Pełny tekst orzeczenia

WYROK

z dnia 19 lutego 2002 r.
Sygn. U. 3/01



Trybunał Konstytucyjny w składzie:


Jerzy Stępień – przewodniczący

Biruta Lewaszkiewicz-Petrykowska

Jadwiga Skórzewska-Łosiak – sprawozdawca



protokolant – Grażyna Szałygo


po rozpoznaniu w dniu 19 lutego 2002 r. na rozprawie sprawy z wniosku Naczelnej Rady Aptekarskiej, z udziałem umocowanych przedstawicieli uczestników postępowania: wnioskodawcy, Ministra Zdrowia i Prokuratora Generalnego o stwierdzenie, że:
§ 2 ust. 1 zd. 2 wraz z załącznikiem oraz § 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. z 2001 r. Nr 4, poz. 39; zm.: Nr 12, poz. 104, Nr 74, poz. 799) jest niezgodny z art. 51 ust. 1 i 5 Konstytucji Rzeczypospolitej Polskiej


o r z e k a:

Paragraf 2 ust. 1 zd. 2 i  6 ust. 1 pkt 7 i pkt 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. z 2001 r. Nr 4, poz. 39; zm.: Nr 12, poz. 104, Nr 74, poz. 799) oraz załącznik do tego rozporządzenia nie są niezgodne z art. 51 ust. 1 i 5 Konstytucji Rzeczypospolitej Polskiej.

Ponadto p o s t a n a w i a:

na podstawie art. 39 ust. 1 pkt 2 ustawy z dnia 1 sierpnia 1997 r. o Trybunale Konstytucyjnym (Dz.U. Nr 102, poz. 643; zm.: z 2000 r. Nr 48, poz. 552 i Nr 53, poz. 638; z 2001 r. Nr 98 poz. 1070) umorzyć postępowanie w sprawie zgodności  6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. z 2001 r. Nr 4, poz. 39; zm.: Nr 12, poz. 104 i Nr 74, poz. 799) z art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej oraz z art. 23 ust. 1 pkt 2 i art. 27 ust. 1 i 2 pkt 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883; zm.: z 2000 r. Nr 12, poz. 136, Nr 50, poz. 580 i Nr 116, poz. 1216; z 2001 r. Nr 42, poz. 474 i Nr 49, poz. 509) i art. 59 ust. 2 pkt 3 w zw. z art. 59 ust. 3 ustawy z dnia 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym (Dz.U. Nr 28, poz. 153; zm.: 1997 r. Nr 75, poz. 468; z 1998 r. Nr 117, poz.756, Nr 137, poz.887, Nr 144, poz.929, Nr 162, poz.1116; z 1999 r. Nr 45, poz. 439, Nr 49, poz.483, Nr 63, poz.700, Nr 70, poz.777, Nr 72, poz.802, Nr 109, poz.1236, Nr 110, poz. 1255 i poz. 1256; z 2000 r. Nr 12, poz.136, Nr 18, poz. 230, Nr 95, poz.1041, Nr 122, poz.1311 i poz.1324; z 2001 r. Nr 8, poz. 64), wobec cofnięcia wniosku w tym zakresie.

Uzasadnienie:

I

1. Naczelna Rada Aptekarska pismem z 12 czerwca 2001 r. przedstawiła wniosek o stwierdzenie, że:
 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. z 2001 r., Nr 4, poz. 39; zm.: Dz.U. Nr 12, poz. 104) jest niezgodny:
1) z art. 51 ust. 1, 2 i 5 Konstytucji Rzeczypospolitej Polskiej,
2) z art. 23 ust. 1 pkt 2 i art. 27 ust. 1 i 2 pkt 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883, ze zm.) oraz z
3) art. 59 ust. 2 pkt 3 w zw. z art. 59 ust. 3 ustawy z dnia 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym (Dz.U. Nr 28, poz. 153, ze zm.).
Naczelna Rada Aptekarska wyraziła pogląd, że rozporządzenie Ministra Zdrowia nakłada na apteki – wbrew dyspozycji art. 51 ust. 1 Konstytucji – obowiązek przetwarzania danych osobowych pacjenta i osoby, która wystawiła receptę, a przetwarzanie to odbywa się bez zgody osób, których dotyczy.
Zdaniem wnioskodawcy zakwestionowane przepisy są niezgodne z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych stanowiącym, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy zezwalają na to przepisy prawa. Art. 27 ust. 1 wprowadza ogólną zasadę zakazu przetwarzania danych odnoszących się m.in. do stanu zdrowia czy nałogów. Art. 27 ust. 2 pkt 7 dopuszcza możliwość przetwarzania danych bez zgody osoby, której dotyczą, jeżeli przetwarzanie ma na celu ochronę stanu zdrowia, świadczenie usług medycznych lub leczenie pacjentów, wymagając jednocześnie, aby stworzone zostały pełne gwarancje ochrony danych osobowych. W ocenie wnioskodawcy rozporządzenie jako akt podustawowy nie stwarza takich pełnych gwarancji. Apteka staje się faktycznym administratorem danych pacjenta i osoby wystawiającej receptę, ale nie podlega rygorom i obowiązkom administratora zawartym w art. 24, 25, 26, 29 i 30 oraz w rozdziale 5 ustawy o ochronie danych osobowych. wnioskodawca wyraził również wątpliwość, czy projekt rozporządzenia opiniowany był przez Generalnego Inspektora Ochrony Danych Osobowych, jak wymaga tego art. 12 ustawy o ochronie danych osobowych.
Wnioskodawca zwrócił uwagę, że art. 59 ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym zobowiązuje apteki do przekazywania kasie chorych danych o obrocie refundowanymi lekami i materiałami medycznymi. Art. 59 ust. 3 ustawy upoważnia Ministra Zdrowia do określenia, w drodze rozporządzenia, trybu i sposobu przekazywania danych o obrocie refundowanymi lekami i materiałami medycznymi. Według Naczelnej Rady Aptekarskiej nie sposób przyjąć, aby w zakresie pojęcia “danych o obrocie refundowanymi lekami i materiałami medycznymi” mieściły się dane osobowe pacjenta oraz dane osoby wytwarzającej receptę, do których przetwarzania zobowiązuje apteki zaskarżone rozporządzenie. Art. 59 ust. 3 nie stanowi upoważnienia do wydania rozporządzenia, w którym reguluje się sprawy przetwarzania danych osobowych.
W ocenie wnioskodawcy, ustawa o powszechnym ubezpieczeniu zdrowotnym uregulowała kwestie przetwarzania ochrony danych osobowych w rozdziale 7a. Z systematyki ustawy wynika, że art. 59 nie może dotyczyć danych osobowych. Zgodnie z art. 141a ustawy do uzyskiwania i przetwarzania danych osobowych osób ubezpieczonych upoważnione zostały wyłącznie kasy chorych. Natomiast w myśl art. 141b ust. 1 apteki są zobowiązane przekazywać kasom chorych niezbędne dane rozliczeniowe, nie zaś dane osobowe.
Pismem z 24 października Naczelna Rada Aptekarska zmodyfikowała swój wniosek, wnosząc o stwierdzenie niezgodności § 2 ust. 1 zd. 2 wraz z załącznikiem oraz § 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki, z art. 51 ust. 1 i ust. 5 Konstytucji.
W ocenie wnioskodawcy zaskarżone rozporządzenie Ministra Zdrowia nakłada na apteki, wbrew dyspozycji art. 51 ust. 1 Konstytucji, obowiązek przetwarzania danych osobowych pacjenta, a przetwarzanie to odbywa się bez zgody osób, których dotyczy. Zakres przetwarzanych przez apteki danych obejmuje numer potwierdzający identyfikację pacjenta oraz kod uprawnień pacjenta pozwalający określić, na jaki rodzaj chorób on choruje.
Wnioskodawca wyraził pogląd, że norma art. 51 Konstytucji znalazła swoje uszczegółowienie w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 27 ust. 2 dopuszcza przetwarzanie bez zgody zainteresowanego danych dotyczących stanu zdrowia, czy nałogów m.in., jeżeli zezwala na to przepis innej ustawy bądź przetwarzanie ma na celu ochronę stanu zdrowia, świadczenie usług medycznych lub leczenie pacjentów. Jednakże w jednym i drugim przypadku ustawa wymaga, aby zostały stworzone pełne gwarancje ochrony danych osobowych. Tymczasem kwestionowane rozporządzenie nie stwarza takich pełnych gwarancji ochrony danych.
Wnioskodawca wyraził pogląd, że art. 59 ust. 2 pkt 3 ustawy w brzmieniu sprzed 27 września 2001 r., ani też w treści nadanej nowelizacją z 20 sierpnia 2001 r., nie stanowi podstawy prawnej dla przetwarzania danych osobowych przez apteki. Żadna ustawa nie nakłada w sposób literalny na aptekę obowiązku przetwarzania danych osobowych pacjenta i nie przyznaje aptekom prawa do ich przetwarzania. Tak istotnej dla praw i wolności obywatelskich kwestii nie można regulować w sposób dorozumiany czy rodzący wątpliwości. W dzisiejszym stanie prawnym kasy chorych nie mogą żądać od aptek danych osobowych, do przetwarzania których apteki nie są uprawnione.
Zdaniem wnioskodawcy rozporządzenie Ministra Zdrowia – w przepisach dotyczących przetwarzania danych osobowych pacjenta – nie wynika wprost z upoważnienia ustawowego i nie jest zgodne z normą konstytucyjną (art. 51 ust. 1 i 5 Konstytucji).

