Marcin Kozłowski

Przetwarzanie danych medycznych a RODO

Ostatnio jednym z najgorętszych tematów wśród przedsiębiorców jest RODO, czyli unijne rozporządzenie wprowadzające zmiany w ochronie danych osobowych. Przetwarzanie danych medycznych (danych wrażliwych) zostało również uregulowane w Rozporządzeniu. Do danych wrażliwych zaliczamy m.in. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej.

Z dzisiejszego wpisu dowiecie się:

I. Czym są dane:

1) genetyczne i biometryczne,

2) dotyczące zdrowia,

3) dotyczące seksualności lub orientacji seksualnej.

II. Na czym polega przetwarzanie danych medycznych.

III. Dlaczego przetwarzanie danych medycznych jest zabronione.

IV. Kiedy można przetwarzać dane medyczne.

V. Jakie są konsekwencje nieprzestrzegania przepisów RODO.

Najpierw jednak wyjaśnię pokrótce czym są dane osobowe.

Najogólniej rzecz ujmując, są to informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Aby informacje uznać za dane osobowe muszą one odnosić się do osoby fizycznej i umożliwiać jej identyfikację. Będą to np. imię i nazwisko, PESEL, cechy fizyczne, genetyczne lub psychiczne.

A więc, są to wszelkie informacje, które pozwolą ustalić tożsamość danej osoby fizycznej.

Aktualnie dane medyczne zaliczane są do tzw. danych wrażliwych. RODO wprowadza nową nazwę – pojęcie danych wrażliwych zastępuje wyrażeniem dane osobowe szczególnie chronione.

Co to są dane genetyczne i biometryczne?

Zacznijmy od danych biometrycznych. Dopiero RODO zaczęło uznawać dane biometryczne za dane osobowe szczególnie chronione (dane wrażliwe). Należy przez nie rozumieć dane osobowe:

  • wynikające ze specjalnego przetwarzania technicznego,
  • dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
  • umożliwiające lub potwierdzające jednoznaczną identyfikację danej osoby.

Powyższe przesłanki muszą wystąpić łącznie!

Przykładowo, danymi biometrycznymi będą: wizerunek twarzy, dane daktyloskopijne, linie papilarne, cechy źrenicy, cech twarzy, geometria rąk.

Bardzo ważna jest pierwsza przesłanka – konkretna informacja zostanie uznana za daną biometryczną, jeżeli wynika ze specjalnego przetwarzania technicznego umożliwiającego identyfikację danej osoby. To przetwarzanie musi mieć na celu zidentyfikowanie danej osoby.

Przejdźmy do danych genetycznych.

Są nimi dane osobowe, które dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej i ujawniają niepowtarzalne informacje o jej fizjologii lub zdrowiu oraz wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby.

RODO przykładowo wskazuje, że analiza może dotyczyć chromosomów, DNA lub RNA, lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Dane genetyczne mają charakter unikalny, a więc są charakterystyczne tylko dla konkretnej osoby fizycznej i nie są powtarzalne.

Dane dotyczące zdrowia.

Chyba większość z nas potrafił wymienić dane dotyczące zdrowia, nawet nie wiedząc, że to robi. Jeżeli w kolejce do lekarza dzielimy się z kimś informacjami na temat naszych zdrowotnych dolegliwości lub schorzeń, to znaczy, że dzielimy się danymi dotyczącymi zdrowia.

RODO definiuje te dane jako:

 

dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Danymi tymi są m.in. informacje o:

  • korzystaniu z usług medycznych przez osobę fizyczną,
  • nałogach i uzależnieniach,
  • przeszłym, obecnym, a także przyszłym stanie zdrowia.

Informacje o przyszłym stanie zdrowia mogą być istotne np. w przypadku zatrudnienia. Takie informacje mogą mieć wpływ na wybór np. podczas rekrutacji. Taką informacją jest wiadomość o chorobie i związanym z nią procesie leczenia, a także rokowania.

Dane dotyczące seksualności lub orientacji seksualnej.

Obecnie, w ustawa o ochronie danych osobowych, za dane wrażliwe uważa się dane o życiu seksualnym. Prowadzenie określonego życia seksualnego przez daną osobę fizyczną nie jest równoznaczne ze stwierdzeniem jej orientacji seksualnej. Oczywiście, można domniemywać, że ktoś jest heteroseksualny, homoseksualny lub biseksualny, ale z całą pewnością takie informacje nam tego nie potwierdzają.

Tak samo, dana orientacja seksualna nie wskazuje na prowadzone życie seksualne przez konkretną osobę, ani na jej seksualność.

Koniec przyjemność 🙂

Przetwarzanie danych medycznych a RODO.

Przetwarzaniem danych są wszelkie czynności lub operacje dokonywane na danych osobowych.

Może to być zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.

Krótko mówiąc, dokonując jakiejkolwiek czynności związanej z danymi, przetwarzamy je.

Dlaczego przetwarzanie danych medycznych jest zabronione?

Jak widać, możliwości jest mnóstwo, dlatego trzeba uważać co się robi z danymi.

Dane medyczne są szczególnymi danymi, które mają istotne znaczenie dla osób, których dotyczą.

 

Fakt, że opisane dane są tak istotne dla osób, których dotyczą, powoduje, że wprowadzono zakaz ich przetwarzania. W przypadku danych wrażliwych istnieje większe ryzyko naruszenia prawa lub wolności danej osoby.

Niechciane ujawnienie danych medycznych, może spowodować dyskryminowanie danej osoby np.:

  • podczas rekrutacji (pracodawca nie zdecyduje się na zatrudnienie chorej osoby, ze względu na przyszłe leczenie),
  • w społeczeństwie (ujawnienie orientacji seksualnej nastolatka może doprowadzić do katastrofy – inne dzieci mogą wyśmiewać i poniżać taką osobę w szkole).

Kiedy można przetwarzać dane medyczne?

Zakaz przetwarzania danych wrażliwych nie jest bezwzględny. Oznacza to, że w pewnych sytuacjach istnieje możliwość ich przetwarzania.

Zgodnie z RODO, przetwarzanie danych możliwe, jeżeli:

  1. osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie,
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  3. jest niezbędne do ochrony żywotnych interesów osoby,
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
  5. dane zostały upublicznione przez osobę, której dane dotyczą,
  6. jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  7. jest niezbędne ze względów związanych z ważnym interesem publicznym,
  8. jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,
  9. jest niezbędne ze względów związanych z interesem publicznym,
  10. jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych

W przypadku przetwarzania danych z pkt. 8, mogą one być przetwarzane przez pracownika, który ma obowiązek zachowania tajemnicy zawodowej (lub na jego odpowiedzialność) lub inną osobę podlegającą obowiązkowi zachowania tajemnicy zawodowej.

Państwo Członkowskie może wprowadzić surowsze ograniczenia niż przewiduje RODO, szczególnie w stosunku do przetwarzania danych genetycznych, biometrycznych lub dotyczących zdrowia. RODO określa minimalne standardy ochrony.

Konsekwencje nieprzestrzegania przepisów RODO.

Jeżeli zostaną naruszone przepisy dotyczące podstawowych zasad przetwarzania danych szczególnie chronionych, może zostać nałożona kara administracyjna do 20 milionów Euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Oczywiście, organ orzekający będzie brał pod uwagę wiele czynników (np. charakter, wagę i czas naruszenia, umyślność lub nieumyślność naruszenia), które wpłynął na wysokość takiej kary.

Podmioty zajmujące się przetwarzaniem danych medycznych mają czas do 25 maja 2018 r., aby dostosować się do wymogów wskazanych w RODO. Nie jest do długi okres, dlatego warto się tym zająć. Czasu było naprawdę sporo.

W artykule poruszyłem tylko ogólne kwestie dotyczące przetwarzania danych medycznych. Można o tym napisać nie jedną książkę lub komentarz (mnie się do tej pory udało napisać pracę magisterską na ten temat), dlatego w przypadku jakichkolwiek pytań, zapraszam do kontaktu.

Napisałem ostatnio tekst o wypowiadaniu klauzul opt-out przez rezydentów. Zapraszam do czytania.

Jestem radcą prawnym. Mieszkam i pracuję w Łodzi. Doradzam w zakresie prawa medycznego, danych osobowych i spółek handlowych. Więcej o mnie tutaj.

Najnowsze Wpisy:

Kategorie:

Archiwa:

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.