Aspecte privind transmiterea de către un centru de sănătate raional a datelor cu caracter personal privind starea de sănătate a subiectului de date în adresa unui avocat
În adresa CNPDCP a parvenit plângerea unui subiect de date, prin care a fost solicitată verificarea legalității prelucrării datelor cu caracter personal ce îl vizează, manifestată prin transmiterea, de către un centru de sănătate raional, a informațiilor privind starea de sănătate a acestuia, în adresa unui avocat, care, ulterior, le-ar fi prezentat în ședință de judecată, considerând că prin aceste acțiuni i-au fost aduse atingeri vieții private și familiale.
Conform Legii nr. 133/2011 privind protecția datelor cu caracter personal, datele privind starea de sănătate a pacientului, rezultatele investigațiilor, diagnosticul, pronosticul, tratamentul, înscrise în documentația medicală, contrapuse unui pacient, constituie categorii speciale de date cu caracter personal, acestea având un nivel sporit de protecție.
În context, la examinarea speței, CNPDCP a luat în considerare prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal, ordine în care, prin prisma art. 6 și 7 ale Legii privind protecția datelor cu caracter personal, prelucrarea datelor cu caracter personal privind starea de sănătate ar fi admisă doar în cazul când subiectul datelor cu caracter personal și-a dat consimțământul sau a intervenit una din următoarele situații:
– prelucrarea este necesară pentru îndeplinirea obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege şi ţinîndu-se cont de faptul că o eventuală dezvăluire către un terţ a datelor cu caracter personal prelucrate în acest scop poate fi efectuată numai dacă există o obligaţie legală a operatorului în acest sens;
– prelucrarea este necesară pentru protecţia vieţii, integrităţii fizice sau a sănătății subiectului datelor cu caracter personal ori a altei persoane, în cazul în care subiectul datelor cu caracter personal se află în incapacitate fizică sau juridică de a-şi da consimţămîntul;
– prelucrarea se referă la date făcute publice în mod voluntar şi manifest de către subiectul datelor cu caracter personal;
– prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție al subiectului datelor cu caracter personal;
– prelucrarea este necesară în scopul asigurării securității statului, al reducerii riscului de declanșare sau în cazul declanșării urgențelor de sănătate publică, cu condiția ca aceasta să se efectueze cu respectarea drepturilor subiectului datelor cu caracter personal şi a celorlalte garanții prevăzute de prezenta lege.
Subsidiar, art. 29 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, statuează obligația operatorilor și terților care au acces la datele cu caracter personal de a asigura confidențialitatea acestor date, cu excepția cazurilor:
a) prelucrarea se referă la date făcute publice în mod voluntar și manifest de către subiectul datelor cu caracter personal;
b) datele cu caracter personal au fost depersonalizate.
În acord cu prevederile menționate supra, art. 14 din Legea ocrotirii sănătății, statuează că medicii, alți lucrători medico-sanitari, farmaciști sunt obligați să păstreze secretul informațiilor referitoare la boală, la viața intimă și familială a pacientului de care au luat cunoștință în exercițiul profesiunii, cu excepția cazurilor de pericol al răspândirii maladiilor transmisibile, la cererea motivată a organelor de urmărire penală sau a instanțelor judecătorești.
De asemenea, urmează a fi scoase în evidență prevederile Legii nr. 263/2005 cu privire la drepturile și responsabilitățile pacientului, care conține norme juridice speciale care au drept scop consolidarea drepturilor fundamentale ale omului în sistemul serviciilor de sănătate, asigurarea respectării demnității și integrității pacientului, și reieșind din natura datelor sensibile privind starea de sănătate, stabilește condiții stricte de dezvăluire a acestora. Se va accentua că datele privind starea de sănătate a pacientului, prin natura lor, pot prezenta un risc pentru persoanele vizate atunci când sunt prelucrate și, prin urmare, necesită o protecție sporită. Aceste date fac obiectul unui principiu de interdicție și trebuie să existe un număr limitat de circumstanțe în care o astfel de prelucrare este legitimă. Totodată, confidențialitatea datelor medicale reprezintă secret profesional, care este o formă a dreptului la respectarea vieții private. Interzicerea divulgării informațiilor medicale, calificate drept confidențiale este necesară pentru a garanta că instituțiile medico-sanitare asigură dreptul pacientului la respectarea vieții private.
În acest sens, având în vedere conținutul certificatului medical eliberat în adresa avocatului, CNPDCP a constatat că dezvăluirea informației cu privire la natura afecțiunilor ce vizează subiectul de date, care reprezintă date privind starea de sănătate, perioada de timp a tratamentului, precum și data efectuării ultimei vizite la centru de sănătate, a avut loc contrar prevederilor legale menționate supra și principiilor de prelucrare a datelor cu caracter personal prevăzute la art. 4 alin. (1) lit. a) și b), precum și art. 6, 7 și art. 29 din Legea nr. 133/2016 privind protecția datelor cu caracter personal, acțiune încadrabilă în norma contravențională prevăzută de art. 741 alin. (4) Cod Contravențional.
În urma examinării cauzei, CNPDCP a emis decizia de încălcare a principiilor de prelucrare a datelor cu caracter personal și a încheiat procesul-verbal cu privire la contravenție, fiind remis instanței de judecată pentru soluționare, iar ca rezultat persoana cu funcție de răspundere din cadrul Centrului de sănătate raional a fost recunoscută vinovată în comiterea contravenției prevăzute de art. 741 alin. (4) Cod contravențional.
Recomandări:
Ținând cont de prevederile art. 53 din Legea cu privire la avocatură, coroborat cu art. 5 alin. (5) din Legea privind protecția datelor cu caracter personal, solicitarea informației de către un avocat constituie un drept și nu o obligație a acestuia. Respectiv, nu poate fi reținut drept temei legal al operatorul de date – Centrul de sănătate raional, pentru dezvăluirea datelor cu caracter personal ce vizează subiectul datelor cu caracter personal, atâta timp cât prelucrarea nu a fost necesară pentru îndeplinirea expresă a unei obligații care îi revine nemijlocit operatorului conform legii, reprezentantul entității fiind obligat să asigure confidențialitatea datelor cu caracter personal.
Totuși, CNPDCP reține că, în cadrul unui proces de judecată, întru evitarea unei grave încălcări a principiilor de protecție a datelor cu caracter personal prin dezvăluirea neautorizată a acestora, soluționarea cererilor de acces la datele cu caracter personal privind starea de sănătate, se va realiza ținând cont de prevederile art. 118 Cod de procedură civilă, potrivit cărora, circumstanțele care au importanță pentru soluționarea justă a pricinii sunt determinate definitiv de instanța judecătorească pornind de la pretențiile și obiecțiile părților și ale altor participanți la proces, precum și de la normele de drept material și procedural ce urmează a fi aplicate.
Respectiv, părțile sau alți participanți la proces, pot adresa instanței de judecată (judecătorului), în temeiul art. 119 Cod de procedură civilă, o cerere de reclamare a probelor, iar judecătorul, analizând motivele invocate în cererea de reclamare a probei și apreciind proporționalitatea volumului informației pentru soluționarea cauzei civile, va reclama organizațiilor și persoanelor fizice probele necesare.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.