2. Minister Zdrowia w piśmie z 6 września 2001 r. stwierdził, że nie podziela stanowiska naczelnej Rady Aptekarskiej. W ocenie Ministra Zdrowia zaskarżone we wniosku przepisy nie wykraczają poza zakres upoważnienia ustawowego. Ustawa o powszechnym ubezpieczeniu zdrowotnym w nowym brzmieniu zobowiązuje apteki do przekazywania kasom chorych nie tylko danych o obrocie lekami i materiałami refundowanymi, ale również innych danych zawartych w treści poszczególnych realizowanych recept. Kasa chorych jest uprawniona do przetwarzania danych dotyczących realizacji umów o udzielanie świadczeń oraz danych dotyczących leków i materiałów medycznych. Ogólna informacja o wysokości refundacji bez ujawnienia informacji dotyczącej kodu uprawnień uniemożliwia wyodrębnienie kosztów refundacyjnych z podziałem na grupy uprawnionych, co z kolei uniemożliwia monitorowanie stanu zdrowia i zapotrzebowania na świadczenia zdrowotne ubezpieczonych. Dane zawarte w treści recepty stanowią minimalny zakres danych, które umożliwiają kasie chorych prawidłowe wykonywanie swoich obowiązków.
Zdaniem Ministra Zdrowia rozporządzenie nie narusza również przepisów ustawy o ochronie danych osobowych. Art. 23 ust. 1 pkt 2 tej ustawy dopuszcza przetwarzanie danych, gdy zezwalają na to przepisy prawne. Zezwolenie takie może wynikać zarówno z ustawy jak i z rozporządzenia. Zaskarżone przepisy nie są również niezgodne z art. 27 ustawy ochronie danych osobowych. Dane, o których mowa w zakwestionowanych przepisach rozporządzenia, nie są tożsame z danymi o stanie zdrowia czy nałogach. Nawet gdyby przyjąć, że są to dane dotyczące zdrowia, to ich przekazywanie byłoby zgodne z art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych, który dopuszcza przetwarzanie takich danych w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, bądź zarządzaniem udzielaniem usług medycznych.
Według Ministra Zdrowia, z uwagi na ogłoszenie ustawy zmieniającej ustawę o powszechnym ubezpieczeniu zdrowotnym, z dniem 28 września 2001 r. większość zarzutów utraciła swoją aktualność, w pozostałej zaś części zarzuty nie znajdują potwierdzenia w obowiązującym systemie prawnym. Minister Zdrowia stwierdził ponadto, że projekt rozporządzenia był przedmiotem opinii Generalnego Inspektora Ochrony Danych Osobowych, który nie zgłosił do projektu żadnych uwag.
Pismem z 14 grudnia 2001 r. Minister Zdrowia podtrzymał stanowisko przestawione w piśmie z 6 września 2001 r. W ocenie Ministra Zdrowia wszystkie zaskarżone przepisy są zgodne z art. 51 ust. 1 i ust. 5 Konstytucji. Wobec jednoznacznego brzmienia art. 59 ust. 2 pkt 3 ustawy o powszechnym ubezpieczeniu zdrowotnym, kwestionowane przepisy posiadają ustawowe umocowanie.

3. Prokurator Generalny w piśmie z 11 września 2001 r. wyraził pogląd, że zaskarżone przepisy są zgodne z art. 51 ust. 1, 2 i 5 Konstytucji Rzeczypospolitej Polskiej oraz z art. 23 ust. 1 pkt 2 i art. 27 ust. 1 i 2 pkt 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i art. 59 ust. 2 pkt 3 w zw. z art. 59 ust. 3 ustawy z 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym. W ocenie Prokuratora Generalnego w rozpoznawanej sprawie nie występują dane osobowe podlegające ochronie. Analiza przekazywanego komunikatu prowadzi do wniosku, że zawiera on jedynie tego rodzaju dane identyfikacyjne pacjenta, które nie są możliwe do odszyfrowania bez znajomości treści numeru identyfikacyjnego oraz kodu uprawnień. W konsekwencji kwestionowane przepisy nie są niezgodne z przepisami ustawy o ochronie danych osobowych ani z przepisami Konstytucji.
W ocenie Prokuratora Generalnego, Minister Zdrowia, wydając zakwestionowane przepisy, działał zgodnie z upoważnieniem wynikającym z ustawy o powszechnym ubezpieczeniu zdrowotnym. Nieuzasadniony jest również zarzut naruszenia przepisów ustawy o ochronie danych osobowych, skoro informacje dotyczące pacjentów są zakodowane w sposób niepozwalający na ich identyfikację przez przypadkowe osoby, zaś adresat informacji jest ustawowo upoważniony do uzyskiwania i przetwarzania danych pacjentów objętych ubezpieczeniem danej kasy chorych.
Prokurator Generalny przedstawił dodatkowe stanowisko pismem z 21 listopada 2001 r. W ocenie Prokuratora Generalnego przepisy § 2 ust. 1 zd. 2 wraz z załącznikiem oraz § 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia są zgodne z art. 51 ust. 1 i ust. 5 Konstytucji, natomiast w pozostałym zakresie postępowanie podlega umorzeniu na podstawie art. 39 ust. 1 pkt 2 ustawy z 1 sierpnia 1997 r. o Trybunale Konstytucyjnym.
Prokurator Generalny wyraził pogląd, że po nowelizacji ustawy o powszechnym ubezpieczeniu zdrowotnym ustawą z 20 lipca 2001 r., Naczelna Rada Aptekarska nie może już mieć wątpliwości, że Minister Zdrowia miał umocowanie do zobowiązania aptek do składania kasom chorych określonych w rozporządzeniu danych. Obowiązek przekazywania przez apteki informacji, które zawierają recepty podlegające refundacji, wynika z przepisów ustawy.
Zdaniem Prokuratora Generalnego § 2 ust. 1 zd. 2 rozporządzenia oraz załącznik do niego ma charakter wyłącznie technicznych wskazówek co do sposobu sformułowania przez aptekę komunikatu elektronicznego, podczas gdy jego treść – zdeterminowana innymi przepisami – ani nie tworzy, ani nie kształtuje niczyjej sytuacji prawnej.

