Usługi medyczne, służba zdrowia, apteki i firmy farmaceutyczne a obowiązek zgłaszania zbiorów do rejestracji

Young woman doctor holding a tablet pc .

Stosownie do treści art. 40 ustawy o ochronie danych osobowych, zwanej dalej „uodo” administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 uodo. Zgodnie z brzmieniem art. 43 ust. 1 pkt 5 uodo z obowiązku rejestracji zbioru danych osobowych zwolnieni są m.in. administratorzy danych dotyczących osób korzystających z ich usług medycznych.

Z uwagi na to, iż omawiana przesłanka zwolnienia nie definiuje czym jest „usługa medyczna”, przyjmuje się, iż chodzi o usługę medyczną, o której mowa w ustawie o zakładach opieki zdrowotnej1 (Dz. U. 2007 r., nr 14, poz. 89 z późn. zm.). Zgodnie z art. 32e tej ustawy przez usługę medyczną rozumie się świadczenia zdrowotne i związane z ich udzielaniem usługi – przykładowy katalog został określony w art. 3 ustawy o zakładach opieki zdrowotnej. Dodatkowo należy uwzględnić interpretację art. 43 ust. 1 pkt 5 uodo , zgodnie z którą ze zwolnienia korzystają tylko podmioty wykonujące usługi medyczne, zapewniające przetwarzanie danych wyłącznie przez osoby wykonujące zawody medyczne, z których wykonywaniem wiąże się obowiązek zachowania tajemnicy zawodowej2 .

Powyższy przepis zwalnia z obowiązku rejestracji zbiory danych dotyczących pacjentów korzystających z usług medycznych. W przypadku podmiotów działających w sektorze medycznym zastosowanie znajdują również inne, wymienione w art. 43 ust. 1 uodo, przesłanki zwolnienia z obowiązku rejestracji. Jedną z nich jest przesłanka zwolnienia wskazana w pkt 4 powyższego przepisu, na podstawie którego z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. W omawianym sektorze przesłankę tę, oprócz osób zatrudnionych, stosuje się w szczególności do lekarzy, lekarzy-stomatologów i farmaceutów, którzy są członkami samorządów zawodowych3 , tj. samorządu lekarskiego lub samorządu zawodu farmaceuty, na podstawie stosownych przepisów4 , które regulują kwestie zrzeszania się w okręgowych izbach i wpisu na listę członków właściwej okręgowej izby, po spełnieniu przez te osoby określonych warunków.

Inna przesłanka zwolnienia z obowiązku rejestracji określona jest w art. 43 ust. 1 pkt 8 uodo. W myśl tego przepisu zwolnieni z obowiązku rejestracji są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, np. zbiory danych klientów aptek, którym wystawiono fakturę na życzenie5 . Jednakże stosowanie omawianej przesłanki rodzi szereg problemów, gdyż zwykle dane klienta apteki, któremu wystawiono fakturę, są przetwarzane dalej, ale już w innych celach, np. w celu realizacji zamówienia na lek.

W przypadku aptek zbiorami danych podlegającymi rejestracji będą najczęściej zbiory danych klientów, prowadzone w celach marketingowych lub w celu realizacji programu lojalnościowego. Nie ma natomiast konieczności zgłaszania przez apteki zbiorów danych związanych z realizacją recept. Generalny Inspektor Ochrony Danych Osobowych bowiem uznał te zbiory danych osobowych za zbiory osób korzystających z usług medycznych w rozumieniu art. 43 ust. 1 pkt 5 uodo6 .

Przykłady opisane wyżej (zbiory należące do aptek) dowodzą, że podmioty prowadzące działalność w sektorze medycznym, oprócz zbiorów zwolnionych z obowiązku rejestracji, prowadzą również inne zbiory danych osobowych, co do których zachodzi obowiązek zgłoszenia do rejestracji. Trzeba zauważyć, że obowiązkowi rejestracji podlegają prowadzone często przez zakłady opieki zdrowotnej zbiory typu rejestrów skarg i wniosków, rejestrów korespondencji, etc. Obowiązkowi rejestracji podlegają także zbiory danych osób przetwarzanych przez fundacje, których celem statutowym jest promocja i ochrona zdrowia, np. zbiory danych dawców szpiku kostnego7 .

