Dane dotyczące zdrowia

Art. 4 pkt 15 RODO

„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Jakie dane mogą być zakwalifikowane jako dane dotyczące zdrowia w rozumieniu RODO?

Dane osobowe dotyczące zdrowia to wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą, w tym także informacje o korzystaniu przez daną osobę z usług opieki zdrowotnej.

Pojęcie „danych dotyczących zdrowia” należy interpretować szeroko.

Przykłady danych dotyczących zdrowia:

  • informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 10)
  • numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych
  • informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych
  • wszelkie informacje o przebytych lub aktualnych chorobach niezależnie od ich źródła

Motyw 35 RODO

Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 10); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła.

Wszelkie informacje o chorobach, czyli jakie?

Przykłady:

  • dane niepełnosprawności
  • dane ryzyku choroby
  • historia medyczna
  • dane o leczeniu klinicznym
  • dane o stanie fizjologicznym
  • dane stanie biomedycznym
  • dane o odbytych zabiegach chirurgicznych
  • dane o stosowanych terapiach
  • dane planowanych zabiegach
  • dane o rehabilitacji
  • dane o rekonwalescencji
  • prognozy dotyczących stanu zdrowia
  • dane o nałogach lub uzależnieniach

Co to oznacza, że dane dotyczące zdrowia mogą pochodzić z różnych źródeł?

Nie ma znaczenia z jakiego źródła pochodzą dane osobowe dotyczące zdrowia. 

Przykłady:

  1. informacje zebrane przez lekarza w dokumentacji medycznej pacjenta w postaci wywiadu chorobowego
  2. informacje zebrane przez psychologa podczas terapii
  3. ustalenie przez lekarza, że u danej osoby występuje większe ryzyko zawału serca ze względu na wysokie ciśnienie krwi, jakie odnotowano w ramach dokonanych pomiarów
  4. wypełnianie ankiet dotyczących przebytych chorób czy wskazania objawów
  5. informacje dotyczące niedawnej podróży lub obecności w regionie dotkniętym COVID-19[1]

Motyw 75 RODO (fragment)

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: […] jeżeli przetwarzane są […] dane dotyczące zdrowia […].

Dane osobowe należą do szczególnej kategorii danych osobowych (art. 9 ust. 1 RODO). W praktyce oznacza to, że co do zasady ich przetwarzanie jest zabronione. Niemniej jednak, RODO wprowadza wyjątki od tej zasady.

Wyjątki!

W uproszczeniu, dane o stanie zdrowia mogą być przetwarzane, jeżeli:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody
  • przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych
  • przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego
  • przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego
  • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych

Administrator przetwarzający dane o stanie zdrowia zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń, administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń.

Dane biometryczne

Art. 4 pkt 14 RODO „Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub
Czytaj więcej »

Dane genetyczne

Dane genetyczne Art. 4 pkt 13 RODO „Dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii
Czytaj więcej »

Źródła:

  1. Fischer/Górski/Nerka/Sakowska-Baryła/Wygoda komentarz do art. 4 pkt 15 RODO [w:] Ogólne Rozporządzenie o Ochronie Danych Osobowych. Komentarz. pod. red. M. Sakowska – Barył, Legalis
  2. Wyrok z dnia 6 listopada 2003 r.,  C-101/01, sprawa Postępowanie karne przeciwko Bodil Lindqvist, ECLI:EU:C:2003:596
  3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  4. Komentarz do art. 4 pkt 15 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, Lex

[1] Europejska Rada Ochrony Danych, Wytyczne 03/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19 przyjęte 21 kwietnia 2020 r., s. 5 (online:) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_pl.pdf [dostęp: 05.10.2020 r.]