Przetwarzanie "danych dotyczących zdrowia (art. 4 pkt 15; art. 9 ust. 2 lit. h) w zw. z art. 9 ust. 3-4 RODO)

Art. 9 ust. 2 lit. h) i art. 6 ust. 1 RODO należy interpretować w ten sposób, że przetwarzanie danych dotyczących zdrowia oparte na tym pierwszym przepisie musi, aby było zgodne z prawem, nie tylko spełniać wymogi wynikające z tego przepisu, lecz także spełniać co najmniej jeden z warunków zgodności z prawem wymienionych w tym art. 6 ust. 1.

Wyjątek przewidziany w art.  9 ust. 2 lit. h) RODO ma zastosowanie do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie określone w tym art. 9 ust. 2 lit. h) i w art. 9 ust. 3.

Administrator przetwarzający dane dotyczące zdrowia, na podstawie art. 9 ust. 2 lit. h) tego rozporządzenia, nie jest zobowiązany, na mocy tych przepisów, do zagwarantowania, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących stanu zdrowia tej osoby. Jednakże taki obowiązek może ciążyć na administratorze przetwarzającym takie dane albo na podstawie uregulowania przyjętego przez państwo członkowskie na podstawie art. 9 ust. 4 wspomnianego rozporządzenia, albo na podstawie zasad integralności i poufności określonych w art. 5 ust. 1 lit. f) tego rozporządzenia i skonkretyzowanych w jego art. 32 ust. 1 lit. a) i b).

Z art. 9 ust. 2 lit. h) RODO w związku z art. 9 ust. 3 wynika, że możliwość przetwarzania danych wrażliwych, takich jak dane dotyczące zdrowia, jest ściśle obwarowana szeregiem kumulatywnych przesłanek. Przesłanki te dotyczą, po pierwsze, celów wymienionych we wspomnianej lit. h), po drugie, podstawy prawnej tego przetwarzania – niezależnie od tego, czy chodzi o prawo Unii, prawo państwa członkowskiego czy o umowę zawartą z pracownikiem służby zdrowia, zgodnie z tą lit. h) – i wreszcie, po trzecie, obowiązku zachowania poufności, który ciąży na osobach uprawnionych do takiego przetwarzania na mocy tego art. 9 ust. 3, przy czym wszystkie te osoby powinny podlegać obowiązkowi zachowania tajemnicy zawodowej, zgodnie z tym ostatnim przepisem.

O ile w tym art. 9 ust. 1 zakazano co do zasady przetwarzania danych dotyczących zdrowia, o tyle w art. 9 ust. 2 lit. a)–j) przewidziano dziesięć odstępstw, które są od siebie niezależne i które należy zatem oceniać w sposób autonomiczny. Wynika z tego, że okoliczność, iż przesłanki zastosowania jednego z odstępstw przewidzianych w art. 9 ust. 2 nie zostały spełnione, nie stoi na przeszkodzie powołaniu się przez administratora danych na inne odstępstwo, o którym mowa w tym przepisie.

Każde przetwarzanie danych osobowych musi być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 ust. 1 RODO i spełniać warunki zgodności przetwarzania z prawem wymienione w art. 6 tego rozporządzenia [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland, C-60/22]. Wynika z tego, że w zakresie, w jakim art. 9 ust. 2 lit. h) RODO ma na celu uściślenie zakresu obowiązków ciążących na administratorze na podstawie art. 5 ust. 1 lit. a) i art. 6 ust. 1 tego rozporządzenia, przetwarzanie danych dotyczących zdrowia, które opiera się na tym pierwszym przepisie, musi spełniać, aby było zgodne z prawem, zarówno wymogi wynikające z tego przepisu, jak i zapewnić wykonanie obowiązków wynikających z tych dwóch ostatnich przepisów, a w szczególności spełniać co najmniej jeden z warunków zgodności z prawem określonych w tym art. 6 ust. 1.

Wykładnia art. 9 ust. 2 lit. h) RODO nie może opierać się na względach wynikających z systemu opieki zdrowotnej jednego państwa członkowskiego lub wynikających z okoliczności właściwych dla sporu w postępowaniu głównym.

