Wpis na blogu
|
18.03.2026
Oferta rzeczywiście brzmiała dobrze: w ramach swojego programu zarządzania zdrowiem, prywatna firma ubezpieczeniowa oferowała swoim ubezpieczonym programy zdrowotne, takie jak coaching dla diabetyków, astmatyków i osób cierpiących na problemy z kręgosłupem. Aby dotrzeć do pacjentów, o których mowa, firma ubezpieczeniowa przeanalizowała przedłożone faktury pod kątem wymienionych w nich diagnoz. Następnie zaprosiła ubezpieczonych do wzięcia udziału w programach, które najbardziej im odpowiadały. Podczas gdy w przypadku nowych klientów i zmian w umowach obecnych klientów uzyskano zgodę zgodnie z prawem o ochronie danych, dane wszystkich innych ubezpieczonych były analizowane bez ich zgody.
Inspektor ochrony danych kraju związkowego Nadrenia-Palatynat uznał to za naruszenie ogólnego rozporządzenia o ochronie danych (RODO). Analiza danych została przeprowadzona bez uprzedniej zgody osób, których dane dotyczą. Inspektor ochrony danych wydał ostrzeżenie firmie ubezpieczeniowej i poinstruował ją, wyznaczając termin, aby przetwarzała dane wyłącznie na podstawie skutecznej zgody. Zakład ubezpieczeń zdrowotnych odwołał się od tej decyzji. Federalny Sąd Administracyjny (BVerwG) ostatecznie orzekł na korzyść pozwanego państwowego inspektora ochrony danych. Sąd zmienił wyroki sądów niższej instancji i oddalił skargę.
Decyzja ta ma jednak wpływ nie tylko na kasy chorych, ale także na wszystkich inspektorów ochrony danych w administracjach miejskich i państwowych, które przetwarzają dane dotyczące zdrowia. Decyzja ta ma ogromne znaczenie nie tylko dla samych krajów związkowych i gmin, ale także dla spółek komunalnych i państwowych, takich jak centra opieki medycznej. Wynika to z faktu, że nie jest to tylko kwestia „czy“, ale raczej „jak“ należy postępować z wrażliwymi danymi zdrowotnymi.
Zwiększona ochrona wrażliwych danych zdrowotnych
W tym konkretnym przypadku Federalny Sąd Administracyjny orzekł, że firmy ubezpieczeniowe nie mogą analizować i oceniać danych zdrowotnych osób ubezpieczonych bez ich zgody w celu identyfikacji potencjalnych uczestników programów badań przesiewowych. Jednocześnie sąd sprecyzował i zaostrzył wymogi dotyczące przetwarzania wrażliwych danych zdrowotnych (sygn. akt: 6 C 7.24 z dnia 6 marca 2026 r.). Poprzednie instancje były zdania, że przetwarzanie danych zdrowotnych do celów profilaktycznej opieki zdrowotnej jest dopuszczalne.
Federalny Sąd Administracyjny zajął teraz odmienne stanowisko: analiza faktur i diagnoz nie jest dozwolona bez zgody osób, których dane dotyczą. Prawdą jest, że analiza danych nie narusza zakazu przetwarzania danych dotyczących zdrowia, ponieważ przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej zgodnie z art. 9 ust. 1 RODO. Nie istnieje jednak podstawa prawna przetwarzania danych zdrowotnych wynikająca z przepisów o ochronie danych. Wyważenie interesów wymagane na mocy art. 6 ust. 1 pkt 1 lit. f) RODO działa na korzyść ubezpieczonych. Dotyczy to również sytuacji, gdy profilaktyka zdrowotna i obniżenie kosztów leczenia leżą w interesie ubezpieczonego. Szczególna ochrona ich wrażliwych danych zdrowotnych ma większe znaczenie zgodnie z art. 9 RODO.
Sąd uzasadnił również swoją decyzję stwierdzeniem, że programy badań przesiewowych nie były częścią „podstawowego obszaru medycznego“. Do tego dochodził „szeroki zakres“ przedmiotowego przetwarzania danych. Firma ubezpieczeniowa nie poinformowała również odpowiednio swoich klientów o przetwarzaniu danych. Sąd pozostawił jednak otwartą kwestię, czy dane, które zostały pierwotnie zebrane wyłącznie w celu wystawienia rachunku i zwrotu kosztów, mogą być dalej przetwarzane w innych celach.
