Karę za złamanie RODO dostanie medyk, a nie lecznica

Tak wynika z precedensowego wyroku Naczelnego Sądu Administracyjnego (NSA) w sporze o ochronę danych osobowych pacjentów.

Wpadka w przychodni

Sprawa trafiła na wokandę w związku ze skargą kobiety, która zaalarmowała prezesa Urzędu Ochrony Danych Osobowych (UODO), iż doszło do wycieku danych jej i jej synka. Konkretnie wskazała na nieprawidłowości w procesie przetwarzania ich danych przez Niepubliczny Zakład Opieki Zdrowotnej (NZOZ), Zakład Ubezpieczeń Społecznych (ZUS) oraz związaną z placówką lekarkę, prowadzącą własną praktykę.

Kobieta tłumaczyła, iż przychodnia i ZUS udostępniły dane osobowe jej i dziecka w zakresie płci oraz nazwisk. A informacje zostały ujawnione postronnej osobie (ojcu dziecka) przez pielęgniarkę zatrudnioną w przychodni. Matka podkreśliła, iż ani ona, ani jej syn, nie byli pacjentami lekarki, przez której konto zaciągnięto dane z PUE ZUS.

Prezes UODO nie zbagatelizował zdarzenia. Ale za naruszenie RODO w postaci pozyskania danych osobowych bez podstawy prawnej ukarał tylko lekarkę. Udzielił jej upomnienia. Sprawę przychodni, w której lekarka przyjmowała pacjentów, umorzył. Urzędnicy wskazali, iż nie uprawdopodobniono korzystania z lekarskiego konta w PUE ZUS przez innego lekarza przychodni. Poza tym, w ocenie UODO, to na lekarzu, jako administratorze udostępnianych mu przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z RODO.

Decyzja prezesa UODO nie zadowoliła ukaranej. Jej zdaniem w spornym przypadku administratorem danych jest przychodnia, z którą łączą ją więzy podobne do zatrudnienia. Zauważyła też, iż w placówce pacjentów wyszukuje po nr. PESEL lub nazwisku. I wówczas zdarza się, iż wyskakuje kilka osób o tym samym nazwisku. Ponadto w przychodni zdarzały się sytuacje, iż inny lekarz logował się na jej koncie na platformie PUE ZUS (lub innego lekarza). Dochodziło do tego, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera. Lekarka przekonywała, iż nie wie, kto dopuścił się naruszenia.

Te argumenty nie przekonały Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Ostatecznie racji lekarce nie przyznał też NSA. Nie zgodził się, iż jako lekarz nie była administratorem, bo świadcząc usługi na rzecz przychodni przetwarza dane jej pacjentów zgodnie z upoważnieniem z art. 29 RODO.

Przesądzająca okazała się treść art. 54 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. NSA przypomniał, iż zgodnie z tym przepisem ZUS uprawnia do wystawiania zaświadczeń lekarskich (w tym L-4) m.in. lekarza i dentystę, po złożeniu pisemnego lub elektronicznego oświadczenia. Medyk zobowiązuje się w nim do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z ustawy oraz o ochronie danych osobowych.

W ocenie NSA istotne jest to, iż uprawnienie do wystawienia zaświadczeń lekarskich i związanego z tym przetwarzania danych osób ubezpieczonych przysługuje lekarzom, a nie zatrudniającym ich placówkom. Jak tłumaczył sąd, to lekarz jest uprawnionym do wystawienia zaświadczeń lekarskich, bo tylko on ma dostęp do indywidualnego konta przydzielanego przez ZUS. Dlatego, jak tłumaczył sędzia sprawozdawca Ireneusz Dukiel, to skarżąca jest administratorem danych udostępnionych w systemie ZUS.

Bez przebaczenia

NSA nie przekonały też argumenty, iż nie wyjaśniono wątpliwości, kto skorzystał z konta, bo sam fakt logowania się z konta lekarki nie budzi wątpliwości. Zaś praktyka udostępniania indywidualnego konta lekarskiego innym, która pozwala na dostęp do danych wszystkich pacjentów, nie uwalnia od odpowiedzialności. Dostęp do konta PUE ZUS powinna mieć tylko lekarka i jako administrator nie zapewniła bezpieczeństwa danych. Wyrok prawomocny.

Sygnatura akt: III OSK 2471/22