Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor

Regulamentului general privind protecția datelor (GDPR)[1] acordă o atenție deosebită prelucrării datelor privind sănătatea, acestea fiind date sensibile care necesită un nivel mai ridicat de protecție[2], motiv pentru care, în principiu, prelucrarea acestora este interzisă. De aceea, și legalitatea prelucrării acestor date este supusă unor reguli speciale prevăzute în cadrul art. 9 din GDPR.

Amintim că, potrivit art. 4 pct. 15 din GDPR, prin date privind sănătatea înțelegem datele cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia. Considerentul (35) precizează că aceste date pot privi starea de sănătate trecută, prezentă sau viitoare a persoanei vizate și sunt colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză. Sunt avute în vedere serviciile de asistență medicală a pacienților astfel cum sunt menționate în Directiva 2011/24/UE, adică fără a se ține seama de modul de organizare, de furnizare sau de finanțare a acestora[3].

Același considerent menționează cu titlu exemplificativ ca date privind sănătatea: numărul atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale[4], informațiile rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale (inclusiv din date genetice[5] și eșantioane de material biologic), precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora[6].

Subliniem că o corectă determinare a temeiului juridic al prelucrării facilitează operatorilor de date cu caracter personal inclusiv îndeplinirea obligației de informare a persoanelor vizate prevăzută de art. 13 alin. (1) lit. c) și art. 14 alin. (1) lit. c) din GDPR. De asemenea, temeiul juridic al prelucrării datelor privind sănătatea poate fi inclus ca informație complementară în registrul de evidență a activităților de prelucrare prevăzut de art. 30 din GDPR și care servește operatorului să demonstreze conformitatea activităților de prelucrare cu dispozițiile Regulamentului (UE) 2016/679, registrul constituind o condiție prealabilă pentru conformitate și, în același timp, o dovadă de asumare a responsabilității prelucrării datelor cu caracter personal[7].

De aceea, în cele ce urmează, vom analiza unele din temeiurile juridice la care pot recurge operatorii de date cu caracter personal în vederea asigurării legalității propriilor operațiuni de prelucrare a datelor privind sănătatea, adică excepțiile de la regula prevăzută de art. 9 alin. (1) din GDPR, potrivit căreia este interzisă prelucrarea datelor sensibile.

1. Prelucrarea efectuată în temeiul consimțământului persoanei vizate

Potrivit art. 9 alin. (2) lit. a) din GDPR, prelucrarea datelor privind sănătatea este permisă atunci când „persoana vizată și-a dat consimțământul explicit (s.n.) pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate”.

Deși persoana vizată își poate da consimțământul pentru prelucrarea datelor sale cu caracter personal privind starea de sănătate pentru unul sau mai multe scopuri specifice[8], considerentul (42) subliniază că acesta „nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată (s.n.)”. În acest sens, considerentul (43) precizează că, pentru a garanta faptul că a fost acordat în mod liber, „consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator (s.n.), în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare”.

La fel, nici în situația în care se prelucrează date privind starea de sănătate a persoanei vizate în contextul ocupării unui loc de muncă, „temeiul juridic nu poate și nu ar trebui să fie consimțământul angajaților (…), având în vedere natura relației dintre angajator și angajat”[9], respectiv dezechilibrul dintre cele două părți.

Totuși, utilizarea consimțământului ca temei juridic pentru prelucrarea datelor privind starea de sănătate nu este în întregime exclusă de Regulamentul general privind protecția datelor, astfel că recurgerea la consimțământ poate fi adecvată în anumite situații, cu mențiunea că, spre deosebire de ipoteza prevăzută de art. 6 alin. (1) lit. a) din GDPR, acesta trebuie să fie explicit, în sensul că persoana vizată trebuie să fie conștientă de faptul că renunță la protecția specială oferită de interdicția prelucrării datelor cu caracter personal privind sănătatea sa[10].

Un exemplu în acest sens este oferit de Grupul de lucru „Articolul 29”[11]: o clinică de chirurgie estetică poate solicita consimțământul explicit din partea unui pacient pentru transferarea dosarului său medical (un fișier digital) către un expert căruia i se solicită a doua opinie asupra stării pacientului, iar, dată fiind natura specifică a informațiilor în cauză, clinica solicită semnătura electronică a persoanei vizate pentru obținerea consimțământului explicit valabil și pentru a putea demonstra faptul că s-a obținut consimțământul explicit.

Precizăm că, potrivit considerentului (43), consimțământul este considerat a nu fi acordat în mod liber atunci când „executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului”. De aceea, art. 7 alin. (4) din GDPR prevede că, în cazul evaluării „dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

Precum a subliniat și Grupul de lucru „Articolul 29”, Regulamentul (UE) 2016/679 garantează faptul că prelucrarea datelor cu caracter personal pentru care se solicită consimțământul nu poate deveni direct sau indirect contraprestația unui contract, iar cele două temeiuri juridice pentru prelucrarea legală a datelor cu caracter personal, și anume consimțământul și contractul, nu pot fi amalgamate și indistincte[12]. La fel, atunci când serviciile pot fi obținute numai dacă anumite date cu caracter personal sunt comunicate operatorului sau ulterior unor terți, consimțământul persoanei vizate de a divulga datele care nu sunt necesare pentru încheierea sau executarea contractului nu poate fi considerat o decizie liberă și, prin urmare, nu este valabil potrivit Regulamentului general privind protecția datelor[13].