Wysokie wymagania dotyczące przetwarzania danych zdrowotnych w praktyce
W ten sposób Federalny Sąd Administracyjny wzmacnia prawo do informacyjnego samostanowienia osób poszkodowanych i ustanawia wysokie standardy przetwarzania danych zdrowotnych przez odpowiedzialne organy.
Wymogi i obowiązki krajów związkowych i gmin w zakresie przetwarzania wrażliwych danych zdrowotnych
Decyzja ta ma zatem zastosowanie nie tylko do działalności prywatnych ubezpieczycieli zdrowotnych w zakresie opieki zdrowotnej, ale także do gmin i krajów związkowych lub ich spółek, takich jak centra opieki medycznej.
Wynika to z faktu, że opieka zdrowotna w krajach związkowych i gminach jest istotną częścią usług publicznych świadczonych w interesie ogólnym. Na przykład władze lokalne przetwarzają dane dotyczące zdrowia w celu realizacji zadań ustawowych, takich jak ochrona przed infekcjami lub egzaminy wstępne do szkół. Dane dotyczące zdrowia są jednak również wykorzystywane w dobrowolnych programach promocji zdrowia, takich jak programy zarządzania stresem i promocji ćwiczeń w krajach związkowych i gminach lub ankiety zdrowotne w celu poprawy lokalnych usług w miastach.
Nawet jeśli są to dobrowolne usługi komunalne, przy przetwarzaniu tych wrażliwych danych zdrowotnych należy przestrzegać wymogów ochrony danych wynikających z RODO.
Praktyczne wskazówki dla gmin, krajów związkowych i spółek komunalnych
- Sprawdzenie i udokumentowanie podstawy prawnej przetwarzania danych: Administratorzy danych, którzy chcą analizować, oceniać lub w inny sposób przetwarzać wrażliwe dane dotyczące zdrowia, zawsze wymagają podstawy prawnej zgodnie z art. 6 ust. 1 w związku z art. 9 ust. 2 RODO. Art. 9 ust. 2 RODO. Podstawa prawna jest wymagana dla każdej operacji przetwarzania danych. Należy ją dokładnie sprawdzić i udokumentować.
- Standaryzacja zgody i uczynienie jej zrozumiałą: Jeśli chodzi o dobrowolne gminne programy promocji zdrowia i nie ma „uzasadnionych interesów“, zgoda osoby, której dane dotyczą, jest zasadniczo wymagana zgodnie z prawem o ochronie danych. Zgoda musi spełniać wymogi art. 4 nr 11, art. 7 RODO. Przede wszystkim musi być udzielona dobrowolnie i w konkretnym przypadku.
- Ponowna ocena zmian celu: Jeśli dane dotyczące zdrowia, które zostały już zebrane, mają być wykorzystane przez spółkę komunalną do innych celów, jest to dozwolone tylko w wyjątkowych przypadkach. W razie wątpliwości wymagana jest nowa podstawa prawna i zgoda osoby, której dane dotyczą.
- Kompleksowe informowanie zainteresowanych osób, wypełnianie obowiązków w zakresie przejrzystości: Cele przetwarzania i podstawy prawne muszą być przekazywane osobom, których dane dotyczą, w sposób jasny i zrozumiały. Art. 13 RODO zobowiązuje również gminy, kraje związkowe i przedsiębiorstwa komunalne do zapewnienia przejrzystych informacji na temat przetwarzania danych. Informacje te muszą być przekazywane w momencie gromadzenia danych dotyczących zdrowia.
Umysł stojący za artykułem.
Zeynep Kenar jest prawnikiem w DOMBERT Rechtsanwälte. Jej praca koncentruje się na ochronie danych, cyfryzacji i wykorzystaniu sztucznej inteligencji w administracji miejskiej. Zapewnia kompleksowe doradztwo we wszystkich kwestiach związanych z prawem ochrony danych i wspiera zgodne z prawem projektowanie i wdrażanie środków związanych z ochroną danych w krajach związkowych i gminach.