Z motywu 52 RODO wynika, że należy zezwolić na „wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych”, „jeżeli uzasadnia to interes publiczny, w szczególności […] w dziedzinie prawa pracy, prawa zabezpieczenia społecznego”, a także „ze względu na cele zdrowotne, […] w szczególności zapewniani[e] jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych”. Motyw 53 tego rozporządzenia stanowi również, że powinno być możliwe przetwarzanie „do celów zdrowotnych”, „gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego”.

To właśnie w tym ogólnym kontekście i przy uwzględnieniu różnych wchodzących w grę uzasadnionych interesów prawodawca Unii przewidział w art. 9 ust. 2 lit. h) RODO możliwość odstąpienia od stosowania zasady zakazu przetwarzania danych dotyczących zdrowia, o której mowa w art. 9 ust. 1, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie ustanowione w tym art. 9 ust. 2 lit. h) oraz w innych odpowiednich przepisach tego rozporządzenia, w szczególności w art. 9 ust. 3.

W art. 9 ust. 3 RODO, który odnosi się do art. 9 ust. 2 lit. h), prawodawca Unii zdefiniował szczególne środki ochrony, jakie zamierzał nałożyć na administratorów przeprowadzających takie przetwarzanie, które to środki polegają na tym, że to przetwarzanie może być dokonywane wyłącznie przez osoby podlegające obowiązkowi zachowania tajemnicy, zgodnie ze szczegółowymi warunkami określonymi we wspomnianym art. 9 ust. 3. Nie ma zatem potrzeby dodawania do brzmienia tego ostatniego przepisu wymogów, które nie są w nim wymienione. Wynika z tego art. 9 ust. 3 RODO nie może służyć za podstawę prawną środka gwarantującego, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących jej stanu zdrowia.

Jedyna możliwość dodania przez państwa członkowskie w stosunku do wymogów ustanowionych w art. 9 ust. 2 i 3 rozporządzenia, wymogu polegającego na zapewnieniu, by żaden współpracownik osoby, której dane dotyczą, nie miał dostępu do danych dotyczących jej stanu zdrowia, może być nałożony na administratora danych dotyczących zdrowia – przetwarzającego te dane na podstawie art. 9 ust. 2 lit. h) RODO, może wynikac z art. 9 ust. 4. Niemniej te ewentualne dodatkowe warunki wynikają nie z samych przepisów RODO, lecz, w stosownym przypadku, z przepisów prawa krajowego regulujących przetwarzanie tego rodzaju, w odniesieniu do których to przepisów w rozporządzeniu tym wyraźnie pozostawiono państwom członkowskim zakres uznania (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21).

Państwo członkowskie, które zamierza skorzystać z możliwości przyznanej w art. 9 ust. 4 wspomnianego rozporządzenia, powinno, zgodnie z zasadą proporcjonalności, upewnić się, że praktyczne konsekwencje, w szczególności natury organizacyjnej, gospodarczej i medycznej, wywołane przez dodatkowe wymogi, których przestrzegania państwo to zamierza wymagać, nie są nadmierne dla administratorów dokonujących takiego przetwarzania, którzy niekoniecznie dysponują potencjałem lub zasobami technicznymi i ludzkimi wystarczającymi do spełnienia tych wymogów. Wymogi te nie mogą bowiem szkodzić skuteczności (effet utile) zezwolenia na przetwarzanie, przewidzianego wyraźnie w art. 9 ust. 2 lit. h) tego rozporządzenia i uregulowanego w art. 9 ust. 3.

Wyrok TSUE z dnia 21 grudnia 2023 r., C-667/21

Standard: 83914 (pełna treść orzeczenia)

Zgodnie z art. 4 pkt 15 RODO „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – „ujawniające” informacje o stanie jej zdrowia. Motyw 35 tego rozporządzenia, przewiduje, iż do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, „ujawniające” informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Wyrok TSUE z dnia 1 sierpnia 2022 r., C-184/20

Standard: 84122 (pełna treść orzeczenia)