II

Na rozprawie 19 lutego 2002 r. pełnomocnik wnioskodawcy podtrzymał stanowisko wyrażone w piśmie z 24 października 2001 r. modyfikującym wniosek i potwierdził cofnięcie pierwotnego wniosku przekazane w piśmie z 18 lutego 2002 r., przedłożonym Trybunałowi przed rozpoczęciem rozprawy. Pełnomocnik Naczelnej Rady Aptekarskiej wystąpił zatem o stwierdzenie niezgodności § 1 ust. 1 zd. 2 wraz z załącznikiem oraz § 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z 27 grudnia 2000 r. , z art. 51 ust. 1 i 5 Konstytucji.
Pozostali uczestnicy postępowania podtrzymali dotychczasowe, wyrażone na piśmie, stanowiska.

III

Trybunał Konstytucyjny zważył, co następuje:

Po wniesieniu przez Naczelną Radę Aptekarską wniosku do Trybunału Konstytucyjnego weszła w życie ustawa z dnia 20 lipca 2001 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym oraz niektórych innych ustaw (Dz.U. Nr 88, poz. 961). Ustawa ta zmieniła m.in. art. 59 ust. 2 pkt 3 oraz art. 59 ust. 3 ustawy o powszechnym ubezpieczeniu zdrowotnym, wskazane przez Wnioskodawcę jako podstawa kontroli w rozpoznawanej sprawie. Zmiany wymienionych przepisów weszły w życie z dniem 27 września 2001 r. Z kolei rozporządzenie Ministra Zdrowia z dnia 16 lipca 2001 r. zmieniające rozporządzenie w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. Nr 74, poz. 799) zmieniło z dniem 1 sierpnia 2001 r. szereg przepisów rozporządzenia Ministra Zdrowia z 27 grudnia 2000 r. W konsekwencji wnioskodawca podjął decyzję o zmodyfikowaniu swojego pierwotnego wniosku do Trybunału Konstytucyjnego. Naczelna Rada Aptekarska przedstawiła zmodyfikowany wniosek, w którym wystąpiła o stwierdzenie niezgodności § 2 ust. 1 zd. 2 wraz z załącznikiem oraz § 6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. z art. 51 ust. 1 i ust. 5 Konstytucji RP. Wnioskodawca rozszerzył zatem zakres zaskarżonych przepisów o § 2 ust. 1 zd. 2 rozporządzenia oraz o załącznik. Z drugiej strony Naczelna Rada Aptekarska określiła w sposób węższy podstawę kontroli. W petitum nowego wniosku nie został podtrzymany zarzut, że  6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki (Dz.U. z 2001 r. Nr 4, poz. 39; zm.: Nr 12, poz. 104) jest niezgodny z art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej, z art. 23 ust. 1 pkt 2 i art. 27 ust. 1 i 2 pkt 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz z art. 59 ust. 2 pkt 3 w zw. z art. 59 ust. 3 ustawy z 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym. Następnie wnioskodawca wycofał wprost – w przedstawionym zakresie – swój pierwotny wniosek.
Cofnięcie wniosku wywołuje skutki określone w art. 39 ust. 1 pkt 2 ustawy z 1 sierpnia 1997 r. o Trybunale Konstytucyjnym. Wobec częściowego cofnięcia wniosku, Trybunał Konstytucyjny umorzył postępowanie w zakresie zarzutów objętych decyzją o cofnięciu – dotyczących zgodności  6 ust. 1 pkt 7 i 10 rozporządzenia Ministra Zdrowia z 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki, z art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej oraz z art. 23 ust. 1 pkt 2 i art. 27 ust. 1 i 2 pkt 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i art. 59 ust. 2 pkt 3 w zw. z art. 59 ust. 3 ustawy z 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym.

IV

1. Zaskarżone przepisy dotykają prawa do ochrony prawnej życia prywatnego. Ważnym elementem składowym analizowanego prawa jest tzw. autonomia informacyjna jednostki, oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów.
Prawo do ochrony prawnej życia prywatnego zostało zagwarantowane w art. 47 Konstytucji, a niektóre uprawnienia szczegółowe składające się na treść tego prawa – ponadto w innych przepisach konstytucyjnych. Autonomię informacyjną jednostki gwarantuje przede wszystkim art. 51 Konstytucji. W myśl art. 51 ust. 1, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (art. 51 ust. 2). Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5). Zgodnie z ust. 3, każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Z kolei art. 51 ust. 4 stanowi, że każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Art. 51 ust. 1 Konstytucji potwierdza prawo jednostki do samodzielnego decydowania o ujawnianiu informacji o sobie. Obowiązek ujawnienia informacji o sobie stanowi ograniczenie autonomii informacyjnej. Ograniczenie takie może zostać wprowadzone tylko w drodze ustawy, przy czym nałożenie takiego obowiązku powinno mieścić się w granicach ingerencji państwa w sferę konstytucyjnych wolności i praw człowieka i obywatela, wyznaczonych przez art. 31 ust. 3 Konstytucji.
Zarzuty przedstawione przez wnioskodawcę dotyczą ochrony praw jednostki w jej stosunkach z aptekami i kasami chorych. O ile kasy chorych są instytucjami prawa publicznego, utworzonymi przez ustawę w celu realizacji określonych zadań publicznych, o tyle apteki są podmiotami prawa prywatnego, zakładanymi i prowadzonymi – z reguły – przez podmioty prywatne. Kwestionowana regulacja dotyka podstawowych praw człowieka zarówno w ich wymiarze wertykalnym, tj. wobec organów władzy publicznej i innych podmiotów publicznych, jak i w ich wymiarze horyzontalnym, tj. w stosunkach między podmiotami prywatnymi.
Prawodawca konstytucyjny w art. 51 ustawy zasadniczej kładzie nacisk przede wszystkim na ochronę jednostki wobec władz publicznych. W ustępie 2 jako podmiot zobowiązany do realizacji prawa, w którym mowa w tym przepisie, wskazane zostały władze publiczne. Art. 51 ust. 1 Konstytucji nie określa w sposób jednoznaczny podmiotu zobowiązanego do realizacji prawa zagwarantowanego w tym przepisie. Oznacza to, że wymieniony przepis konstytucyjny dotyczy wszelkich przypadków, w których jednostka zobowiązana zostaje do ujawniania informacji o sobie innym podmiotom, a więc także podmiotom prywatnym. Podobnie art. 51 ust. 5, który zalicza do zakresu wyłączności ustawy “zasady i tryb gromadzenia oraz udostępniania informacji”, nie określa expressis verbis, czy chodzi tutaj wyłącznie o zbieranie i udostępnienia informacji przez podmioty publiczne, czy też również przez podmioty prywatne.
W świetle art. 47 Konstytucji nie ulega jednak wątpliwości, że ustawodawca ma konstytucyjny obowiązek zapewnić jednostce odpowiednią ochronę sfery prywatności nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych.

