Dane osobowe zwykłe i wrażliwe
Przetwarzanie danych osobowych to wszelkiego rodzaju operacje na danych osobowych (w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych). Ustawa rozróżnia dane zwykłe i tak zwane dane wrażliwe (sensytywne).
Katalog danych wrażliwych ma charakter katalogu zamkniętego i – zgodnie z ustawą o ochronie danych osobowych – obejmuje:
- dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym (nielegalne przetwarzanie tych danych jest zagrożone karą pozbawienia wolności do lat 3);
- dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (przetwarzanie tych danych, w sytuacji gdy takie przetwarzanie jest niedopuszczalne, jest zagrożone karą pozbawienia wolności do lat 2).
Zobacz też: Dane osobowe pacjenta - kto może je zmienić?
Dane wrażliwe w medycynie
Dla problematyki medycznej istotne będzie więc, że dane dotyczące stanu zdrowia, ale również nałogów czy życia seksualnego, będą miały charakter danych wrażliwych. W praktyce oznacza to konieczność jeszcze większego i jeszcze ściślejszego zabezpieczania tych danych. Ograniczona została także możliwość przetwarzania takich danych. Ogólna zasada jest bowiem taka, że dane wrażliwe można przetwarzać (zbierać, modyfikować, zmieniać itp.) tylko jeśli opieramy się na przesłance wynikającej z mocy prawa.
Firmy przetwarzające dane wrażliwe często posługują się dużym stopniem ogólności – by wskazać, że przetwarzane dane są danymi zwykłymi, a nie tak zwanymi danymi wrażliwymi. Warto pamiętać, że jeśli pod konkretnym symbolem można uzyskać wiedzę o konkretnym pacjencie i na przykład o jego stanie zdrowia – to nadal (mimo użytego symbolu) będziemy uznawać, że przetwarzane są dane osobowe wrażliwe.
Kiedy wrażliwe dane osobowe mogą być przetwarzane?
Zobacz też: Co grozi za ujawnienie danych wrażliwych - odpowiedzialność cywilna
Na mocy art. 27 ust. 2 ustawy o ochronie danych osobowych można przetwarzać dane osobowe, jeśli zaistnieją przesłanki opisane w tym przepisie. Każda z tych przesłanek ma charakter autonomiczny. Dla danych przetwarzanych w szeroko pojętej medycynie, najważniejsze znaczenie będą miały następujące przesłanki:
- posiadanie pisemnej zgody osoby, której dane dotyczą – zgodnie z art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych jeśli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie (chyba, że chodzi o usunięcie dotyczących jej danych) – przetwarzanie danych wrażliwych będzie legalne. Warto zwrócić uwagę, że przepis wymaga formy pisemnej zgody, wyłączona jest więc zgoda cyfrowa (kliknięcie w odpowiedni format w Internecie);
- ustawowy przepis prawny, który zezwala na przetwarzanie takich danych i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy) – wówczas niepotrzebna jest pisemna zgoda osoby zainteresowanej. Warto podkreślić, że przepis musi być zawarty w ustawie a nie na przykład w rozporządzeniu;
- istnieje konieczność ochrony żywotnych interesów osoby, której dane te dotyczą lub innej osoby, niezdolnej do fizycznego lub prawnego wyrażenia zgody (art. 27 ust. 2 pkt 3 ustawy);
- przetwarzanie danych jest niezbędne do wykonania zadań administratora danych, odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 2 pkt 6);
- przetwarzane są wrażliwe osobowe „dane zdrowotne” (art. 27 ust. 2 pkt 7 ustawy). Przepis wskazuje, że do tej grupy danych osobowych będą należeć dane przetwarzane w celu stricte medycznym, tj. ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych albo zarządzania udzielaniem usług medycznych. Warunkiem koniecznym w obu przypadkach jest stworzenie pełnych gwarancji ochrony danych osobowych. O ile przetwarzanie w celach medycznych jest jasne do określenia, o tyle przetwarzanie danych osobowych w celu zarządzania udzielaniem usług medycznych może stwarzać pewne problemy (będzie dotyczyć Narodowego Funduszu Zdrowia czy rejestracji pacjentów);
- przetwarzanie danych jest niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego (art. 27 ust. 2 pkt 9 ustawy).
Dane dotyczące zdrowia, nałogów, życia seksualnego stanowią kategorię danych wrażliwych.
Leczenie czy prowadzenie badań wymaga przetwarzania takich danych. Podkreślić należy, że przetwarzanie danych wrażliwych nie jest zabronione, jednak musi odbywać się w oparciu o jedną z przesłanek określonych w art. 27 ust. 2 ustawy o ochronie danych osobowych.
Uwaga! Powyższa porada jest jedynie sugestią i nie może zastąpić wizyty u specjalisty. Pamiętaj, że w przypadku problemów ze zdrowiem należy bezwzględnie skonsultować się z lekarzem!