Czy niepubliczny zakład opieki zdrowotnej może pozyskać od innych niepublicznych zakładów opieki zdrowotnej – na potrzeby realizacji programu profilaktyki raka piersi – dane osobowe kobiet, bez ich wiedzy, w celu wysłania zaproszeń na bezpłatne badania profilaktyczne?
W pytaniu mowa jest o sytuacji, gdy niepubliczny zakład opieki zdrowotnej przetwarza dane osobowe kobiet, niebędących jego pacjentkami, w celu wysyłania im zaproszeń na bezpłatne badania, np. mammograficzne. Dane te są pozyskiwane w związku z realizacją programu profilaktyki raka piersi od innych niepublicznych zakładów opieki zdrowotnej, z których usług korzystają zapraszane na badania osoby. Jednocześnie zakład opieki zdrowotnej pozyskujący dane nie informuje pacjentek o otrzymaniu ich danych osobowych z innych placówek. Tym samym nie dopełnia obowiązku informacyjnego wynikającego z art. 25 ustawy o ochronie danych osobowych.
Zgodnie z treścią przywołanego przepisu w przypadku, gdy dane osobowe zbierane są nie od osoby, której dane dotyczą, administrator jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych (czyli zapisaniu ich na dowolnym nośniku, np. papierowym, informatycznym, magnetycznym) – m.in. o celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, jak i źródle pozyskania danych oraz prawach przysługujących osobom, których dane zostały zgromadzone, wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy.
W praktyce Generalnego Inspektora zdarzył się przypadek, że w takiej sytuacji, jak opisana powyżej, zakład opieki zdrowotnej, prowadzący badania profilaktyczne, spełnił obowiązek informacyjny, wynikający z art. 25 ustawy, ale dopiero po przesłaniu zaproszeń na badania profilaktyczne. Spowodowało to u kobiet, które takie zaproszenia otrzymały wątpliwości co do legalności działań tego zakładu. Tymczasem, zgodnie z art. 23 ust. 1 pkt 4 ustawy przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Przepis ten stanowi zatem podstawę prawną przetwarzania danych przez zakład opieki zdrowotnej i jego działanie w tym zakresie jest legalne. Jednak opóźnienie w spełnieniu tego obowiązku powoduje, że osoby, których dane dotyczą, jeszcze przed wykorzystaniem danych nie mają świadomości, że mogą skorzystać ze swoich praw, np. do wniesienia sprzeciwu wobec przetwarzania danych lub żądania zaprzestania ich przetwarzania.
Źródło: eduGIODO