Nie przychodnia, ale lekarz odpowiada za wyciek danych pacjenta
Jak wynika z precedensowego wyroku Naczelnego Sądu Administracyjnego w sporze o ochronę danych osobowych pacjentów, to lekarz, a nie przychodnia, odpowiada za bezpodstawne ujawnienie danych osobowych z jego indywidualnego konta na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych.
Sprawa trafiła do sądu w związku ze skargą kobiety, która zaalarmowała prezesa Urzędu Ochrony Danych Osobowych o wycieku danych jej i jej syna. Wskazała na nieprawidłowości w procesie przetwarzania ich danych przez niepubliczny zakład opieki zdrowotnej przychodnię, Zakład Ubezpieczeń Społecznych i konkretną związaną z placówką lekarkę, prowadzącą własną praktykę – poinformowała o „Rzeczpospolita”.
Powódka tłumaczyła, że przychodnia i ZUS kilkukrotnie udostępniły dane osobowe jej i dziecka w zakresie płci oraz nazwisk. A informacje zostały ujawnione postronnej osobie (ojcu dziecka) przez pielęgniarkę zatrudnioną w przychodni. Matka podkreśliła, że ani ona, ani jej syn nie byli pacjentami lekarki, przez której konto zaciągnięto dane z PUE ZUS.
„Rzeczpospolita” podała, że prezes UODO za naruszenie rozporządzenia ogólnego o ochronie danych osobowych [RODO – red.] w postaci pozyskania danych osobowych bez podstawy prawnej ukarał tylko lekarkę. Udzielił jej upomnienia. Sprawę w odniesieniu do samej przychodni, w której lekarka przyjmowała pacjentów, umorzył. Urzędnicy wskazali, że nie uprawdopodobniono ewentualnego korzystania z lekarskiego konta w PUE ZUS przez innego lekarza przychodni. Poza tym, w ocenie UODO, to na lekarzu jako administratorze udostępnianych mu przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z RODO.
Decyzja prezesa UODO nie zadowoliła jednak ukaranej. Lekarka zapewniała, że nie przetwarzała i nie udostępniała nikomu danych osobowych matki i dziecka. Jej zdaniem w spornym przypadku administratorem danych osobowych jest przychodnia, z którą łączą ją więzy prawne podobne do zatrudnienia. Zauważyła też, że w placówce pacjentów wyszukuje po nr. PESEL lub nazwisku. I wówczas zdarza się, że wyskakuje kilka osób o tym samym nazwisku. Ponadto w przychodni zdarzały się sytuacje, że inny lekarz logował się na jej koncie na platformie PUE ZUS (lub innego lekarza).
„Rzeczpospolitej” poinformowała, że powyższe argumenty nie przekonały Wojewódzkiego Sądu Administracyjnego w Warszawie, który podkreślił, że sam fakt logowania z konta skarżącej nie został zakwestionowany i nie zostało uprawdopodobnione, aby dopuścił się tego ktoś inny. Niemniej w ocenie sądu nawet gdyby tak było, to musiałoby nastąpić udostępnienie przez skarżącą danych do logowania w systemie. A jest to raczej okoliczność obciążająca ją, a nie usprawiedliwiająca. WSA nie miał bowiem cienia wątpliwości, że to skarżąca jako lekarz korzysta z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim – bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO.
Ostatecznie racji lekarce nie przyznał także NSA. Nie zgodził się, że jako lekarz nie była administratorem, bo świadcząc usługi na rzecz przychodni, przetwarza dane jej pacjentów zgodnie z upoważnieniem z art. 29 RODO. Przesądzająca okazała się treść art. 54 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. NSA przypomniał, że zgodnie z tym przepisem ZUS uprawnia do wystawiania zaświadczeń lekarskich (w tym L4) m.in. lekarza i dentystę, po złożeniu pisemnego lub elektronicznego oświadczenia.
– Medyk zobowiązuje się w nim do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z ustawy oraz o ochronie danych osobowych. ZUS udziela takiego upoważnienia w formie decyzji – argumentował sąd.
Jak podkreślił NSA, istotne jest to, że uprawnienie do wystawienia zaświadczeń lekarskich i związanego z tym przetwarzania danych osób ubezpieczonych przysługuje lekarzom, a nie zatrudniającym ich placówkom.
Prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy, w „Rzeczpospolitej” skomentował, że wyrok NSA jest bardzo ważny, ponieważ ma kluczowe i uniwersalne znaczenie w ustalaniu kto, w konkretnych okolicznościach przetwarzania danych osobowych, jest ich administratorem.
Przeczytaj także: „Przekazanie wyroku skazującego farmaceutkę nie naruszyło RODO”.
