Pytanie
 
Czy w świetle art. 43 ust. 1 pkt 5 w związku z art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych szpital zobowiązany jest do zarejestrowania w GIODO zbioru obejmującego dane osób upoważnianych przez pacjentów do wglądu lub udostępniania dokumentacji medycznej pacjentów?

Czy też przetwarzanie danych osobowych tych upoważnionych osób mieści się w pojęciu "osób korzystających z usług medycznych", co wskazywałoby na brak konieczności rejestrowania takiego zbioru (art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych)?
 
Odpowiedź
 
Konsekwentnie przyjmując, że zbiór nie spełnia kryteriów zbioru danych w rozumieniu ustawy o ochronie danych osobowych, należy uznać, że nie podlega on zgłoszeniu do GIODO.
 
Uzasadnienie
 
Podmioty wykonujące działalność leczniczą, w wykonaniu dyspozycji art. 9 ust. 3 ustawy z 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.) - dalej u.p.p. oraz § 8 rozporządzenia ministra zdrowia z 21 grudnia 2010 roku w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz. U. z 2014 r. poz. 177), tworzą zbiory danych osobowych osób upoważnionych do dostępu do informacji medycznej oraz dokumentacji medycznej.

Problem należy jednak rozpoznać na gruncie przepisów ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) - dalej u.o.d.o. Artykuł 7 pkt 1 u.o.d.o. pod pojęciem zbioru danych nakazuje rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Wydaje się, że zbiór danych osób upoważnionych nie spełnia kryteriów zbioru danych w rozumieniu ustawy o ochronie danych osobowych. Stanowisko to zdają się potwierdzać Konarski Xawery, Traple Elżbieta, Podrecki Paweł, Litwiński Paweł, Okoń Zbigniew, Barta Paweł, Kulis Wojciech, Targosz Tomasz, Sibiga Grzegorz, Ożóg Marcin, Wala Krzysztof, Świerczyński Marek, Prawo reklamy i promocji Część trzecia. Prawne ramy prowadzenia promocji stanowiąc: "Definicja zbioru danych znajduje się w art. 7 pkt 1 u.o.d.o., przy czym w innych przepisach ustawy stosuje się również skrót "zbiór" lub też rozszerzoną nazwę "zbiór danych osobowych". Stosownie do treści definicji zbiór danych musi spełniać łącznie trzy elementy:
a) zawierać dane osobowe;
b) mieć określoną strukturę ("posiadający strukturę zestaw danych");
c) zapewniać dostęp do danych osobowych według określonych kryteriów.

Jako bardzo ważne kryterium ustawodawca wskazuje, iż wyznaczenie zbioru danych następuje niezależnie od tego, czy zestaw danych osobowych jest "rozproszony lub podzielony funkcjonalnie". Jako dodatkowe, nieznane w definicji legalnej kryteria istotne dla ustalenia tożsamości zbioru danych, GIODO wskazuje podstawę prawną upoważniającą administratora do prowadzenia zbioru danych, zakres i cel przetwarzania danych, sposób ich zbierania oraz udostępniania.

Analizując poszczególne elementy ustawowe definicji, można stwierdzić, że pozostają one we wzajemnej zależności. Uporządkowanie danych z zachowaniem struktury ma zapewnić dostęp do danych według ustalonych kryteriów. Generalny Inspektor słusznie zauważa, iż istotą wyodrębnienia zbioru danych jest organizacja danych osobowych według co najmniej jednej cechy, która pozwala na ich szybkie odnalezienie, bez konieczności przeglądania całego zestawu. W systemie informatycznym będą to nie tylko elektroniczne bazy danych, lecz także wykazy w programach służących jedynie do edycji tekstu, w których dane uporządkowane zostały według wybranego kryterium (np. alfabetyczne ułożenie nazwisk)." Konsekwentnie przyjmując, że zbiór nie spełnia kryteriów zbioru danych w rozumieniu ustawy o ochronie danych osobowych, należy uznać, że nie podlega on zgłoszeniu do GIODO.
 
Agnieszka Sieńko

Pytanie pochodzi z Serwisu Prawo i Zdrowie.