Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor
Silviu-Dorin Şchiopu - august 2, 2019Regulamentului general privind protecţia datelor (GDPR)[1] acordă o atenţie deosebită prelucrării datelor privind sănătatea, acestea fiind date sensibile care necesită un nivel mai ridicat de protecţie[2], motiv pentru care, în principiu, prelucrarea acestora este interzisă. De aceea, şi legalitatea prelucrării acestor date este supusă unor reguli speciale prevăzute în cadrul art. 9 din GDPR.
Amintim că, potrivit art. 4 pct. 15 din GDPR, prin date privind sănătatea înţelegem datele cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia. Considerentul (35) precizează că aceste date pot privi starea de sănătate trecută, prezentă sau viitoare a persoanei vizate şi sunt colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză. Sunt avute în vedere serviciile de asistență medicală a pacienților astfel cum sunt menționate în Directiva 2011/24/UE, adică fără a se ține seama de modul de organizare, de furnizare sau de finanțare a acestora[3].
Acelaşi considerent menţionează cu titlu exemplificativ ca date privind sănătatea: numărul atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale[4], informațiile rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale (inclusiv din date genetice[5] și eșantioane de material biologic), precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora[6].
Subliniem că o corectă determinare a temeiului juridic al prelucrării facilitează operatorilor de date cu caracter personal inclusiv îndeplinirea obligaţiei de informare a persoanelor vizate prevăzută de art. 13 alin. (1) lit. c) şi art. 14 alin. (1) lit. c) din GDPR. De asemenea, temeiul juridic al prelucrării datelor privind sănătatea poate fi inclus ca informaţie complementară în registrul de evidenţă a activităţilor de prelucrare prevăzut de art. 30 din GDPR şi care serveşte operatorului să demonstreze conformitatea activităților de prelucrare cu dispoziţiile Regulamentului (UE) 2016/679, registrul constituind o condiţie prealabilă pentru conformitate şi, în acelaşi timp, o dovadă de asumare a responsabilităţii prelucrării datelor cu caracter personal[7].
De aceea, în cele ce urmează, vom analiza unele din temeiurile juridice la care pot recurge operatorii de date cu caracter personal în vederea asigurării legalităţii propriilor operaţiuni de prelucrare a datelor privind sănătatea, adică excepțiile de la regula prevăzută de art. 9 alin. (1) din GDPR, potrivit căreia este interzisă prelucrarea datelor sensibile.
1. Prelucrarea efectuată în temeiul consimţământului persoanei vizate
Potrivit art. 9 alin. (2) lit. a) din GDPR, prelucrarea datelor privind sănătatea este permisă atunci când „persoana vizată și-a dat consimțământul explicit (s.n.) pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate”.
Deși persoana vizată își poate da consimțământul pentru prelucrarea datelor sale cu caracter personal privind starea de sănătate pentru unul sau mai multe scopuri specifice[8], considerentul (42) subliniază că acesta „nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată (s.n.)”. În acest sens, considerentul (43) precizează că, pentru a garanta faptul că a fost acordat în mod liber, „consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator (s.n.), în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare”.
La fel, nici în situaţia în care se prelucrează date privind starea de sănătate a persoanei vizate în contextul ocupării unui loc de muncă, „temeiul juridic nu poate și nu ar trebui să fie consimțământul angajaților (…), având în vedere natura relației dintre angajator și angajat”[9], respectiv dezechilibrul dintre cele două părți.
Totuşi, utilizarea consimțământului ca temei juridic pentru prelucrarea datelor privind starea de sănătate nu este în întregime exclusă de Regulamentul general privind protecţia datelor, astfel că recurgerea la consimțământ poate fi adecvată în anumite situații, cu mențiunea că, spre deosebire de ipoteza prevăzută de art. 6 alin. (1) lit. a) din GDPR, acesta trebuie să fie explicit, în sensul că persoana vizată trebuie să fie conştientă de faptul că renunță la protecția specială oferită de interdicția prelucrării datelor cu caracter personal privind sănătatea sa[10].
Un exemplu în acest sens este oferit de Grupul de lucru „Articolul 29”[11]: o clinică de chirurgie estetică poate solicita consimțământul explicit din partea unui pacient pentru transferarea dosarului său medical (un fișier digital) către un expert căruia i se solicită a doua opinie asupra stării pacientului, iar, dată fiind natura specifică a informațiilor în cauză, clinica solicită semnătura electronică a persoanei vizate pentru obținerea consimțământului explicit valabil și pentru a putea demonstra faptul că s-a obținut consimțământul explicit.
Precizăm că, potrivit considerentului (43), consimțământul este considerat a nu fi acordat în mod liber atunci când „executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului”. De aceea, art. 7 alin. (4) din GDPR prevede că, în cazul evaluării „dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.
Precum a subliniat şi Grupul de lucru „Articolul 29”, Regulamentul (UE) 2016/679 garantează faptul că prelucrarea datelor cu caracter personal pentru care se solicită consimțământul nu poate deveni direct sau indirect contraprestația unui contract, iar cele două temeiuri juridice pentru prelucrarea legală a datelor cu caracter personal, și anume consimțământul și contractul, nu pot fi amalgamate și indistincte[12]. La fel, atunci când serviciile pot fi obținute numai dacă anumite date cu caracter personal sunt comunicate operatorului sau ulterior unor terți, consimțământul persoanei vizate de a divulga datele care nu sunt necesare pentru încheierea sau executarea contractului nu poate fi considerat o decizie liberă și, prin urmare, nu este valabil potrivit Regulamentului general privind protecţia datelor[13].