2. Wnioskodawca przedstawił zarzut naruszenia art. 51 ust. 1 i 5 Konstytucji. W jego ocenie wymienione przepisy konstytucyjne wymagają, aby obowiązek przetwarzania danych osobowych na apteki został nałożony przez ustawę, tymczasem obowiązująca regulacja prawna nie spełnia tego wymogu. Zarzucana niezgodność zaskarżonych przepisów z Konstytucją polega na naruszeniu zasady wyłączności ustawy w zakresie regulowania spraw związanych z przetwarzaniem danych osobowych.
Należy zauważyć, że art. 51 ust. 1 Konstytucji wskazany jako jedna z podstaw kontroli w petitum wniosku nie jest w pełni adekwatny do treści zarzutu sformułowanego w uzasadnieniu. Wymieniony przepis zalicza do zakresu wyłączności ustawy nakładanie obowiązku ujawniania przez jednostkę informacji na swój temat. Tymczasem zakwestionowane przepisy nie nakładają na jednostkę obowiązku ujawniania informacji o sobie. Rozporządzenie Ministra Zdrowia reguluje jedynie sprawy związane z przekazywaniem informacji zgromadzonych przez apteki przy okazji realizacji recept. Norma prawna wyrażona w zakwestionowanych przepisach rozporządzenia, poddana kontroli, oraz norma konstytucyjna wyrażona w art. 51 ust. 1 Konstytucji dotyczą różnych spraw. Z tego względu nie zachodzą podstawy do stwierdzenia niezgodności zaskarżonych przepisów z wymienionym przepisem konstytucyjnym.
Odmienny charakter ma natomiast art. 51 ust. 5 Konstytucji. W myśl tego przepisu zasada wyłączności ustawy obejmuje zasady i tryb gromadzenia i udostępniania informacji. Lege non distinguente przepis ten należy odnosić również do gromadzenia i udostępniania informacji przez podmioty prywatne. W ocenie Trybunału Konstytucyjnego, termin “gromadzenie informacji” użyty w wymienionym przepisie obejmuje nie tylko wąsko rozumiane czynności zbierania informacji dotyczących jednostki, ale również różnego rodzaju operacje przetwarzania tych informacji. Należy podkreślić, że niezależnie od możliwych wątpliwości co do zakresu art. 51 ust. 5 Konstytucji, na gruncie obowiązującej Konstytucji nie podlega dyskusji, że sprawy związane z przetwarzaniem danych osobowych należą do zakresu wyłączności ustawy.
Trybunał Konstytucyjny wielokrotnie wypowiadał się na temat konstytucyjnych zasad rozdziału materii między ustawę a rozporządzenie. W wyroku z 19 maja 1998 r., sygn. U. 5/97 Trybunał stwierdził, że: “w odniesieniu do sfery wolności i praw człowieka zastrzeżenie wyłącznie ustawowej rangi unormowania ich ograniczeń należy pojmować dosłownie, z wykluczeniem dopuszczalności subdelegacji, tj. przekazania kompetencji normodawczej innemu organowi, analogicznie do wykluczenia takiej możliwości w odniesieniu do rozporządzeń wykonawczych względem ustaw. Trybunał Konstytucyjny uważa, iż w tej specyficznej materii, którą stanowi unormowanie wolności i praw człowieka i obywatela, przewidziane konieczne lub choćby tylko dozwolone przez konstytucję unormowanie ustawowe musi cechować zupełność. W żadnym przypadku, w sytuacji sporu pomiędzy jednostką a organem władzy publicznej o zakres czy sposób korzystania z wolności i praw, podstawa prawna rozstrzygnięcia tego sporu nie może być oderwana od unormowania konstytucyjnego, ani mieć rangi niższej od ustawy” (OTK ZU Nr 4/1998, s. 252). Rozwijając i precyzując tę linię orzeczniczą, Trybunał Konstytucyjny stwierdza, że obowiązująca Konstytucja nakazuje, aby ustawa w sposób zupełny i wyczerpujący regulowała wszystkie sprawy o istotnym znaczeniu dla urzeczywistnienia wolności i praw człowieka i obywatela zagwarantowanych w Konstytucji. Zasada wyłączności ustawy nie wyklucza natomiast przekazywania do unormowania w drodze rozporządzeń określonych spraw szczegółowych, dotyczących statusu jednostki, ale nie mających istotnego znaczenia z punktu widzenia realizacji wolności i praw człowieka i obywatela zagwarantowanych w Konstytucji. Zasada wyłączności ustawy wymaga jednak, aby upoważnienie do wydania rozporządzenia spełniało wymagania określone w art. 92 Konstytucji. Z analizowanej zasady wynika jednocześnie wymóg, aby samo rozporządzenie było zgodne z warunkami określonymi w wymienionym przepisie konstytucyjnym, a w szczególności mieściło się w granicach upoważnienia ustawowego i było zgodne z obowiązującymi ustawami.
Odnosząc przedstawione ogólne ustalenia do sfery przetwarzania danych osobowych, należy zwrócić uwagę, że sprawy istotne, które muszą zostać uregulowane w ustawie, obejmują w szczególności warunki dopuszczalności przetwarzania danych osobowych. Ustawa powinna określać w sposób szczególnie precyzyjny warunki przetwarzania danych dotyczących sfery intymności jednostki. Ustawodawca może natomiast przekazać do unormowania w drodze rozporządzenia niektóre sprawy szczegółowe i techniczne związane z przetwarzaniem danych osobowych.

