowicie zgoda zainteresowanego. Specyfika związana ze szczególnym charakterem danych sensytywnych polega na tym, iż zgoda musi być wyrażona na piśmie. Warunek stawiany przez ustawę ma niekiedy dodatkowe oparcie w przepisach ustaw szczegółowych. Pisemna zgoda nie jest potrzebna jedynie przy usuwaniu danych wrażliwych. Zgoda wyrażona w sposób inny niż na piśmie jest – gdy chodzi o dane sensytywne – nieskuteczna. Zgoda na gruncie ustawy o ochronie danych osobowych uznana jest za oświadczenie woli (art. 7 pkt 5 ustawy), toteż należy odwołać się do odpowiednich przepisów ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.) i przyjąć, że do zachowania pisemnej formy czynności prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym oświadczenie woli (art. 78 k.c.). Nie musi zatem zostać sporządzone własnoręcznie całe oświadczenie, jego treść może być wydrukowana np. na formularzu, który dana osoba podpisuje. Dochowanie formy pisemnej w komentowanym przepisie jest warunkiem skuteczności zgody oraz jej ważności. Forma ta wprowadzona została po to, by zainteresowany podejmował decyzję ze szczególną rozwagą, po przemyśleniu (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011).

Kolejną okoliczność legalizującą przetwarzanie wrażliwych danych osobowych stanowi odpowiedni przepis szczególny innej ustawy, zezwalający na przetwarzanie danych. Chodzi tu zatem wyłącznie o przepis zawarty w źródle prawa o randze ustawy. Przesłankę tę ustawodawca opatruje jednak zastrzeżeniem, iż przepis ten musi stwarzać pełne gwarancje ochrony tych danych. W świetle art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych inna ustawa musi wyraźnie zezwalać na przetwarzanie danych wrażliwych, czyli m.in. na udostępnianie ich określonym podmiotom albo na zbieranie i wykorzystywanie przez wskazane podmioty. W przeciwnym razie brak jest podstaw do przetwarzania danych wrażliwych. Takim przepisem szczególnym będzie niewątpliwie art. 24 ust. 2 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.), który wprost upoważnia lekarzy, pielęgniarki i położne do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej.

III. Dane dotyczące stanu zdrowia
Znacząca część danych wrażliwych to powiązane z określonymi osobami informacje na temat ich stanu zdrowia, prowadzonych badań medycznych czy terapii. Osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych mogą przetwarzać takie dane, o ile stworzone są pełne gwarancje ochrony danych osobowych; pod tym samym warunkiem dopuszczalne jest przetwarzanie danych w celu zarządzania udzielaniem usług medycznych. Obszar stosowania upoważnienia, o którym mowa, zakreślony został przez cel przetwarzania danych oraz kryterium podmiotowe. Zarówno cel, jak i krąg uprawnionych podmiotów wyznaczone zostały określeniami o szerokim i elastycznym zakresie. Przez pojęcie ochrony stanu zdrowia, leczenia i świadczenia usług medycznych rozumieć należy także działania profilaktyczne, diagnostyczne, rehabilitacyjne (w tym kuracyjne); tak więc dopuszczalne jest przetwarzanie danych o stanie zdrowia pacjenta również przez te podmioty lecznicze, które uczestniczą w kierowaniu pacjenta na leczenie uzdrowiskowe. W piśmiennictwie podkreśla się, że osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych to „personel medyczny”, który tworzą nie tylko sami lekarze, ale również personel pomocniczy (pielęgniarki, laboranci), rehabilitanci; bardziej dyskusyjne jest to, czy podobnie odnieść się należy do osób zawodowo wykonujących usługi zaliczane do medycyny niekonwencjonalnej, bioenergoterapeutów itd. (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011).

Do kręgu uprawnionych na podstawie art. 27 ust. 2 pkt 7 ustawa zalicza także osoby, które zarządzają udzielaniem usług medycznych. Chodzi tu głównie o personel administracyjny zatrudniony w sektorze szeroko rozumianych usług medycznych, wykonujący rozmaite funkcje sekretarskie, funkcje związane z ewidencją pacjentów, prowadzeniem statystyki, archiwizacją dokumentów medycznych itp. Natomiast usługi medyczne nie rozciągają się na sektor ubezpieczeń na zdrowie czy życie (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011). W piśmiennictwie podkreśla się ponadto, iż na tle art. 27 ust. 2 pkt 7 ustawy ustawodawcy chodziło przede wszystkim o przetwarzanie danych przez Narodowy Fundusz Zdrowia oraz np. przez rejestracje pacjentów prowadzone na potrzeby określonych badań lub też na potrzeby określonych zabiegów, które mogą być prowadzone przez osoby, które nie trudnią się zawodowo (zgodnie z wykształceniem lub uprawnieniami) leczeniem lub usługami medycznymi (np. rejestratorka, informatyk), a w ramach których może dochodzić do przetwarzania danych wrażliwych (np. umieszczonych w kartach pacjentów lub skierowaniach).

Warunkiem powołania się na analizowane upoważnienie jest stworzenie pełnych gwarancji ochrony danych osobowych. Dotyczy to w pierwszym rzędzie przestrzegania tajemnicy lekarskiej i tajemnicy nałożonej przez prawo lub umowę na inne osoby pracujące w sektorze szeroko rozumianych usług medycznych. Należy przy tym uwzględniać stosowanie odpowiednich zabezpieczeń informatycznych uniemożliwiających dostęp do danych osobom nieupoważnionym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, LEX 2011).