Art. 9 alin. (2) din GDPR nu recunoaște situația în care prelucrarea datelor sensibile este „necesară pentru executarea unui contract” – precum se întâmplă în cazul datelor care nu sunt considerate sensibile [art. 6 alin. (1) lit. b) din GDPR] – ca o excepție de la interdicția generală de a prelucra categorii speciale de date, numai contractul încheiat cu un cadru medical putând constitui temei juridic al prelucrării potrivit art. 9 alin. (2) lit. h) din GDPR. Prin urmare, în cazul contractelor încheiate cu alți operatori de date cu caracter personal, aceştia din urmă ar trebui să examineze excepțiile specifice prevăzute la art. 9 alin. (2) lit. b)-j) din GDPR şi numai în cazul în care nu se aplică niciuna dintre aceste excepții, obținerea consimțământului explicit rămâne singura excepție legală la care pot recurge pentru prelucrarea unor astfel de date[14]. Precizăm că Comitetul european pentru protecția datelor (CEPD)[15] şi-a însuşit această poziţie[16].
Pentru ilustrarea acestei situații Grupul de lucru „Articolul 29” a oferit următorul exemplu: dacă o companie aeriană oferă un serviciu de călătorie asistată (aceleaşi zboruri fiind disponibile şi fără acest serviciu) pentru pasagerii care nu pot călători fără asistență (de exemplu, din cauza unui handicap), o clientă solicită asistență de călătorie pentru a putea urca în avion, iar compania aeriană îi cere să furnizeze informații despre starea ei de sănătate pentru a putea planifica serviciile corespunzătoare pentru aceasta (existând mai multe posibilități, precum scaunul cu rotile la poarta de sosire sau un asistent care să călătorească cu pasagera), atunci consimțământul explicit pentru a prelucrarea datelor privind sănătatea acestei cliente în scopul organizării asistenței de călătorie solicitate constituie un temei valabil, cu precizarea că datele astfel prelucrate ar trebui să fie necesare pentru serviciul solicitat[17]. Cum în această situație datele sunt necesare pentru furnizarea serviciului solicitat, art. 7 alin. (4) din GDPR nu-şi găseşte aplicarea.
Spre deosebire de prelucrarea datelor în temeiul art. 6 alin. (1) lit. a) din GDPR, în cazul datelor sensibile putem întâlni situații în care dreptul Uniunii sau dreptul intern prevede că interdicția prelucrării unor categorii speciale de date cu caracter personal nu poate fi ridicată prin consimțământul persoanei vizate, potrivit art. 9 alin. (4) din GDPR statele membre putând introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea de date genetice sau de date privind sănătatea.
2. Prelucrarea efectuată pentru îndeplinirea obligațiilor sau exercitarea unor drepturi în domeniul ocupării forței de muncă, al securității sociale ori al protecției sociale
Potrivit art. 9 alin. (2) lit. b) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale (s.n.), în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate (s.n.)”.
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
[2] A se vedea şi Expunerea de motive la Propunerea legislativă privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Pl-x nr. 167/2018), p. 6, consultată la data de 16.07.2019, document disponibil la: http://www.cdep.ro/proiecte/2018/100/60/7/em219.pdf.
[3] Art. 1 alin. (2) din Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere, publicată în Jurnalul Oficial al Uniunii Europene, L 88 din 4 aprilie 2011.
[4] Un asemenea număr este Codul de Identificare al asiguraților din Platforma Informatică a Asigurărilor de Sănătate (PIAS) ce este inscripționat pe Cardul Electronic de Asigurări de Sănătate (CEAS) sub denumirea „Cod de asigurat”, http://siui.casan.ro:82/Asigurati/DespreCID.aspx, consultat la data de 16.07.2019.
[5] Potrivit art. 4 pct. 13 din GDPR, datele genetice sunt acele date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză.
[6] De exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
[7] S.-D. Şchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, în Revista Română de Drept al Afacerilor nr. 1/2018, p. 94.
[8] Pentru detalii, a se vedea D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista Română de Drept al Afacerilor nr. 5/2017, pp. 129-135.
[9] Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017, versiunea în limba română, p. 6, document consultat la data de 16.07.2019, disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54650.
[10] Article 29 Data Protection Working Party, Working Document on the processing of personal data relating to health in electronic health records (EHR), WP 131, adopted on 15 February 2007, p. 9, document disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp131_en.pdf, consultat la data de 16.07.2019.
[11] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 21, document disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=53343, consultat la data de 16.07.2019.
[12] Idem, p. 9.
[13] Agence des droits fondamentaux de l’Union européenne et Conseil de l’Europe, Manuel de droit européen en matière de protection des données. Édition 2018, Luxembourg: Office des publications de l’Union européenne, 2019, p. 162.
[14] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 22.
[15] C.E.P.D. este un organism al UE însărcinat cu aplicarea GDPR începând cu data de 25 mai 2018 şi are în componența sa șefii fiecărei autorități de supraveghere din statele membre UE sau reprezentanții acestora.
[16] A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 16.07.2019, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.
[17] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, versiunea în limba română, p. 22. A se vedea eadem loco şi exemplul privind furnizarea de ochelari de protecție fabricați la comandă pentru sporturile în aer liber.
Arhive
- aprilie 2025
- martie 2025
- februarie 2025
- ianuarie 2025
- decembrie 2024
- noiembrie 2024
- octombrie 2024
- septembrie 2024
- august 2024
- iulie 2024
- iunie 2024
- mai 2024
- aprilie 2024
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- Supliment 2021
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
| L | Ma | Mi | J | V | S | D |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.