3. Ocena zasadności przedstawionych zarzutów wymaga uprzedniego przedstawienia podstawowych założeń ustaw regulujących refundację leków i materiałów medycznych, a także ustaw regulujących przekazywanie kasom chorych przez apteki danych o obrocie refundowanymi lekami i materiałami medycznymi.
Ustawa z 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym reguluje zasady zaopatrzenia osób objętych ubezpieczeniem zdrowotnym w leki i materiały medyczne. W myśl przepisów ustawy, zaopatrzenie w leki i materiały medyczne przysługuje ubezpieczonemu na podstawie recepty wystawionej przez lekarza ubezpieczenia zdrowotnego. Zaopatrzenie w leki i materiały medyczne przysługuje także na podstawie recepty wystawionej przez lekarza nie będącego lekarzem ubezpieczenia zdrowotnego, jeżeli zawarł z kasą chorych umowę upoważniającą go do wystawiania takich recept. Apteki wydają ubezpieczonym leki podstawowe i recepturowe po wniesieniu opłaty ryczałtowej, ustalonej przez ministra właściwego do spraw zdrowia w drodze rozporządzenia. Natomiast leki uzupełniające są wydawane ubezpieczonym za odpłatnością w wysokości 30% albo 50% ceny leku. Ustawa przewiduje jednocześnie limity cen dla leków zawartych w wykazach leków podstawowych i uzupełniających, upoważniając ministra właściwego do spraw zdrowia do ustalenia w drodze rozporządzenia limitów cen dla poszczególnych leków. Ustawa zagwarantowała ponadto bezpłatne zaopatrzenie w leki podstawowe określonym kategoriom osób objętych ubezpieczeniem zdrowotnym.
Apteki otrzymują od kasy chorych refundację ceny leku lub materiału medycznego wydawanego ubezpieczonemu bezpłatnie, za opłatą ryczałtową lub za częściową odpłatnością. Apteki mają w związku z tym obowiązek przedstawić kasie chorych zbiorcze zestawienie recept podlegających refundacji, zgodnie ze wzorem określonym przez ministra właściwego do spraw zdrowia w drodze rozporządzenia.
W związku z refundacją cen leków i materiałów medycznych, ustawodawca nałożył na apteki także dalsze obowiązki wobec kas chorych. Apteki są zobowiązane udostępniać na żądanie kasom chorych do wglądu recepty i przekazywać niezbędne dane rozliczeniowe, których rodzaj określa minister właściwy do spraw zdrowia w porozumieniu z Naczelną Radą Aptekarską.
Zgodnie z art. 59 ust. 2 pkt 2 ustawy, apteki mają obowiązek udostępniania do kontroli przez kasę chorych lub na jej zlecenie przez organy nadzoru farmaceutycznego dokumentacji, którą apteki obowiązane są prowadzić na podstawie odrębnych przepisów. Z kolei art. 59 ust. 2 pkt 3 ustawy, w swoim pierwotnym brzmieniu nakazywał aptekom przekazywanie kasom chorych danych o obrocie refundowanymi lekami i materiałami medycznymi. Ustawa nie wskazywała jednak, które dane mają być przekazywane kasom chorych, ani też nie regulowała trybu ich przekazywania. Sprawy te zostały powierzone do unormowania w drodze rozporządzenia Ministra Zdrowia i Opieki Społecznej. Art. 59 ust. 3 ustawy, na podstawie którego zostało wydane zaskarżone rozporządzenie Ministra Zdrowia z 27 grudnia 2000 r., stanowił pierwotnie: “Minister Zdrowia i Opieki Społecznej po zasięgnięciu opinii Naczelnej Rady Aptekarskiej określi, w drodze rozporządzenia, tryb i sposób przekazywania oraz zakres danych o obrocie, o którym mowa w ust. 2 pkt 3.”
Jak wspomniano wyżej, ustawa z 20 lipca 2001 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym oraz niektórych innych ustaw znowelizowała – po wejściu w życie z dniem 27 września 2001 r. – art. 59 ust. 2 pkt 3 oraz art. 59 ust. 3 ustawy o powszechnym ubezpieczeniu zdrowotnym. Aktualnie, w myśl art. 59 ust. 2 pkt 3 apteki zobowiązane są przekazywać kasie chorych informacje zawarte w treści poszczególnych zrealizowanych recept na refundowane leki i materiały medyczne. Z kolei art. 59 ust. 3 ustawy, w nowym brzmieniu, stanowi: “Minister właściwy do spraw zdrowia po zasięgnięciu opinii Naczelnej Rady Aptekarskiej określi, w drodze rozporządzenia, tryb i sposób przekazywania oraz zakres danych, o których mowa w ust. 2 pkt 3.” W myśl art. 11 ustawy z 20 lipca 2001 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym oraz niektórych innych ustaw do czasu wydania przepisów wykonawczych przewidzianych w tej ustawie zachowują moc dotychczasowe przepisy wykonawcze, jeżeli nie są sprzeczne z ustawą. W konsekwencji zaskarżone przepisy rozporządzenia Ministra Zdrowia zachowały moc obowiązującą w zakresie, w jakim są zgodne ze znowelizowaną ustawą o powszechnym ubezpieczeniu zdrowotnym.

4. Zagadnienia związane z przetwarzaniem danych osobowych uregulowane zostały w sposób ogólny w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych. Ustawa ta oparta została na założeniu, że przetwarzanie danych, z uwagi na potencjalne zagrożenie dla praw jednostki, dopuszczalne jest tylko w przypadkach i przy spełnieniu warunków określonych w ustawie. Ustawodawca polski rozróżnia dwa rodzaje danych osobowych: dane zwykłe oraz dane “wrażliwe”, wymienione w art. 27 ustawy. Do danych “wrażliwych” należą także dane o stanie zdrowia. Ustawa wprowadza generalny zakaz przetwarzania wymienionych w niej danych “wrażliwych”, a jednocześnie ustanawia wyjątki od tego zakazu. Zgodnie z art. 27 ust. 2, przetwarzanie danych o stanie zdrowia np. – jest dopuszczalne, jeżeli jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych .

