08.2011 – „Dane wrażliwe i ich wymiar w kontekście praktyki aptekarskiej.”

   Rzeczywistość XXI wieku wymaga od Ustawodawcy odpowiednio ukształtowanej ochrony jednostki. Jednym z jej aspektów jest ochrona danych osobowych. Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, o czym stanowi art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych [1] (dalej UODO). Z katalogu danych osobowych wyodrębnić można tzw. dane osobowe wrażliwe, które dotyczą m. in. pochodzenia rasowego lub etnicznego, stanu zdrowia, kodu genetycznego, nałogów czy też życia seksualnego człowieka.  Katalog danych osobowych wrażliwych (czy też danych wrażliwych) zawarty jest w art. 27 ust. 1 UODO. W praktyce aptekarskiej szczególnego znaczenia nabiera zagadnienie ochrony danych wrażliwych odnoszących się do stanu zdrowia pacjenta. Ochrona ta zapewniona została przez Ustawodawcę w dwojaki sposób: po pierwsze, przez wprowadzenie regulacji dotyczących przetwarzania danych wrażliwych; po drugie, przez ukonstytuowanie tajemnicy aptekarskiej.

Zasady przetwarzania danych osobowych (w tym i danych wrażliwych) zawarte są we wspomnianej już UODO. W ramach tejże ustawy wprowadzono także definicję legalną pojęcia „przetwarzanie danych osobowych”, którym są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt. 2 UODO). Zasadniczo, przetwarzaniu podlegać mogą wszelkie dane osobowe niebędące danymi wrażliwymi, jeżeli zostaną spełnione warunki określone w ustawie (art. 23 UODO). Z sytuacją odmienną mamy natomiast do czynienia wówczas, gdy chodzi o tzw. dane wrażliwe. Zgodnie bowiem ze wspomnianym art. 27 ust. 1 UODO, „zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”. Warto podkreślić, iż w ramach przepisu art. 27 ust. 1 UODO, Ustawodawca nie tylko wprowadził katalog danych wrażliwych, ale także zastosował zakaz ich przetwarzania. Z powyższej regulacji wynika więc, iż wobec danych wrażliwych zasadą jest więc zakaz ich przetwarzania. Wyjątek od zakazu przetwarzania danych wrażliwych wprowadza natomiast przepis art. 27 ust. 2 UODO, stanowiąc, iż przetwarzanie danych wrażliwych jest jednak dopuszczalne, jeżeli:

1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

   Biorąc pod uwagę definicję przetwarzania danych osobowych, w świetle praktyki aptekarskiej należy wymienić dwa zachowania, spełniające warunki definicyjne. Pierwszym są czynności związane z przetwarzaniem danych osobowych wrażliwych dla celów refundacyjnych (w tym także przechowywaniem recept lekarskich); drugim jest prowadzenie programów lojalnościowych przez apteki ogólnodostępne.

Wystawienie recepty polega na trwałym oraz czytelnym naniesieniu danych określonych przepisami prawa (§ 2 ust. 1 rozporządzenia Ministra Zdrowia z dnia 17 maja 2007 r. w sprawie recept lekarskich [2] – dalej: RRL). Przepisy RRL wskazując na zakres danych, jakie muszą zostać umieszczone na recepcie lekarskiej wskazują m. in. na dane dotyczące pacjenta, w tym imię i nazwisko, adres zamieszkania, wiek (w przypadku pacjenta do lat osiemnastu), numer PESEL oraz dane dotyczące przepisanego leku lub wyrobu medycznego, takie jak: nazwę leku, postać leku, dawkę, ilość a w określonych przypadkach także sposób dawkowania. Biorąc pod uwagę definicję danych osobowych oraz danych osobowych wrażliwych, należy stwierdzić, iż dane wskazane na recepcie są zarówno danymi osobowymi, jak i danymi osobowymi wrażliwymi. Dane wskazane na recepcie są danymi osobowymi albowiem dotyczą zidentyfikowanej lub też przynajmniej dającej się zidentyfikować (biorąc pod uwagę wskazanie imienia i nazwiska, adresu a nawet numeru PESEL) osoby fizycznej – pacjenta. Dane wskazane na recepcie są danymi wrażliwymi albowiem z informacji o przepisanych przez lekarza lekach, można wysnuć wniosek o stanie zdrowia pacjenta (osoby fizycznej), podlegającego procesowi leczenia. Warto w tym miejscu powtórzyć zasadę, zgodnie z którą dane wrażliwe (czyli dotyczące m. in. stanu zdrowia), nie mogą podlegać przetwarzaniu. Oczywiście koniecznym jest również powtórne wskazanie na wyjątek od tak skonstruowanej zasady,  zawarty w art. 27 ust. 2 UODO. Należy się jednak zastanowić, która ze wskazanych w art. 27 ust. 2 UODO sytuacji znajdzie zastosowanie jako podstawa do przetwarzania danych osobowych wrażliwych. Przepis art. 27 ust. 2 pkt 7 UODO stanowi, iż przetwarzanie danych wrażliwych jest możliwe wówczas, gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. W moim jednak przekonaniu przepis ten nie może stanowić podstawy dla przetwarzania danych osobowych wrażliwych przez aptekarzy, w ramach działalności apteki. Wydanie produktu leczniczego na podstawie recepty lekarskiej jest usługą farmaceutyczną, wykonywaną z całą pewnością w celu ochrony stanu zdrowia. Przechowywanie recept i danych związanych z ich realizacją nie stanowi już jednak czynności podjętej w celu ochrony stanu zdrowia. W moim przekonaniu właściwą podstawą prawną przetwarzania danych osobowych wrażliwych w ramach działalności apteki powinien być przepis art. 27 ust. 2 pkt 2 UODO, który stanowi, iż przetwarzanie danych wrażliwych jest możliwe, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. Należy w tym miejscu odnieść się do uprawnień kontrolnych Narodowego Funduszu Zdrowia względem aptek i do treści art. 189 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych [3] (dalej UŚOZ). Przepis ten stanowi, iż apteki są obowiązane przedstawiać do wglądu recepty oraz inne dane, na żądanie podmiotu zobowiązanego do finansowania świadczeń ze środków publicznych (art. 189 ust. 1 UŚOZ). Owe inne dane, zostały określone w rozporządzeniu Ministra Zdrowia z dnia 28 września 2004 r. [4], wydanym na podstawie art. 190 ust. 2 UŚOZ. W mojej ocenie, przepisy UŚOZ oraz wskazanego  rozporządzenia są podstawą do przetwarzania przez apteki danych osobowych wrażliwych, dla celów związanych z refundacją oraz z obowiązkami apteki względem Narodowego Funduszu Zdrowia. Na marginesie zastanowić się jedynie wypada, czy forma rozporządzenia jest wystarczająca, biorąc pod uwagę treść art. 27 ust. 2 pkt 2 UODO, który to expressis verbis wymaga formy ustawy.

