1. Dane o stanie zdrowia jako dane osobowe
Zgodnie z art. 27 ust. 1 u.o.d.o. przetwarzanie danych sensytywnych (w tym m.in. o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym) jest zasadniczo zabronione, poza wypadkami wskazanymi enumeratywnie w art. 27 ust. 2. Spośród wymienionych tam sytuacji wyjątkowych, w których dopuszcza się przetwarzanie danych wrażliwych, do informacji o stanie zdrowia znajdują zastosowanie następujące wypadki:
a) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
b) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą i stwarza pełne gwarancje ich ochrony;
c) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody do czasu ustanowienia opiekuna prawnego lub kuratora;
d) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
e) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
f) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
g) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
h) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Ustawodawca w art. 27 ust. 1 u.o.d.o. posługuje się zwrotem "zabrania się przetwarzania danych ujawniających" (m.in. stan zdrowia), co należy interpretować w ten sposób, że zakazane jest przetwarzanie zarówno informacji odnoszących się bezpośrednio do stanu zdrowia człowieka, jak również informacji, z których przeciętny odbiorca może w prosty sposób wywieść takie dane (np. informacja, że osoba A musi codziennie zażywać insulinę)1. Przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 u.o.d.o.).

2. Dane osobowe zawarte w dokumentacji medycznej

Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Dane zawarte w dokumentacji medycznej podlegają ochronie określonej w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417; dalej jako: u.p.p.) oraz w przepisach odrębnych. Zgodnie z art. 24 ust. 1 u.p.p., podmiot udzielający świadczeń zdrowotnych jest zobowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w rozdziale 7. wspomnianej na wstępie ustawy oraz zapewnić ochronę danych zawartych w tej dokumentacji. Zgodnie z art. 25 u.p.p. dokumentacja medyczna musi zawierać co najmniej następujące dane:
1) oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości:
a) nazwisko i imię (imiona),
b) datę urodzenia,
c) oznaczenie płci,
d) adres miejsca zamieszkania,
e) numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość,
f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody - nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania;
2) oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych;
3) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych;
4) datę sporządzenia.

Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w innych wypadkach wymienionych w art. 27 ust. 2 u.o.d.o. Artykuł 27 ust. 2 pkt 2 u.o.d.o. stanowi, że przetwarzanie danych dotyczących stanu zdrowia jest dopuszczalne wtedy, gdy przepis szczególny innej ustawy na to zezwala i stwarza pełne gwarancje ich ochrony. Przepis art. 24 ust. 2 u.p.p. nadaje lekarzom, pielęgniarkom i położnym uprawnienie do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej. Ponadto o udostępnianiu dokumentacji medycznej stanowi przepis art. 26 u.p.p., który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją. Zgodnie z tym przepisem, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację:
1) pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej przez pacjenta;
2) podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
3) organom władzy publicznej, Narodowemu Funduszowi Zdrowia oraz organom samorządu zawodów medycznym oraz konsultantom krajowym i wojewódzkim, w zakresie niezbędnym do wykonywania prze te podmioty ich zadań, w szczególności kontroli i nadzoru;
4) ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuraturom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem;
5) uprawnionym na mocy odrębnych ustaw organom i instytucjom, jeżeli badanie zostało przeprowadzone na ich wniosek;
6) organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem;
7) podmiotom prowadzącym rejestry usług medycznych, w zakresie niezbędnym do prowadzenia rejestrów;
8) zakładom ubezpieczeń, za zgodą pacjenta;
9) szkole wyższej lub jednostce badawczo-rozwojowej do wykorzystania dla celów naukowych, bez ujawniania nazwiska lub innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy;
10) lekarzowi, pielęgniarce lub położnej w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym do jej przeprowadzenia.
Po śmierci pacjenta, prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia.

Zgodnie z art. 26 ust. 3 pkt 7 u.p.p. dokumentacja medyczna może być udostępniona zakładom ubezpieczeń, za zgodą pacjenta. Udostępnienie dokumentacji zakładom ubezpieczeń odbywa się na zasadach określonych w przepisach o działalności ubezpieczeniowej. Zasady te zostały określone w art. 22 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 z późn. zm.; dalej jako: u.d.u.). Zgodnie z art. 22 ust. 1 u.d.u. zakład ubezpieczeń może uzyskać od zakładu opieki zdrowotnej, który udzielał świadczeń zdrowotnych ubezpieczonemu lub osobie, na rzecz której ma zostać zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia, a także informacje o przyczynie śmierci ubezpieczonego, z wyłączeniem wyników badań genetycznych. Artykuł 22 ust. 3 u.d.u. stanowi jednak, że wystąpienie zakładu ubezpieczeń o wskazane wyżej informacje, zawarte w dokumentacji medycznej, wymaga pisemnej zgody ubezpieczonego lub osoby, na rzecz której ma zostać zawarta umowa ubezpieczenia albo jej przedstawiciela ustawowego. Zakład ubezpieczeń może zatem uzyskać informacje o stanie zdrowia nie tylko ubezpieczonego, ale także osoby, która dopiero zamierza zawrzeć umowę ubezpieczenia jednak wyłącznie za jej zgodą lub zgodą jej przedstawiciela ustawowego. Szczegółowe zasady udzielania zakładom ubezpieczeń informacji zawartych w dokumentacji medycznej pacjenta zakładu opieki zdrowotnej reguluje rozporządzenie Ministra Zdrowia z dnia 23 marca 2004 r. w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia, oraz sposobu ustalania wysokości opłat za udzielenie tych informacji (Dz. U. Nr 71, poz. 654).

Z punktu widzenia ochrony danych o stanie zdrowia, istotny wydaje się także sposób udostępniania dokumentacji medycznej, który został uregulowany w art. 27 u.p.p. Przepis ten przewiduje następujące sposoby udostępniania dokumentacji:
- do wglądu w siedzibie podmiotu udzielającego świadczeń zdrowotnych;
- poprzez sporządzenie wyciągów, odpisów lub kopii;
- poprzez wydanie oryginału za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, jeśli uprawniony organ lub podmiot żąda udostępnienia oryginału dokumentacji.

Szczegółowe przepisy określające rodzaje i zakres dokumentacji medycznej oraz sposób jej przetwarzania, uwzględniające konieczność zapewnienia realizacji prawa dostępu do dokumentacji medycznej, rzetelnego jej prowadzenia oraz ochrony danych i informacji dotyczących stanu zdrowia pacjenta, znajdują się w rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania (Dz. U. Nr 247, poz. 1819 z późn. zm.; dalej jako: rozporządzenie), wydanym na podstawie delegacji zawartej w art. 18 ust. 8 u.z.o.z. W związku jednak z uchyleniem podstawy prawnej do wydania rozporządzeń wykonawczych w sprawie dokumentacji medycznej zawartej w ustawie o zakładach opieki zdrowotnej, przez ustawę z dnia 24 kwietnia 2009 r. - Przepisy wprowadzające ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawę o akredytacji w ochronie zdrowia oraz ustawę o konsultantach w ochronie zdrowia (Dz. U. Nr 96, poz. 641), rozporządzenie to na podstawie przepisów przejściowych do dnia 1 stycznia 2011 r. powinno zostać zastąpione nowym aktem wykonawczym wydanym na podstawie art. 30 ust. 1 u.p.p. - w przeciwnym razie z dniem 1 stycznia 2011 r. utraci moc obowiązującą (art. 17 ustawy - Przepisy wprowadzające ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawę o akredytacji w ochronie zdrowia oraz ustawę o konsultantach w ochronie zdrowia).
(...)