Czym są dane wrażliwe?
Ustawa o ochronie danych osobowych dzieli dane osobowe na zwykłe oraz wrażliwe. Dane o stanie zdrowia, nałogach, kodzie genetycznym czy życiu seksualnym będą należały do kategorii danych wrażliwych. W wielu przychodniach, szpitalach, czy zakładach opieki zdrowotnej dane te – z uwagi na zakres usług medycznych – będą przetwarzane. Podstawą przetwarzania takich danych może być w szczególności art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych.
Kiedy szpital przetwarza wrażliwe dane osobowe?
Oczywiście, by mówić o danych wrażliwych jako o danych osobowych, muszą być spełnione warunki z art. 6 ustawy o ochronie danych osobowych – za pomocą tych informacji można ustalić (w sposób bezpośredni lub pośredni) tożsamość danej osoby. Jeśli więc szpital przetwarza informacje o stanie zdrowia pacjentów i jest jednocześnie możliwe (bez nadmiernych kosztów czy działań) ustalenie tożsamości owych pacjentów – należy uznać, że szpital przetwarza wrażliwe dane osobowe.
Odpowiedzialność za ujawnienie danych
Jaką odpowiedzialność poniesie szpital w sytuacji, gdy dane te zostaną np. skradzione lub, w przypadku nie dość dobrego zabezpieczenia, ulegną upublicznieniu?
Możliwa jest odpowiedzialność zarówno na gruncie prawa cywilnego, jak i karnego. Przy czym ustawa o ochronie danych osobowych nie wprowadza żadnych nowych (specjalnych) przepisów dotyczących odpowiedzialności cywilnej, ale wprowadza przepisy dotyczące odpowiedzialności karnej w sytuacji ujawnienia danych lub ich przetwarzania przez osoby nieupoważnione.
Zobacz też: Co grozi za ujawnienie danych wrażliwych - odpowiedzialność karna
Odpowiedzialność cywilna
Jeśli chodzi o odpowiedzialność cywilną, będą miały zastosowanie przepisy kodeksu cywilnego. Warto pamiętać, że zgodnie z art. 23 kodeksu cywilnego, za dobra osobiste uznaje się m.in. prawo do prywatności, prawo do godności i dobrego imienia. Ujawnienie lub też upublicznienie danych ze sfery intymności wbrew woli osoby zainteresowanej (a za takie będzie można uważać dane osobowe wrażliwe), może doprowadzić do naruszenia prywatności czy dobrego imienia. W takiej sytuacji, administratorowi grozi nie tylko roszczenie o usunięcie skutków naruszeń (np. przeproszenie), ale również zadośćuczynienie (na podstawie art. 448 kodeksu cywilnego).
Warto podkreślić, że w sytuacji naruszenia dóbr osobistych, w art. 24 kodeksu cywilnego ustanowione zostało domniemanie bezprawności działania naruszyciela dobra osobistego. Oznacza to, że w takiej sytuacji to szpital będzie musiał wykazać, że jego działanie albo było zgodne z prawem, albo też istniały przesłanki, które powodują uchylenie bezprawności. Okolicznościami uchylającymi bezprawność są: działanie dozwolone przez prawo, wykonywanie prawa podmiotowego, zgoda pokrzywdzonego oraz działanie w obronie uzasadnionego interesu społecznego.
Co w przypadku ujawnienia danych może zrobić pacjent?
Jeśli w wyniku ujawnienie danych (upublicznienia lub przetwarzania przez osoby nieuprawnione) dojdzie do powstania szkody, to na zasadach ogólnych wynikających z art. 415 kodeksu cywilnego, ten kto wyrządził szkodę winien ją naprawić (jest to tzw. odpowiedzialność deliktowa).
W takiej sytuacji pacjent, którego dane ujawniono i który przez to ujawnienie doznał szkody, winien udowodnić fakt zdarzenia powodującego szkodę, powstanie szkody (obejmującą zarówno straty rzeczywiste jak i utracone korzyści) oraz związek między zdarzeniem, takim jak ujawnieniem danych przez szpital, a powstałą szkodą.
Zdarzeniem powodującym szkodę może być to zarówno działanie personelu szpitala, jak również zaniechanie – np. informatyk w szpitalu, na którym ciążył obowiązek zabezpieczania danych nie dość dokładnie zabezpieczył system informatyczny.
Zakres odpowiedzialności
Jednocześnie art. 361 § 1 kodeksu cywilnego stanowi, iż zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania, z którego szkoda wynikła. Oznacza to, że sprawca ponosi odpowiedzialność deliktową jedynie w zakresie zwykłych (normalnych) następstw swojego działania.
Podsumowując powyższe rozważania, warto zwrócić uwagę na fakt, że ustawodawca nie zdecydował się na odrębną procedurę odszkodowawczą w przypadku ujawnienia czy upublicznienia danych wrażliwych. Nie oznacza to jednak, że osoba ujawniająca czy upubliczniająca takie dane pozostaje bezkarna. Dane wrażliwe – jako dane ze sfery prywatności – mogą stanowić dobra osobiste w rozumieniu kodeksu cywilnego, zaś ich naruszenie będzie się wiązało np. z konieczności zapłaty zadośćuczynienia. Jeśli upublicznienie czy ujawnienie takich danych spowoduje szkodę – wówczas w grę będzie wchodzić odpowiedzialność ex delicto (odpowiedzialność deliktowa).
Zobacz też: Komu przysługuje prawo do świadczeń zdrowotnych?
Uwaga! Powyższa porada jest jedynie sugestią i nie może zastąpić wizyty u specjalisty. Pamiętaj, że w przypadku problemów ze zdrowiem należy bezwzględnie skonsultować się z lekarzem!