Jak wynika z precedensowego wyroku Naczelnego Sądu Administracyjnego w sporze o ochronę danych osobowych pacjentów, to lekarz, a nie przychodnia, odpowiada za bezpodstawne ujawnienie danych osobowych z jego indywidualnego konta PUE ZUS.
Sprawa trafiła do sądu w związku ze skargą kobiety, która zaalarmowała Prezesa Urzędu Ochrony Danych Osobowych o wycieku danych jej i jej synka. Wskazała na nieprawidłowości w procesie przetwarzania ich danych przez niepubliczny zakład opieki zdrowotnej przychodnię (NZOZ), Zakład Ubezpieczeń Społecznych (ZUS) oraz konkretną związaną z placówką lekarkę, prowadzącą własną praktykę – przekazała „Rzeczpospolita”.
Powódka tłumaczyła, iż przychodnia i ZUS kilkukrotnie udostępniły dane osobowe jej i dziecka w zakresie płci oraz nazwisk. A informacje zostały ujawnione postronnej osobie (ojcu dziecka) przez pielęgniarkę zatrudnioną w przychodni. Matka podkreśliła, iż ani ona, ani jej syn nie byli pacjentami lekarki, przez której konto zaciągnięto dane z PUE ZUS.
Jak czytamy na łamach „Rzeczpospolitej”, Prezes UODO za naruszenie RODO w postaci pozyskania danych osobowych bez podstawy prawnej ukarał tylko lekarkę. Udzielił jej upomnienia. Sprawę w odniesieniu do samej przychodni, w której lekarka przyjmowała pacjentów, umorzył. Urzędnicy wskazali, iż nie uprawdopodobniono ewentualnego korzystania z lekarskiego konta w PUE ZUS przez innego lekarza przychodni. Poza tym, w ocenie UODO, to na lekarzu jako administratorze udostępnianych mu przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z RODO.
Decyzja Prezesa UODO nie zadowoliła jednak ukaranej. Lekarka zapewniała, iż nie przetwarzała i nie udostępniała nikomu danych osobowych matki i dziecka. Jej zdaniem w spornym przypadku administratorem danych osobowych jest przychodnia, z którą łączą ją więzy prawne podobne do zatrudnienia. Zauważyła też, iż w placówce pacjentów wyszukuje po nr. PESEL lub nazwisku. I wówczas zdarza się, iż wyskakuje kilka osób o tym samym nazwisku. Ponadto w przychodni zdarzały się sytuacje, iż inny lekarz logował się na jej koncie na platformie PUE ZUS (lub innego lekarza).
Jak czytamy w „Rzeczpospolitej”, powyższe argumenty nie przekonały Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, który podkreślił, iż sam fakt logowania z konta skarżącej nie został zakwestionowany i nie zostało uprawdopodobnione, aby dopuścił się tego ktoś inny. Niemniej w ocenie sądu choćby gdyby tak było, to musiałoby nastąpić udostępnienie przez skarżącą danych do logowania w systemie. A jest to raczej okoliczność obciążająca ją, a nie usprawiedliwiająca. WSA nie miał bowiem cienia wątpliwości, iż to skarżąca jako lekarz korzysta z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim – bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO.
Ostatecznie racji lekarce nie przyznał także NSA. Nie zgodził się, iż jako lekarz nie była administratorem, bo świadcząc usługi na rzecz przychodni, przetwarza dane jej pacjentów zgodnie z upoważnieniem z art. 29 RODO. Przesądzająca okazała się treść art. 54 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. NSA przypomniał, iż zgodnie z tym przepisem ZUS uprawnia do wystawiania zaświadczeń lekarskich (w tym L4) m.in. lekarza i dentystę, po złożeniu pisemnego lub elektronicznego oświadczenia. Medyk zobowiązuje się w nim do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z ustawy oraz o ochronie danych osobowych. ZUS udziela takiego upoważnienia w formie decyzji – argumentował sąd.
Jak podkreślił NSA, istotne jest to, iż uprawnienie do wystawienia zaświadczeń lekarskich i związanego z tym przetwarzania danych osób ubezpieczonych przysługuje lekarzom, a nie zatrudniającym ich placówkom.
Jak podkreśla na łamach dziennika prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy, wyrok NSA jest bardzo ważny, ponieważ ma najważniejsze i uniwersalne znaczenie w ustalaniu kto, w konkretnych okolicznościach przetwarzania danych osobowych, jest ich administratorem.