Ponadto do rejestracji powinny być zgłaszane zbiory danych osobowych, prowadzone przez firmy farmaceutyczne, dotyczące działań niepożądanych, jakie mogły zostać wywołane u osób uczestniczących w badaniach prowadzonych zgodnie z ustawą Prawo farmaceutyczne8 . Stosownie do treści art. 24 ust. 1 pkt 2 ustawy Prawo farmaceutyczne podmioty, które uzyskały pozwolenie na dopuszczenie do obrotu produktu leczniczego, zobowiązane są do prowadzenia rejestru wszelkich zgłaszanych działań niepożądanych. W zbiorach tych gromadzone są zarówno dane osobowe lekarzy, farmaceutów i pracowników opieki zdrowotnej zobowiązanych do zgłaszania działań niepożądanych, jak również dane osób, które dobrowolnie poinformowały o fakcie wystąpienia działań niepożądanych. Na firmach farmaceutycznych ciąży również obowiązek zgłaszania zbiorów danych lekarzy i farmaceutów odwiedzanych przez przedstawicieli medycznych, wszelkich baz marketingowych, ksiąg akcyjnych, baz uczestników różnych konkursów, w tym lekarzy biorących udział w konkursach, baz danych dziennikarzy, lekarzy, farmaceutów i innych użytkowników sieci zainteresowanych informacjami i ofertą (newslettery) oraz elementami interaktywnymi serwisu WWW firmy farmaceutycznej. Powyższe zbiory lub dane osobowe mogą być ze sobą łączone i zawierać podobny zakres danych, ale jak to funkcjonuje w praktyce zależy od konkretnego administratora danych. O tym z jakimi bazami danych ma do czynienia administrator i które z nich podlegają rejestracji decydować powinien ABI.

Wskazane przez nas zbiory oczywiście nie wyczerpują wszystkich problemów związanych z określeniem, które z baz podlegają rejestracji, ani nie stanowią wyczerpującego katalogu. Jest to natomiast cenną wskazówką, pomocną przy ustaleniu jakimi bazami dysponują administratorzy w opisanych sektorach i które z nich mogą podlegać obowiązkowi rejestracji. Do artykułu nie wprowadziliśmy rozważań odnoszących się do przeprowadzania badań klinicznych, bowiem to zagadnienie wymaga odrębnego opracowania.

1) Generalny Inspektor Ochrony Danych Osobowych, ABC przetwarzania danych osobowych w sektorze medycznym, Warszawa 2008, s. 1.
2) A. Drozd, Ustawa o ochronie…, s. 292.
3) Generalny Inspektor Ochrony Danych Osobowych, ABC…, s. 2.
4) Ustawa z dnia 17 maja 1989 r. o izbach lekarskich (Dz. U. Nr 30, poz. 158 z późn. zm.) oraz ustawa z dnia 19 kwietnia 1991 r. o izbach aptekarskich (Dz. U. z 2003 r. Nr 9, poz. 108 z późn. zm.).
5) Generalny Inspektor Ochrony Danych Osobowych, ABC…,, s. 2.
6) Generalny Inspektor Ochrony Danych Osobowych, Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za okres 01.01.1999 r. – 31.12.1999 r., s. 177. Dokument dostępny na stronie internetowej Generalnego Inspektora pod adresem: http://www.giodo.gov.pl/plik/t/pdf/j/pl/id_p/33.pdf, 11.10.2009 r.
7) Tamże, s. 4.
8) Ustawa z dnia 6 września 2001 r. Prawo farmaceutyczne (Dz. U. z 2004 r. Nr 53, poz. 533 z późn. zm.). Powoływana dalej jako ustawa Prawo farmaceutyczne.

About Redakcja 316 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.