Art. 9 alin. (2) din GDPR nu recunoaște situația în care prelucrarea datelor sensibile este „necesară pentru executarea unui contract” – precum se întâmplă în cazul datelor care nu sunt considerate sensibile [art. 6 alin. (1) lit. b) din GDPR] – ca o excepție de la interdicția generală de a prelucra categorii speciale de date, numai contractul încheiat cu un cadru medical putând constitui temei juridic al prelucrării potrivit art. 9 alin. (2) lit. h) din GDPR. Prin urmare, în cazul contractelor încheiate cu alți operatori de date cu caracter personal, aceștia din urmă ar trebui să examineze excepțiile specifice prevăzute la art. 9 alin. (2) lit. b)-j) din GDPR și numai în cazul în care nu se aplică niciuna dintre aceste excepții, obținerea consimțământului explicit rămâne singura excepție legală la care pot recurge pentru prelucrarea unor astfel de date[14]. Precizăm că Comitetul european pentru protecția datelor (CEPD)[15] și-a însușit această poziție[16].

Pentru ilustrarea acestei situații Grupul de lucru „Articolul 29” a oferit următorul exemplu: dacă o companie aeriană oferă un serviciu de călătorie asistată (aceleași zboruri fiind disponibile și fără acest serviciu) pentru pasagerii care nu pot călători fără asistență (de exemplu, din cauza unui handicap), o clientă solicită asistență de călătorie pentru a putea urca în avion, iar compania aeriană îi cere să furnizeze informații despre starea ei de sănătate pentru a putea planifica serviciile corespunzătoare pentru aceasta (existând mai multe posibilități, precum scaunul cu rotile la poarta de sosire sau un asistent care să călătorească cu pasagera), atunci consimțământul explicit pentru a prelucrarea datelor privind sănătatea acestei cliente în scopul organizării asistenței de călătorie solicitate constituie un temei valabil, cu precizarea că datele astfel prelucrate ar trebui să fie necesare pentru serviciul solicitat[17]. Cum în această situație datele sunt necesare pentru furnizarea serviciului solicitat, art. 7 alin. (4) din GDPR nu-și găsește aplicarea.

Spre deosebire de prelucrarea datelor în temeiul art. 6 alin. (1) lit. a) din GDPR, în cazul datelor sensibile putem întâlni situații în care dreptul Uniunii sau dreptul intern prevede că interdicția prelucrării unor categorii speciale de date cu caracter personal nu poate fi ridicată prin consimțământul persoanei vizate, potrivit art. 9 alin. (4) din GDPR statele membre putând introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea de date genetice sau de date privind sănătatea.

2. Prelucrarea efectuată pentru îndeplinirea obligațiilor sau exercitarea unor drepturi în domeniul ocupării forței de muncă, al securității sociale ori al protecției sociale

Potrivit art. 9 alin. (2) lit. b) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale (s.n.), în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate (s.n.)”.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[2] A se vedea și Expunerea de motive la Propunerea legislativă privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Pl-x nr. 167/2018), p. 6, consultată la data de 16.07.2019, document disponibil la: http://www.cdep.ro/proiecte/2018/100/60/7/em219.pdf.

[3] Art. 1 alin. (2) din Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere, publicată în Jurnalul Oficial al Uniunii Europene, L 88 din 4 aprilie 2011.

[4] Un asemenea număr este Codul de Identificare al asiguraților din Platforma Informatică a Asigurărilor de Sănătate (PIAS) ce este inscripționat pe Cardul Electronic de Asigurări de Sănătate (CEAS) sub denumirea „Cod de asigurat”, http://siui.casan.ro:82/Asigurati/DespreCID.aspx, consultat la data de 16.07.2019.

[5] Potrivit art. 4 pct. 13 din GDPR, datele genetice sunt acele date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză.

[6] De exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

[7] S.-D. Șchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, în Revista Română de Drept al Afacerilor nr. 1/2018, p. 94.

[8] Pentru detalii, a se vedea D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista Română de Drept al Afacerilor nr. 5/2017, pp. 129-135.

[9] Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017, versiunea în limba română, p. 6, document consultat la data de 16.07.2019, disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54650.

[10] Article 29 Data Protection Working Party, Working Document on the processing of personal data relating to health in electronic health records (EHR), WP 131, adopted on 15 February 2007, p. 9, document disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp131_en.pdf, consultat la data de 16.07.2019.

[11] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 21, document disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=53343, consultat la data de 16.07.2019.

[12] Idem, p. 9.

[13] Agence des droits fondamentaux de l’Union européenne et Conseil de l’Europe, Manuel de droit européen en matière de protection des données. Édition 2018, Luxembourg: Office des publications de l’Union européenne, 2019, p. 162.

[14] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 22.

[15] C.E.P.D. este un organism al UE însărcinat cu aplicarea GDPR începând cu data de 25 mai 2018 și are în componența sa șefii fiecărei autorități de supraveghere din statele membre UE sau reprezentanții acestora.

[16] A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 16.07.2019, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.

[17] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 22. A se vedea eadem loco și exemplul privind furnizarea de ochelari de protecție fabricați la comandă pentru sporturile în aer liber.

Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor was last modified: octombrie 31st, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii