Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor

O atare ipoteză este cea privind, de exemplu, concediile medicale pentru incapacitate temporară de muncă. Certificatul de concediu medical conține codul de diagnostic, adică codul bolii care a determinat incapacitatea temporară de muncă, precum și forma clinică a bolii (acută, subacută sau cronică) care constituie în mod evident date ce dezvăluie informații despre starea de sănătate a angajatului. Certificatele se completează în 3 exemplare, din care două se înmânează pacientului sau, după caz, persoanei care îl reprezintă, care are obligația de a le depune la plătitor, în termenul stabilit de lege. Unul dintre acestea este depus lunar de către angajator la Casa de Asigurări de Sănătate în a cărei rază administrativ-teritorială își are sediul[18]. Celălalt exemplar rămâne la angajator, atașat la fișa angajatului, fiind vizat, după caz, de medicul de întreprindere, în cazul asiguraților salariați[19].

Practic, ne aflăm în prezența unei prelucrări necesare în vederea îndeplinirii unei obligații legale[20] ce revine operatorului, precum în cazul temeiului prevăzut de art. 6 alin. (1) lit. c) din GDPR, cu diferența că obligația prelucrării datelor medicale nu poate privi decât domeniul ocupării forței de muncă, al securității sociale sau al protecției sociale.

Această prelucrare de date privind sănătatea este autorizată de dreptul intern care însă trebuie să prevadă garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate iar, potrivit considerentului (156), respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice și organizatorice adecvate de către operator pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu Regulamentului general privind protecția datelor. Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate includ și punerea în aplicare de către operator a unor politici adecvate de protecție a datelor. Nu în ultimul rând, art. 25 din GDPR impune operatorului obligația de a asigura protecția datelor începând cu momentul conceperii și în mod implicit.

Unicele „măsuri” pe care le-am putut-o identifica în cadrul normativ actual privesc exclusiv confidențialitatea acestor datelor. De exemplu, plătitorul, adică angajatorul, are obligația de a respecta confidențialitatea diagnosticului[21], la fel și medicii care au obligația de a respecta confidențialitatea datelor și informațiilor privitoare la certificatele de concediu medical eliberate asiguraților[22]. Simpla menționare a unei asemenea obligații este o „garanție” precară și insuficientă – prin raportare la datele sensibile care necesită un nivel mai ridicat de protecție – întrucât nu privește instituirea efectivă de măsuri tehnice și organizatorice, adică de veritabile garanții adecvate.

3. Prelucrarea efectuată pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice

Potrivit art. 9 alin. (2) lit. c) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul”.

În același sens, considerentul (46) precizează că prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Același considerent subliniază în continuare faptul că „prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic”.

Subliniem că nu se poate recurge la temeiul juridic prevăzut de art. 9 alin. (2) lit. c) din GDPR pentru a prelucra date privind sănătatea atunci când persoana vizată, deși este capabilă să-și dea consimțământul, refuză să-l dea[23].

Considerentul (46) menționează și câteva situații când prelucrarea poate servi intereselor vitale ale persoanei vizate, respectiv cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

Astfel, acest temei este deosebit de relevant în special pentru asistența medicală de urgență. De exemplu, în situația în care persoană vizată și-a pierdut cunoștința după un accident și nu își poate da consimțământul pentru aflarea alergiilor cunoscute. În contextul sistemelor de tip dosar electronic de sănătate, această prevedere permite accesul cadrelor medicale la informațiile stocate pentru a extrage date despre alergiile cunoscute ale persoanei vizate, acestea putând fi decisive în alegerea unui anumit tratament[24].

4. Prelucrarea datelor care sunt făcute publice în mod manifest de către persoana vizată

Potrivit art. 9 alin. (2) lit. e) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată”. Pierderea controlului asupra datelor lor cu caracter personal poate proveni nu doar din fapta unui terț, ci intervine și atunci când însăși persoana vizată divulgă în mod vădit date privind starea sa de sănătate ridicând astfel vălul ce în mod normal protejează viața sa privată de privirile indiscrete.

În atare situație, art. 7 din Legea nr. 190/2018[25] prevede că prelucrarea respectivelor datelor va putea fi efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare. În ceea ce ne privește, considerăm că datele nu ar putea fi în mod legitim prelucrate în alt scop decât cele enumerate în mod exhaustiv de legea menționată.

5. Prelucrarea efectuată de un profesionist supus obligației de păstrare a secretului profesional în contextul serviciilor de asistență medicală

Potrivit art. 9 alin. (2) lit. h) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate (s.n.) (…), în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat[26] cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3)”.

În esență, această dispoziție permite prelucrarea datele privind sănătatea pacienților în contextul furnizării serviciilor de asistență medicală, atât în situația în care respectiva prelucrare este prevăzută de lege, cât și atunci când acordarea serviciilor medicale are loc pe cale contractuală. Prelucrarea nu poate fi realizată însă decât de un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia ori de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

Precizăm că relația contractuală nu poate constitui temei juridic al prelucrării datelor privind sănătatea când prelucrarea nu este într-adevăr necesară pentru executarea contractului, ci este mai degrabă impusă în mod unilateral de către operator persoanei vizate (de exemplu, filmarea unei proceduri medicale). Practic, aici ne aflăm în prezența unei aplicații a principiului reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit. c) din GDPR, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (executarea contractului – n.n.)”. De aceea, între prelucrarea datelor și scopul executării contractului trebuie să existe o legătură directă și obiectivă[27]. Pe de altă parte, dacă operatorul va dori să legitimeze prelucrarea datelor medicale excedentare atunci va trebui să recurgă la un alt temei juridic, precum consimțământul, pentru acea parte din prelucrare[28].

6. Prelucrarea efectuată din motive de interes public în domeniul sănătății publice

Potrivit art. 9 alin. (2) lit. i) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară din motive de interes public (s.n.) în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional”.

Lăsând la o parte ipoteza amenințărilor transfrontaliere, acest text permite prelucrarea datelor privind sănătatea din motive de interes public pentru asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale. Considerentul (55) prevede că prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional, precum măsurile luate în considerarea asigurării sănătății publice[29], se efectuează din motive de interes public.

Un exemplu este cel privind realizarea și implementarea dosarului electronic de sănătate, serviciu declarat ca fiind de utilitate publică de interes național[30], utilizarea acestuia având drept scop prioritar creșterea calității și eficienței actului medical prin accesul imediat la date și informații medicale, precum și furnizarea de date și informații statistice necesare politicilor de sănătate[31].

Constatăm că, deși în acest caz prelucrarea datelor privind sănătatea este necesară pentru îndeplinirea unei sarcini care servește unui interes public, art. 6 din Legea nr. 190/2018 nu menționează art. 9 alin. (2) lit. i) din GDPR – ci numai art. 9 alin. (2) lit. g) din GDPR privind prelucrarea datelor sensibile care este necesară din motive de interes public major și art. 6 alin. (1) lit. e) din GDPR privind prelucrarea altor date decât cele sensibile și care este necesară pentru îndeplinirea unei sarcini care servește unui interes public – atunci când precizează garanțiile ce trebuie să însoțească o asemenea prelucrare, ca și cum prelucrarea în temeiul art. 9 alin. (2) lit. i) din GDPR nu ar necesita acele garanții.

În ceea ce ne privește nu găsim vreo diferență calitativă semnificativă între măsurile „corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate” impuse de recurgerea la art. 9 alin. (2) lit. g) din GDPR (prelucrarea din motive de interes public major) și măsurile „adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional” impuse de recurgerea la art. 9 alin. (2) lit. g) din GDPR (prelucrarea din motive de interes public în domeniul sănătății publice) astfel că de lege ferenda este necesară completarea art. 6 din Legea nr. 190/2018 în sensul includerii art. 9 alin. (2) lit. i) din GDPR în domeniul de aplicare al acestui text legislativ.

În încheiere nu putem decât a constata că – în cel mai des întâlnite situații practice – prelucrarea datelor privind starea de sănătate a persoanelor vizate se va realiza fără consimțământul acestora, cel puțin în contextul prestării serviciilor de asistență medicală. Oricare va fi însă temeiul juridic al prelucrării, operatorii vor trebui să poată proba pertinența respectivei alegeri ca parte a obligației lor de a demonstra conformitatea preluării cu dispozițiile Regulamentul (UE) 2016/679.


[18] Certificatele de concediu medical pe baza cărora au fost înregistrate indemnizațiile în „Declarația privind obligațiile de plată către bugetul Fondului național unic de asigurări sociale de sănătate pentru contribuția pentru concedii și indemnizații”.

[19] A se vedea art. 3 din Anexa nr. 2 la Ordinul Ministrului Sănătății nr. 233 și Ordinul Președintelui Casei Naționale de Asigurări de Sănătate nr. 125 din 14 martie 2006 pentru aprobarea Normelor de aplicare a prevederilor O.U.G. nr. 158/2005 privind concediile și indemnizațiile de asigurări sociale de sănătate, publicat în M. Of. nr. 254 din data de 21 martie 2006.

[20] Considerentul (41): „Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză”.

[21] A se vedea Anexa nr. 2 la Ordinul pentru aprobarea Normelor de aplicare a prevederilor O.U.G. nr. 158/2005 privind concediile și indemnizațiile de asigurări sociale de sănătate.

[22] A se vedea Anexa nr. 4 la Normele de aplicare a prevederilor O.U.G. nr. 158/2005 privind concediile și indemnizațiile de asigurări sociale de sănătate aprobate prin Ordinul Ministrului Sănătății nr. 15 din 5 ianuarie 2018 și Ordinul Președintelui Casei Naționale de Asigurări de Sănătate nr. 1311 din 29 decembrie 2017, publicate în M. Of. nr. 31 din data de 12 ianuarie 2018.

[23] În acest sens, a se vedea Information Commissioner’s Office (UK), Guide to the General Data Protection Regulation (GDPR), p. 72, disponibil la: https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf; Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014, versiunea în limba română, p. 22, disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_ro.pdf, documente consultate la data de 16.07.2019.

[24] A se vedea Article 29 Data Protection Working Party, Working Document on the processing of personal data relating to health in electronic health records (EHR), p. 10.

[25] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.

[26] Spre deosebire de art. 6 alin. (1) lit. b), art. 9 alin. (2) lit. h) din GDPR nu acoperă relațiile precontractuale.

[27] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 9.

[28] Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, WP187, adopted on 13 July 2011, p. 8, document consultat la data de 17.07.2019, disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf.

[29] Potrivit art. 34 alin. (2) din Constituția României, „statul este obligat să ia măsuri pentru asigurarea igienei și a sănătății publice”.

[30] A se vedea Guvernul României, Expunere de motive la proiectul de lege pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, p. 3, consultată la data de 17.07.2019, document disponibil la: http://www.cdep.ro/proiecte/2018/500/90/3/em790.pdf.

[31] Art. 3462 din Legea nr. 95/2006, introdus de Legea nr. 45 din 8 martie 2019 pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, publicată în M. Of. nr. 192 din data de 11 martie 2019.

Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor was last modified: septembrie 5th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii