1. Wstęp
Zagadnienia dotyczące pozyskiwania danych osobowych zostały uregulowane w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – dalej u.o.d.o. Wydaje się jednak, iż opisany w komentarzu proceder należy rozpatrywać szerzej, z punktu widzenia prawa pacjenta do intymności, godności oraz prawa do życia prywatnego. Wartości te zostały uregulowane w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta oraz Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.) – dalej u.p.p. Pewne znaczenie mogą mieć również ustawy regulujące sytuację prawną poszczególnych grup zawodowych w służbie zdrowia, a zwłaszcza ustawa z dnia 5 lipca 1996 r. o zawodach pielęgniarki i położnej (tekst jedn.: Dz. U. z 2009 r. Nr 151, poz. 1217 z późn. zm.) – dalej u.z.p.p.
2. Zasady pozyskiwania danych osobowych
Na wstępie należy zaznaczyć, iż praktyka polegająca na pozyskiwaniu danych osobowych od pacjentów przebywających w szpitalu zdaje się być z punktu widzenia firm marketingowych legalna. Przetwarzanie danych osobowych jest dopuszczalne m.in. w sytuacji, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Pacjenci, którzy dobrowolnie udostępniają dotyczące ich dane osobowe, wyrażają zgodę na dalsze przetwarzanie pod warunkiem, że zostali o tym fakcie należycie poinformowani. Z punktu widzenia podmiotów zbierających dane osobowe wątpliwości mogą co najwyżej wzbudzać okoliczności towarzyszące temu procederowi (odbieranie zgód od osób po ciężkich zabiegach, w szczególnych momentach życiowych, pod pozorem wręczenia prezentu lub uzupełnienia ankiety). Oświadczenie podpisane przez pacjenta w opisanych wcześniej realiach może okazać się wadliwe. Na uwagę zasługuje zwłaszcza art. 7 pkt 5 u.o.d.o., który przewiduje, iż zgoda na przetwarzanie danych osobowych jest oświadczeniem woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W orzeczeniu z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/02, M. Praw. 2003, nr 10, s. 435, Naczelny Sąd Administracyjny stwierdził, że wyrażający zgodę na przekazywanie danych musi mieć świadomość tego, co kryje się pod tym pojęciem. Zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. W innym wyroku z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/02, Wokanda 2004, nr 6, poz. 30, Naczelny Sąd Administracyjny orzekł: „Zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych”. Jeżeli okazałoby się, iż okoliczności danego przypadku tak silnie oddziaływały na jednostkę, iż ta nie była w stanie złożyć prawidłowego oświadczenia woli, wtedy przetwarzanie tak uzyskanych danych byłoby nieprawidłowe.
Przykład 1
Pracownik firmy marketingowej odbiera zgodę od pacjenta zmęczonego ciężkim zabiegiem, kobiety po porodzie czy osoby pod wpływem środków uspokajających. Wszelkie oświadczenia złożone w takim stanie fizycznym lub psychicznym mogą okazać się w efekcie wadliwe, co wykluczać będzie ewentualną dystrybucję pozyskanych danych.
3. Działalność firm marketingowych, osoby wykonujące zawody medyczne a prawo pacjenta do intymności, poufności oraz życia prywatnego
Często zdarza się, iż firmy gromadzące dane osobowe, działając na terenie szpitali, współpracują z tymi jednostkami lub osobami, które wykonują tam zawody medyczne. Wydaje się, iż w przeciwieństwie do podmiotów przetwarzających dane osobowe, które nie ponoszą przy okazji swojej działalności poważnego ryzyka, to świadczeniodawca jest podmiotem, który może najwięcej stracić w ramach opisywanej relacji. Ponoszone przez szpitale ryzyko nijak ma się do korzyści odnoszonych przez szpital jako całość (trudno wskazać takie zyski) czy przez sam personel medyczny (drobne gratyfikacje finansowe lub rzeczowe).
Szczególnie kontrowersyjne zdaje się być wykorzystywanie przez firmy marketingowe członków personelu medycznego. Pomijając fakt, iż taka działalność jest prowadzona w godzinach pracy, co może skutecznie obniżać efektywność danej osoby, to postępowanie takie jest kontrowersyjne ze względu na normy prawne i etyczne regulujące postępowanie personelu medycznego. Jako przykład można wskazać ustawodawstwo dotyczące pielęgniarek i położnych, które stosunkowo najczęściej współpracują z tego typu podmiotami. Przepisy te są natomiast dość miarodajne, jeżeli chodzi o kwestię standardu prawnego wiążącego inne osoby wykonujące zawody medyczne. Przykładowo zgodnie z treścią art. 18 u.z.p.p. pielęgniarka, położna wykonuje zawód zgodnie z aktualną wiedzą medyczną, dostępnymi jej metodami i środkami, zgodnie z zasadami etyki zawodowej oraz ze szczególną starannością. Kwestię tę precyzuje Kodeks etyki zawodowej pielęgniarki i położnej Rzeczypospolitej Polskiej, przewidując, iż pielęgniarka (położna) obowiązana jest przestrzegać zasad wynikających z praw pacjenta, w tym m.in. respektować prawo pacjenta do intymności i godności osobistej podczas udzielania świadczeń medycznych. Podobne zapisy znalazły się również w innych ustawach sektorowych regulujących postępowanie poszczególnych grup pracowników służby zdrowia. Z punktu widzenia norm deontologicznych nie do wyobrażenia jest, by podmiot stojący na straży intymności i godności pacjenta mógł angażować się w tego typu działalność. O tym, że wspomnianych norm deontologicznych nie można lekceważyć i że nie mają one charakteru uznaniowego, jednoznacznie przypomina art. 8 zdanie drugie u.p.p.: „Przy udzielaniu świadczeń zdrowotnych osoby wykonujące zawód medyczny kierują się zasadami etyki zawodowej określonymi przez właściwe samorządy zawodów medycznych”.
(...)
Praktyka pozyskiwania danych osobowych od pacjentów przebywających w szpitalach przez firmy marketingowe
W polskich szpitalach masowo zaczęły pojawiać się przypadki zbierania danych osobowych przez przedstawicieli firm marketingowych. Często tego typu sytuacje występują przy okazji narodzin dziecka, gdzie oferuje się świeżo upieczonym matkom prezenty powitalne zawierające pieluchy, produkty do pielęgnacji dziecka oraz ulotki informacyjne. Przy tego typu sytuacjach pacjenci są proszeni o uzupełnienie ankiety, która w rzeczywistości jest aktem zgody na przetwarzanie danych osobowych. Tak uzyskane dane są następnie przekazywane firmom zajmującym się m.in. telemarketingiem. Zdarza się, iż w procesie pozyskiwania danych osobowych biorą udział m.in. osoby wykonujące zawód medyczny w danym szpitalu.