    Bardzo ważnym aspektem związanym z przetwarzaniem danych osobowych pacjentów są tzw. programy lojalnościowe aptek ogólnodostępnych. Istota programu lojalnościowego polega na zapisywaniu w systemie informatycznym danych odnośnie zakupionych przez pacjenta leków w danej aptece. Ilość zakupionych leków (w zależności od ich wartości) ma wpływ na ilość punktów zgromadzonych na rachunku imiennym danego pacjenta w danej aptece. W zależności od sposobu prowadzenia systemu informatycznego i zawartych w nim danych, działania poszczególnych aptek mogą nosić znamiona naruszenia zasad przetwarzania danych wrażliwych albo nie. W mojej ocenie, odmienne warunki ochrony danych wrażliwych są wymagane wówczas, gdy w systemie informatycznym, na koncie indywidualnego pacjenta zapisywane są jedynie zgromadzone przez tegoż pacjenta punkty. Wówczas bowiem, dane nie stanowią danych wrażliwych. Należy jednak przypomnieć, iż dane osobowe niebędące danymi wrażliwymi mogą podlegać przetwarzaniu, tylko przy spełnieniu określonych przez UODO rygorów. W sytuacji zaś, gdy w systemie informatycznym, na koncie indywidualnego pacjenta zapisywane są nie tylko zgromadzone punkty ale również dane o zakupionych lekach, taki rejestr podlega, moim zdaniem, ostrzejszym rygorom ochrony danych wrażliwych.

   Dane wrażliwe objęte są również tajemnicą aptekarską. Regulacja dotycząca tajemnicy aptekarskiej została zawarta w art. 21 pkt ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich [5] (dalej UIA). Przepis ten stanowi, iż członkowie samorządu aptekarskiego zobowiązania są do zachowania w tajemnicy wiadomości dotyczących zdrowia pacjenta, uzyskanych w związku z wykonywanie zawodu [6].

   Dane osobowe, w tym także dane osobowe wrażliwe jako część prywatności człowieka podlegają ochronie. Chroniony w ten sposób jest zarówno każdy człowiek jak i całe społeczeństwo. Placówka ochrony zdrowia publicznego jaką jest apteka, ze względu na swą szczególną funkcję, powinna w szczególności dbać o zachowanie wymogów ochrony danych wrażliwych. Jest to konieczne dla budowania zaufania pomiędzy pacjentem a aptekarzem. Zaufanie pacjenta zaś jest jednym z głównych czynników, wpływających na właściwe wykonywanie zawodu farmaceuty w aptece.

fot. dreamstime.com

[1] Dz. U. z 1997 r. Nr 133, poz. 883 ze zm.
[2] Dz. U. z 2007 r. Nr 247, poz. 1843 ze zm.)
[3] Dz. U. z 2004 r. Nr 210, poz. 2135 ze zm.
[4] Rozporządzenie MZ z dnia 28 września 2004 r. w sprawie zakresu niezbędnych informacji gromadzonych i przekazywanych przez apteki podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych, Dz. U. z 2004 r. Nr 213, poz. 2167 ze zm.
[5] Dz. U. z 1991 r. Nr 41, poz. 179 ze zm.
[6] Zob. więcej: J. Bujny, Zakres przedmiotowy tajemnicy aptekarskiej, Aptekarz Polski nr 30/08 (luty 2009)
http://archiwum.aptekarzpolski.pl/index.php?option=com_content&task=view&id=326&Itemid=91