5. Sprawy przetwarzania danych przez kasy chorych i apteki zostały uregulowane w ustawie o powszechnym ubezpieczeniu zdrowotnym. Przetwarzania danych dotyczy w szczególności – przedstawiony wyżej – art. 59 ust. 2 pkt 3 ustawy, który zobowiązuje apteki do przekazywania kasom chorych informacji zawartych w treści zrealizowanych recept na refundowane leki i materiały medyczne. Zgodnie z art. 141b ust. 1 ustawy apteki mają obowiązek przekazywać kasom chorych niezbędne dane rozliczeniowe określone przez ministra właściwego do spraw zdrowia. Z kolei w myśl art. 72 ust. 8 ustawy o powszechnym ubezpieczeniu zdrowotnym, dodanego przez wymienioną wyżej ustawę z dnia 20 lipca 2001 r., do zakresu działania kasy chorych należy m.in. przetwarzanie danych dotyczących realizacji umów o udzielanie świadczeń oraz danych dotyczących refundacji leków i materiałów medycznych, a także organizacja działań mających na celu poprawę szybkości, jakości i wiarygodności przekazywania danych przez świadczeniodawców i apteki. Cele i zakres przetwarzania danych przez kasy chorych zostały uregulowane w sposób szczegółowy w rozdziale 7a ustawy zatytułowanym “Przetwarzanie i ochrona danych”, wprowadzonym do tekstu ustawy przez ustawę z dnia z dnia 18 lipca 1998 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym oraz o zmianie niektórych ustaw (Dz.U. Nr 144, poz. 929). Zgodnie z przepisami zawartymi w tym rozdziale, kasy chorych są uprawnione do uzyskiwania i przetwarzania danych osobowych osób ubezpieczonych w celu:
1) stwierdzenia obowiązku ubezpieczenia i członkostwa,
2) wystawienia dokumentów uprawniających do korzystania ze świadczeń kas chorych,
3) stwierdzenia obowiązku płacenia składki i ustalenia kwoty składki,
4) kontroli rodzaju, zakresu i przyczyny udzielanych świadczeń,
5) rozliczenia ze świadczeniodawcami,
6) rozliczenia z innymi instytucjami lub osobami w zakresie ich zobowiązań wobec kasy chorych,
7) kontroli przestrzegania zasad gospodarności,
8) monitorowania stanu zdrowia i zapotrzebowania ubezpieczonych na świadczenia zdrowotne oraz leki i materiały medyczne.
W świetle obowiązujących ustaw nie podlega dyskusji, że kasy chorych mogą przetwarzać dane osobowe dotyczące stanu zdrowia osób ubezpieczonych. Na przetwarzanie danych o stanie zdrowia zezwala kasom chorych art. 141a ust. 1 ustawy o powszechnym ubezpieczeniu zdrowotnym. Ustawa ta określa jednocześnie w art. 141a ust. 2 zakres danych osobowych osób objętych ubezpieczeniem zdrowotnym, danych, do których przetwarzania uprawnione są kasy chorych.
Na gruncie ustaw obowiązujących przed 27 września 2001 r. pojawiała się wątpliwość, czy również apteki mają prawo przetwarzania danych osobowych dotyczących stanu zdrowia osób ubezpieczonych. W literaturze przedmiotu wyrażony został pogląd, że “można (...) zasadnie bronić poglądu, iż osobami zawodowo świadczącymi usługi medyczne są również aptekarze” (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2001, s. 434). Trybunał Konstytucyjny podziela ten pogląd. Zdaniem Trybunału Konstytucyjnego termin “usługi medyczne” użyty w art. 27 ust. 2 pkt 7 ustawy ochronie danych osobowych obejmuje m.in. zaopatrywanie pacjentów w leki. Analiza przepisów obowiązujących ustaw prowadzi do wniosku, że przetwarzanie przez apteki danych osobowych dotyczących stanu zdrowia spełnia przesłankę wymienioną w art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych. Apteki mogą przetwarzać dane dotyczące stanu zdrowia zawarte na receptach przedstawionych do realizacji, w zakresie niezbędnym dla zaopatrywania pacjentów w leki i materiały medyczne. Prawo aptek do przetwarzania danych osobowych dotyczących stanu zdrowia potwierdza jednoznacznie art. 59 ust. 2 pkt 3 ustawy o powszechnym ubezpieczeniu zdrowotnym, nakazując aptece przekazywanie kasom chorych informacji zawartych w treści recept. Wbrew twierdzeniom Wnioskodawcy, ustawa przewiduje przetwarzanie przez apteki danych osobowych zawartych w treści recept, gdyż przekazanie tych danych wymaga ich odpowiedniego przetworzenia w zakresie niezbędnym dla przekazania kasom chorych informacji określonych w ustawie. Jednocześnie obowiązujące ustawy wyznaczają ściśle rodzaj danych, które mogą być przetwarzane przez apteki, oraz formy i cele tego przetwarzania. Wszelkie regulacje podustawowe muszą mieścić się w wymienionych granicach, wyznaczonych przez ustawodawcę.

6. Art. 59 ust. 3 ustawy przekazuje do unormowania w drodze rozporządzenia “tryb i sposób przekazywania oraz zakres danych, o których mowa w ust. 2 pkt 3”. Zakres ten obejmuje wyłącznie informacje w receptach zrealizowanych, na leki i materiały medyczne refundowane. Z brzmienia analizowanego przepisu wynika, że do ministra właściwego do spraw zdrowia należy określenie, które z informacji zawartych w treści poszczególnych zrealizowanych recept na refundowane leki i materiały medyczne podlegają przekazaniu na rzecz kasy chorych. Zakres ten nie może jednak zostać określony w sposób dowolny. Zakres danych podlegających przekazaniu musi mieścić się w zakresie danych, które mogą być przetwarzane przez kasy chorych. Rozporządzenie nie może nakazywać aptekom przekazywania takich rodzajów danych osobowych, do przetwarzania których kasy chorych nie są w ogóle uprawione na gruncie obowiązujących ustaw.
Powołując się na art. 59 ust. 3 ustawy, Minister Zdrowia wydał rozporządzenia z 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki. Zgodnie z przepisami rozporządzenia apteki mają obowiązek przekazywania danych o obrocie refundowanymi lekami i materiałami medycznymi, wynikających ze zrealizowanych recept podlegających refundacji w zbiorczym zestawieniu. § 2 ust. 1 rozporządzenia stanowi: “Apteki przekazują dane o obrocie refundowanymi lekami i materiałami medycznymi, o których mowa w § 1 ust. 1, w formie komunikatu elektronicznego albo komunikatów elektronicznych. Sposób budowy komunikatu elektronicznego określa załącznik do rozporządzenia.” Komunikat ten jest przekazywany przez dostarczenie nośnika umożliwiającego zapis i odczyt informacji w sposób cyfrowy, z zapisanym na nim komunikatem, lub przez okresową teletransmisję komunikatu w terminach uzgodnionych z kasą chorych.
Rozporządzenie Ministra Zdrowia uregulowało szczegółowo w  6 ust. 1 zakres przekazywanych danych, który obejmuje m.in. numer potwierdzający identyfikację pacjenta, jeżeli występuje na recepcie, i kod uprawnień dodatkowych pacjenta lub kod uprawnień dla pacjentów chorujących na choroby określone w przepisach wydanych na podstawie art. 39 ust. 2 ustawy, na podstawie którego wydano refundowany lek lub materiał medyczny.
Sposób budowy komunikatu elektronicznego zwierającego dane przekazywane przez apteki kasom chorych reguluje szczegółowo załącznik do rozporządzenia. Załącznik przewiduje przekazanie m.in. numeru potwierdzającego identyfikację pacjenta oraz kodu uprawnień dodatkowych, o którym mowa w § 6 ust. 1 pkt 10 rozporządzenia. Należy podkreślić, że regulacja prawna zawarta w załączniku nie ma charakteru bezwzględnie wiążącego. W myśl § 1 ust. 2 rozporządzenia na wniosek apteki strony mogą uzgodnić inny sposób budowy komunikatu, o którym mowa w ust. 1. Unormowania zawarte w załączniku wiążą apteki tylko wtedy, gdy strony nie uzgodniły innego sposobu budowy komunikatu.

