Czy urzędnik ma prawo ujawnić dane o Twoim stanie zdrowia?

Do napisania tego wpisu zainspirowało mnie życie. A konkretnie wpis Ministra Zdrowia Adama Niedzielskiego na Twitterze (a właściwie na portalu X), w którym minister ujawnił informacje na temat treści recept wystawionych na koncie ujawnionego przez niego z imienia i nazwiska lekarza: w tym o lekach psychotropowych.

Tym samym funkcjonariusz publiczny, który powinien stać na straży porządku prawnego, złamał prawo, upubliczniając prywatne informacje o stanie zdrowia. Co prawda Minister tłumaczy się obecnie, że dokonał tego w interesie publicznym, jednak fakty są takie, że informacje o stanie zdrowia zostały ujawnione publicznie i to nieokreślonej (chociaż wiadomo, że nieograniczonej) liczbie odbiorców. W momencie publikacji tego wpisu, wpis nadal pozostaje upubliczniony:

Lek. Piotr Pisula, szpital miejski w Poznaniu wczoraj w @FaktyTVN "żadnemu pacjentowi nie dało się wystawić takiej recepty". Sprawdziliśmy. Lekarz wystawił wczoraj na siebie receptę na lek z grupy psychotropowych i przeciwbólowych. Takie to FAKTY. Jakie kłamstwa czekają nas dziś

— Adam Niedzielski (@a_niedzielski) August 4, 2023

Czy informacja o tym, że ktoś korzysta ze świadczeń opieki zdrowotnej stanowi dane dotyczące zdrowia?

Tak. RODO w art. 4 ust. 15 definiuje pojęcie danych dotyczących zdrowia, wskazując, że „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Taka definicja stanowi szerokie ujęcie danych dotyczących zdrowia, ponieważ nie tylko wskazuje na informacje odnoszące się do zdrowia fizycznego lub psychicznego osoby (np. o konkretnej jednostce chorobowej), ale uwzględnia również informacje o korzystaniu z usług opieki zdrowotnej (np. przepisanych lekarstw, umówionych świadczeń medycznych, okresu leczenia).

Czy można przetwarzać dane dotyczące zdrowia?

Przesłanki przetwarzania danych osobowych uregulowane są w RODO. RODO to rozporządzenie unijne – wysoki rangą w hierarchii powszechnie obowiązującego prawa akt prawny, który ma pełne zastosowanie w każdym kraju Unii Europejskiej. RODO wyróżnia dane osobowe zwykłe, dane osobowe szczególnych kategorii i dane dotyczące wyroków skazujących i czynów zabronionych.

Przesłanki przetwarzania danych osobowych wrażliwych – inaczej szczególnych kategorii – w tym danych dotyczących zdrowia określone są w art. 9 RODO.

Z ust. 1 ww. przepisu wynika, że przetwarzanie danych osobowych dotyczących zdrowia, bez spełnienia ściśle określonych w art. 9 ust. 2 RODO przesłanek jest zabronione.

Uznając, że przetwarzanie niektórych rodzajów danych osobowych może stanowić poważną ingerencję w sferę prywatności osób, których dane dotyczą, lub pociągać za sobą znacznie większe zagrożenia niż przetwarzanie tzw. danych zwykłych, prawodawca unijny ograniczył dopuszczalność przetwarzania danych osobowych wrażliwych.

Katalog szczególnych kategorii danych został ukształtowany wolą prawodawcy i podmioty stosujące przepisy nie mogą go modyfikować i np. twierdzić, że dane wskazane w tym wyliczeniu nie mają charakteru danych szczególnie chronionych.

Artykuł 9 RODO Przesłanki przetwarzania szczególnych kategorii danych osobowych
1.   Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2.   Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
3.   Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
4.   Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Żadna z ww. cytowanych przesłanek legalizacyjnych nie zezwala Ministrowi Zdrowia na publikowanie informacji o stanie zdrowia konkretnej osoby w mediach społecznościowych. Co prawda RODO legalizuje przetwarzanie takich danych gdy „przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą”, ale wyraźnie z treści tej normy prawnej wynika, że upublicznianie danych z uwagi na ważny interes publiczny musi mieć oparcie w przepisie prawa. O ujawnieniu takich danych nie może decydować samodzielnie urzędnik państwowy.

Uwagę wszystkich osób nastawionych do RODO negatywnie (RODO-sceptykom?) chcę też skierować na to, że także Konstytucja RP zawiera zasady dotyczące przetwarzania danych osobowych.

Art.  51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.
1.  Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2.  Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3.  Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4.  Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5.  Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Co grozi za bezprawne przetwarzanie danych osobowych? – odpowiedzialność karna

Za niezgodne z przepisami przetwarzanie danych osobowych grozi odpowiedzialność karna. Minister zdrowia bezprawnie upubliczniając dane wrażliwe mógł narazić się na odpowiedzialność karną na podstawie przepisu art. 107 § 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych lub na podstawie art. 266 § 1 kodeksu karnego:

Art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych  genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub  orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Art.  266 Kodeksu karnego
§  1.       Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Co grozi za bezprawne przetwarzanie danych osobowych? – odpowiedzialność na gruncie RODO

Kary za naruszenie RODO w Polsce wydawane są także w konsekwencji przeprowadzenia postępowania administracyjnego. Postępowanie regulowane jest przez przepisy kodeksu postępowania administracyjnego.

Rozporządzenie RODO wskazuje górną granicę kar pieniężnych nakładanych na podmioty naruszające przepisy o ochronie danych. Maksymalna wysokość administracyjnej kary pieniężnej uzależniona jest od rodzaju naruszenia, a także charakteru podmiotu, który naruszenia się dopuścił.

W przypadku jednostek publicznych wysokość możliwych do nałożenia administracyjnych kar finansowych została ustawowo ograniczona przez polskiego ustawodawcę. Zgodnie z przepisami ustawy o ochronie danych osobowych, Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych.

Co grozi za bezprawne przetwarzanie danych osobowych – odpowiedzialność odszkodowawcza

Zgodnie z art. 82 RODO, Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Art. 82 RODO
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
3.  Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.
6.  Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Szanowni Państwo,

w związku z zaistniałą sytuacją wzywam Pana Ministra Zdrowia do przeprosin i przekazania 100 tys. zł na rzecz Hospicjum Palium w Poznaniu. pic.twitter.com/R78p3lggBZ

— Piotr Pisula (@PanPisula) August 7, 2023