7. Z uzasadnienia wniosku wynika, że Naczelna Rada Aptekarska kwestionuje konstytucyjność rozporządzenia w zakresie, w jakim nakłada ono na apteki obowiązek przekazywania: numeru potwierdzającego identyfikację pacjenta oraz kodu uprawnień dodatkowych pacjenta lub kodu uprawnień dla pacjenta z chorobą określoną w przepisach wydanych na podstawie art. 39 ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym, w oparciu o który wydano lek refundowany.
Ustalenie znaczenia terminu “numer potwierdzający identyfikację pacjenta" użytego w  6 ust. 1 pkt 7 rozporządzenia Ministra Zdrowia z dnia 27 grudnia 2000 r. może budzić wątpliwości. Brzmienie tego terminu sugeruje prima facie, że obejmuje on każdy numer identyfikacyjny, stosowany w polskim systemie prawnym, który pozwala jednoznacznie określić tożsamość danej osoby. Taki charakter ma m.in. numer PESEL oraz numer NIP. W zakresie terminu “numer potwierdzający identyfikację pacjenta” mieści się również m.in. numer identyfikacyjny pacjenta, o którym mowa w art. 32e ust. 6 ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz.U. Nr 91, poz. 408 ze zm.). Wymieniony przepis przewiduje nadawanie pacjentom “numeru identyfikacyjnego pacjenta”, umieszczanego w książeczce usług medycznych.
Numerem potwierdzającym identyfikację pacjenta jest również numer karty ubezpieczenia, przewidzianej art. 18 ustawy o powszechnym ubezpieczeniu zdrowotnym. W myśl powołanego przepisu karta ta stanowi dowód objęcia ubezpieczeniem zdrowotnym i jest wydawana osobie ubezpieczonej po jej zgłoszeniu kasie chorych. Ustawa stanowi, że karta ubezpieczenia może zawierać numer karty, ale nie ustanawia takiego obowiązku. Sprawy szczegółowe związane z wydawaniem kart ubezpieczenia regulowało rozporządzenie Rady Ministrów z dnia 18 marca 1999 r. w sprawie karty ubezpieczenia zdrowotnego, trybu jej wydawania i unieważniania (Dz.U. Nr 30, poz. 289) wydane na podstawie art. 18 ust. 7 ustawy o powszechnym ubezpieczeniu zdrowotnym.
Art. 18 ust. 7 ustawy o powszechnym ubezpieczeniu zdrowotnym został zmieniony ustawą z dnia 22 grudnia 2000 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym, ustawy o podatku dochodowym od osób fizycznych, ustawy o podatku dochodowym od osób prawnych oraz ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (Dz.U. Nr 122, poz. 324). Wprowadzona zmiana polegała na powierzeniu kompetencji do wydania rozporządzenia, o którym mowa w tym przepisie, ministrowi właściwemu do spraw zdrowia. Zmiana ta weszła w życie z dniem 30 czerwca 2001 r. W konsekwencji rozporządzenie Rady Ministrów z 18 marca 1999 r. w sprawie karty ubezpieczenia zdrowotnego, trybu jej wydawania i unieważniania utraciło moc obowiązującą z tym dniem.
Ustalając wykładnię tego terminu należy zwrócić uwagę na przepisy dotyczące treści recept lekarskich. Treść recept została uregulowana w rozporządzeniu Ministra Zdrowia z dnia 18 maja 2001 r. w sprawie recept lekarskich (Dz.U. Nr 51, poz. 535; zm.: Nr 121, poz. 1137), wydanym na podstawie art. 45 ust. 3 ustawy z dnia 5 grudnia 1996 r. o zawodzie lekarza (Dz.U. z 1997 r. Nr 28, poz. 152 ze zm.) oraz art. 45 ustawy z 6 lutego 1997 r. o powszechnym ubezpieczeniu zdrowotnym. Zgodnie z  3 ust. 4 pkt 1 rozporządzenia, na recepcie może być umieszczony dodatkowo numer potwierdzający identyfikację pacjenta określony w odrębnych przepisach. Rozporządzenie nie ustanawia obowiązku umieszczania tego numeru na receptach. Należy jednak zwrócić uwagę, że w myśl § 11 rozporządzenia, jeżeli pacjent przedstawia kartę ubezpieczenia w postaci książeczki usług medycznych, o której mowa w przepisach wydanych na podstawie art. 18 ust. 7 ustawy o powszechnym ubezpieczeniu zdrowotnym, recepty wystawiane są na kuponach tej książeczki. Recepty mogą być wystawiane na drukach recept zgodnych z wzorem kuponu książeczki usług medycznych, jeżeli umieszczany jest na nich numer potwierdzający identyfikację pacjenta, o którym mowa w § 3 ust. 4 pkt 1 rozporządzenia.
Załącznik do rozporządzenia Ministra Zdrowia z 27 grudnia 2000 r. w sprawie trybu i sposobu przekazywania oraz zakresu danych o obrocie refundowanymi lekami i materiałami medycznymi przekazywanych przez apteki, w brzmieniu obowiązującym przed 1 sierpnia 2001 r., przewidywał przekazywanie dwóch rodzajów numerów służących identyfikacji pacjenta: numeru PESEL oraz “numeru kuponu RUM”. Komunikat miał zawierać informację o rodzaju numeru potwierdzającego informację pacjenta, zakodowaną w przy pomocy cyfry 0 w przypadku numeru PESEL lub 1 w przypadku numeru kuponu RUM. Ponadto w komunikacie miał zostać zawarty sam numer, tj. numer PESEL, złożony z 11 cyfr lub numer 20–znakowy. Również obecnie, w brzmieniu obowiązującym od 1 sierpnia 2001 r., załącznik zakłada posługiwanie się różnymi numerami służącymi identyfikacji pacjenta. W komunikacie powinna znaleźć się informacja o rodzaju numeru identyfikacji pacjenta zakodowana przy pomocy odrębnej cyfry, przy czym w przypadku numeru kuponu RUM jest to cyfra 1. Jednocześnie komunikat powinien zawierać numer służący identyfikacji pacjenta, złożony z 11 lub 20 cyfr. W myśl postanowień załącznika numer służący identyfikacji pacjenta przekazywany jest tylko wtedy, jeżeli występuje na recepcie w postaci kodu kreskowego.
De lege lata brak jest odrębnych przepisów regulujących zamieszczanie na recepcie numeru potwierdzającego identyfikację pacjenta. W świetle powyższych rozważań numer potwierdzający identyfikację pacjenta mógłby figurować w praktyce tylko na receptach wystawionych na kuponach rejestru książeczek usług medycznych, wydanych zgodnie z przepisami uchylonego rozporządzenia Rady Ministrów z 18 marca 1999 r. w sprawie karty ubezpieczenia zdrowotnego, trybu jej wydawania i unieważniania.

8. Obok numeru potwierdzającego identyfikację pacjenta apteki przekazują również kasom chorych m.in. kod uprawnień dodatkowych pacjenta lub kod uprawnień dla pacjenta z chorobą określoną w przepisach wydanych na podstawie art. 39 ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym. Rodzaje kodów uprawnień pacjenta zostały określone w wymienionym wyżej rozporządzeniu Ministra Zdrowia w sprawie recept lekarskich.
Komunikat przekazywany przez apteki zawiera dane “wrażliwe”, dotyczące stanu zdrowia. Charakter taki mają przede wszystkim informacje o lekach wydanych pacjentowi. Do danych “wrażliwych” należy również informacja zawarta w większości kodów uprawnień dodatkowych, a także informacja zawarta w kodzie uprawnień dodatkowych pacjenta lub kodzie uprawnień dla pacjenta z chorobą określoną w przepisach wydanych na podstawie art. 39 ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym. Natomiast numer potwierdzający identyfikację pacjenta nie stanowi sam w sobie danych “wrażliwych”, objętych art. 27 ustawy o ochronie danych osobowych. Numer identyfikacyjny pacjenta nie może jednak być rozpatrywany w oderwaniu od tych informacji, ponieważ jego znajomość pozwala na powiązanie informacji zawartych w komunikacie przekazywanym w kasie chorych z konkretnym pacjentem, bez potrzeby przeglądania recept przechowywanych w aptece.

9. W rozpoznawanej sprawie obowiązek przekazywania danych kasom chorych przez apteki został wprowadzony przez ustawę. Ustawa określiła również w sposób ogólny zakres danych, które apteki mają przekazywać kasom chorych. Są to dane zawarte w treści recept. Dane te mogą obejmować również dane osobowe pacjentów. Mogą to być jedynie te dane, które zostały objęte zezwoleniem przetwarzania udzielonym przez ustawodawcę. Do unormowania w drodze rozporządzenia pozostawiano szczegółowe wskazanie, które spośród danych zamieszczonych na recepcie, podlegają przekazaniu.
W ocenie Trybunału Konstytucyjnego ustawa uregulowała sprawy istotne z punktu widzenia ochrony danych osobowych jednostki. Konstytucyjna zasada wyłączności ustawy nie wyklucza, aby szczegółowa lista rodzajów danych osobowych przekazywanych innym podmiotom, została określona w drodze rozporządzenia, jeżeli ustawa wyznaczyła dopuszczalny zakres przekazywanych danych. Zaskarżone przepisy rozporządzenia nie normują spraw, które muszą zostać uregulowane w samej ustawie.
Jak wspomniano wyżej, zasada wyłączności ustawy nakazuje, aby rozporządzenie mieściło się w granicach upoważnienia ustawowego i było zgodne z obowiązującymi ustawami. Z tego względu dla oceny przedstawionych zarzutów istotne znaczenie ma również kwestia zgodności zaskarżonych przepisów rozporządzenia Ministra Zdrowia z ustawą o powszechnym ubezpieczeniu zdrowotnym. W świetle art. 141a ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym, kasy chorych są uprawnione do przetwarzania informacji o rodzaju uprawnień osób, o których mowa w art. 43 oraz art. 44 ust. 2, a także w przepisach odrębnych przyznających szerszy zakres uprawnień do świadczeń medycznych lub środków farmaceutycznych niż ustawa o powszechnym ubezpieczeniu zdrowotnym. Nałożenie na apteki obowiązku przekazywania kasom chorych informacji o których mowa w  6 ust. 1 pkt 7 rozporządzenia Ministra Zdrowia mieści się w granicach wyznaczonych przez obowiązujące ustawy. Z tego względu nie zachodzą podstawy do stwierdzenia niezgodności wymienionego przepisu z Konstytucją.
Na podstawie art. 141a ust. 2 ustawy o powszechnym ubezpieczeniu zdrowotnym kasy chorych są uprawione do przetwarzania numerów PESEL i NIP. W przypadku osób, które nie mają numeru PESEL ani numeru NIP, kasy chorych mogą przetwarzać numer dowodu tożsamości danej osoby. Nasuwa się w związku z tym pytanie, czy kasy chorych mają prawo do przetwarzania numeru karty ubezpieczenia. Z jednej strony, art.141a ust. 2 nie wymienia numeru karty ubezpieczenia wśród danych osobowych, które mogą być przetwarzane przez kasy chorych. Z drugiej strony w myśl art. 141 art. 1 pkt 2 kasy chorych są uprawnione do uzyskiwania i przetwarzania danych osobowych osób ubezpieczonych w celu wystawienia dokumentów uprawniających do korzystania ze świadczeń kas chorych. Dokumentem stanowiącym dowód objęcia ubezpieczeniem jest karta ubezpieczenia, wydawana po zgłoszeniu danej osoby w kasie chorych. W myśl uchylonego rozporządzenia Rady Ministrów z 18 marca 1999 r. w sprawie karty ubezpieczenia zdrowotnego, trybu jej wydawania i unieważniania, karta była wydawana przez kasy chorych. Ponadto numer karty ubezpieczenia nie stanowi sam w sobie danych “wrażliwych”, a jednocześnie ustawa zezwala kasom chorych na przetwarzanie określonych informacji dotyczących stanu zdrowia osób ubezpieczonych. Biorąc pod uwagę przestawione względy należy uznać, że ustawa dopuszcza przetwarzanie numeru karty ubezpieczenia przez kasy chorych.
Przepis  6 ust. 1 pkt 7 rozporządzenia Ministra Zdrowia ustanawiający obowiązek przekazywania numeru potwierdzającego identyfikację pacjenta musi być interpretowany w kontekście przepisów określających zakres danych przetwarzanych przez kasy chorych. Rozporządzenie Ministra Zdrowia nie może rozciągać zakresu danych przekazywanych przez apteki kasom chorych na taki numer potwierdzający identyfikację pacjenta, do przetwarzania którego kasy chorych nie byłyby uprawnione na gruncie obowiązujących ustaw. Przy takim rozumieniu zaskarżony przepis nie jest niezgodny z obowiązującymi ustawami, a w konsekwencji nie jest niezgodny z art. 51 ust. 1 i ust. 5 Konstytucji.
Trybunał Konstytucyjny nie podzielił poglądu Prokuratora Generalnego, że załącznik do rozporządzenia ma wyłącznie charakter technicznych wskazówek co do sposobu sformułowania przez aptekę komunikatu elektronicznego, podczas gdy jego treść jest zdeterminowana innymi przepisami. W ocenie Trybunału Konstytucyjnego treść załącznika współwyznacza wraz z § 6 rozporządzenia zakres danych podlegających przekazaniu przez apteki kasom chorych. Fakt, że regulacja prawna zawarta w załączniku ma charakter względnie obowiązujący, nie zmienia oceny kwestii jej konstytucyjności. Normy względnie obowiązujące zawarte w akcie podustawowym nie mogą regulować sposobu przekazywania danych, których przekazywanie byłoby niezgodne z ustawą . Biorąc pod uwagę przedstawione argumenty nie zachodzą jednak podstawy do stwierdzenia niezgodności zaskarżonego załącznika z Konstytucją.
Odmienny charakter ma § 2 ust. 1 zd. 2 rozporządzenia. Nakazuje on budowanie komunikatu elektronicznego w sposób określony w załączniku, chyba że w myśl § 2 ust. 2 rozporządzenia strony uzgodnią inny sposób budowy komunikatu. Przepis ten nie ustanawia obowiązku przekazywania danych kasom chorych ani też nie określa zakresu danych podlegających przekazaniu.

10. Jak wspomniano wyżej, ustawa z 20 lipca 2001 r. o zmianie ustawy o powszechnym ubezpieczeniu zdrowotnym oraz niektórych innych ustaw zmieniła art. 59 ust. 3 ustawy o powszechnym ubezpieczeniu zdrowotnym, na podstawie którego zostały wydane zaskarżone przepisy. Ustawodawca uchylił normę prawną udzielającą kompetencji do wydania rozporządzenia, ustanawiając w to miejsce inną normę prawną udzielającą takiej kompetencji w innym zakresie przedmiotowym. Zgodnie z obowiązującą w polskim systemie prawnym zasadą uchylenie normy prawnej udzielającej kompetencji do wydania rozporządzenia pociąga za sobą utratę mocy obowiązującej danego rozporządzenia, chyba że ustawa stanowi inaczej. W rozpoznawanej sprawie art. 11 ustawy z dnia 20 lipca 2001 r. utrzymał w mocy te przepisy wykonawcze, które nie są sprzeczne z ustawą. Zaskarżone przepisy nie są niezgodne z ustawą o powszechnym ubezpieczeniu zdrowotnym, a w konsekwencji nie utraciły one mocy obowiązującej.

Z przedstawionych względów Trybunał Konstytucyjny rozstrzygnął jak w sentencji.