WSA: lekarz wystawiający zaświadczenie jest administratorem danych

Ta sprawa wydaje się ciekawa nie ze względu na jej główny przedmiot tj. sprawdzenie przez lekarza danych w systemie PUE ZUS dotyczących pacjenta, którego nie było na wizycie, ale z powodu przypisania roli administratora danych nie Przychodni Zdrowia, a lekarzowi.

Sprawa ma już swoją długą historię, a jej sedno to sprawa rozwodowa między Panią Lekarz, a jej byłym mężem.

Nie wnikając w zawiłości osobiste sprawa rozpoczęła się od smsa wysłanego od ZUSu do byłego męża z informacją, że:

W dniu 2019-01-[…] […] lekarz M. D. (nr prawa wykonywania zawodu […]) uzyskał dostęp do Twoich danych, nie zakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem.”

Skarżąca w toku postępowania, wyjaśniając zdarzenie mające miejsce w dniu […] stycznia 2019 r., w piśmie z dnia […] czerwca 2020 r. wskazywała, że “Dlatego też w dacie […].01.2019 r. moja aktywność na profilu PUE musiała wynikać z określonych czynności za zgodą i wiedzą skarżącego, któremu niejednokrotnie pomagałam jako lekarz w granicach przyznanych mi uprawnień oraz bliska osoba” (k. 12). W tym samym piśmie skarżąca wyjaśniała, że “Z wiadomości z NPI ZUS do skarżącego wynika, że […].01.2019 dokonałam logowania na profilu PUE o godzinie […], a więc w godzinach mojej pracy, co miało związek z wystawionymi wcześniej zwolnieniami lekarskimi dla P. D..” (k. 13). Dalej podała: “(…) dostęp przeze mnie do danych osobowych P.D. zlokalizowanych na Platformie Usług Elektronicznych Zakładu (eZLA PUE), nie nosił cech nieprawidłowości w procesie przetwarzania.” (k. 13).

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
2999
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram

Prezes UODO w marcu 2021 r. wydał decyzję upominającą Panią Lekarz za naruszenie:

art. 5 ust. 1 lit. a) i art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE, L 119, 4 maja 2016, zwane dalej “RODO”), polegające na wykorzystaniu […] stycznia 2019r. danych osobowych P. D. (zwany dalej “Wnioskodawcą”), w zakresie imienia, nazwiska i numeru PESEL, bez podstawy prawnej, w celu uzyskania dostępu do jego danych osobowych zlokalizowanych na Platformie Usług Elektronicznych (zwana dalej “Platformą ZUS” lub “PUE ZUS”), administrowanej przez Zakład Ubezpieczeń Społecznych z siedzibą w […] przy ul. […].

WSA w Warszawie wyrokiem z października 2021 r. uchylił przedmiotową decyzję wskazując, że:

wyraźnie wskazują, że w toku postępowania administracyjnego przed Prezesem UODO w sposób dostateczny i zgodny z wymogami zasady prawdy obiektywnej, o której mowa w art. 7 i art. 77 § 1 k.p.a. nie doszło do należytego zgromadzenia materiału dowodowego, który pozwoliłyby w sposób prawidłowy zastosować przepisy prawa materialnego.

Sąd stwierdza, że aktach administracyjnych sprawy nie ma dowodów wskazujących, że Prezes UODO przekazał Skarżącej w celu zajęcia stanowiska złożone przez Wnioskodawcę […] i […] lutego 2021r. materiały dowodowe, ani nie zawiadomił Skarżącej w trybie art. 10 § 1 k.p.a., aby mogła się wypowiedzieć co do nowych dowodów, których nie było w aktach administracyjnych sprawy w chwili, gdy organ wysyłał Skarżącej, w trybie art. 10 § 1 k.p.a., zawiadomienie z […] stycznia 2021r.

Prezes UODO powinien ponadto zastanowić się, jakiego rodzaju szkodę poniósł Wnioskodawca, w związku z tym, że Skarżąca miała dostęp do Jego danych osobowych, oraz uwzględnić w tym zakresie datę rozwodu małżonków. Niezbędne będzie ponadto ustalenie w toku ponownego rozpatrywania sprawy przez Prezesa UODO, na podstawie dowodów z korespondencji prowadzonej przez małżonków przy pomocy SMS, jak również innych dowodów, także tych załączonych przez Wnioskodawcę do pisma procesowego z […] października 2021r., czy Wnioskodawca korzystał z usług medycznych Skarżącej […] stycznia 2019r., jak i po tej dacie, tak aby możliwe było prawidłowe zastosowanie art. 4 pkt 2 RODO w związku z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 RODO i czy w związku z tym możliwe i niezbędne będzie skorzystanie z dyspozycji art. 58 ust. 2 lit. b RODO.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
2999
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram

Po ponownym przeprowadzeniu postępowania administracyjnego Prezes UODO w październiku 2023 r. także nałożył karę upomnienia na Panią Lekarz:

po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. D. (dalej “uczestnik postępowania), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez M. D. (dalej “skarżąca”), polegające na wykorzystaniu danych osobowych w zakresie imienia, nazwiska, numeru PESEL uczestnika postępowania, celem uzyskania dostępu do jego danych osobowych zlokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (dalej “PUE ZUS”), udzielił skarżącej upomnienia za naruszenie art. 5 ust. 1 lit a oraz art. 6 ust. 1 RODO polegające na wykorzystaniu […] stycznia 2019 r. danych osobowych uczestnika postępowania w zakresie imienia, nazwiska oraz numeru PESEL, bez podstawy prawnej w celu uzyskania dostępu do jego danych osobowych zlokalizowanych na PUE ZUS.

 

 

Prezes UODO wskazał w nowej decyzji, że:

wprawdzie skarżąca – jako podmiot zobowiązany do oceny zasadności wystawienia zaświadczenia lekarskiego – jest upoważniony do dostępu do danych zgromadzonych na platformie ZUS, ale dostęp taki jest możliwy w sytuacji służącej do udostępniania osobom wystawiającym zaświadczenia lekarskie usług, umożliwiających wystawienie zaświadczenia lekarskiego. Okoliczność ta wskazuje, że mimo, iż lekarz ma dostęp do danych zgromadzonych w systemie PUE ZUS danych, to jednak nie może korzystać z dostępu do nich w sposób dowolny.

decydujące znaczenie o niekorzystaniu przez uczestnika postępowania […] stycznia 2019 r. z usług skarżącej i braku odbycia wizyty lekarskiej mają dowody przedłożone przez niego w postaci udziału tego dnia w kursie języka angielskiego – co wynika z treści rozkazu dziennego nr […] dowódcy Jednostki […] z dnia […] września 2018 r. Z dołączonego do wspomnianego rozkazu wyciągu zajęć wynika, że uczestnik postępowania […] stycznia 2019 r. uczestniczył w ww. zajęciach, co potwierdziło także oświadczenie P. M. (żołnierza zawodowego w stopniu etatowym […]), odpowiedzialnego za dyscyplinę i koordynowanie zajęć na tym kursie, w tym cotygodniowe rozliczenie obecności słuchaczy kursu u osób funkcyjnych […].

zebrany w sprawie materiał dowodowy wskazuje, że uczestnik postępowania […] stycznia 2019 r., ani w okresie bezpośrednio poprzedzającym tę datę, nie tylko nie korzystał ze świadczeń medycznych skarżącej, ale również nie zwracał się do niej o wykonanie takiego świadczenia i wyraźnie zaprzeczył by tego dnia prosił o zweryfikowanie wystawionego wcześniej przez skarżącą zwolnienia lekarskiego i udzielenia mu informacji w tym zakresie.

 

 

WSA w Warszawie uchylił i tę decyzję wskazując, że:

informacje o wystawionym przez lekarza zaświadczeniu lekarskim są jednak automatycznie umieszczane w Panelu Lekarza w funkcji “Przegląd zaświadczeń lekarskich” i są one dostępne dla lekarza przez cały czas. Lekarz w tej funkcji nie uzyskuje dostępu do danych osobowych pacjenta innych, niż te które przetwarzał w związku z wystawieniem zaświadczenia lekarskiego. Trudno uznać, że podgląd szczegółów danego zwolnienia lekarskiego, które są dostępne w Panelu Lekarza, w każdym przypadku winien być uzasadniony udokumentowanym zdarzeniem podmiotowo-przedmiotowy na linii pacjent-lekarz. Przy takim podejściu uznać bowiem by należało, że lekarz jest uprawniony do przechowywania danych osobowych pacjentów w postaci informacji o wystawionych im zaświadczeniach lekarskich, jednakże nie byłby uprawniony do przeglądania tych danych, chociażby po to aby wyszukać i wydrukować na życzenie pacjenta konkretne zaświadczenie lekarskie;

wyjaśnić należy, że zgodnie z art. 4 pkt 7 RODO “administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Uprawnienia do wystawiania zaświadczeń lekarskich, w tym do związanego z tym przetwarzania danych osobowych osób ubezpieczonych, przysługują lekarzom, a nie zatrudniającym ich placówkom;

w związku z tym należy stwierdzić, że zaskarżona decyzja została wydana z naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a., a jej uzasadnienie nie odpowiada wymogom określonym w art. 107 § 3 k.p.a. Naruszenie ww. przepisów mogło mieć istotny wpływ na wynik sprawy. Nie wszystkie okoliczności istotne dla rozstrzygnięcia niniejszej sprawy zostały bowiem przez organ prawidłowo ustalone i ocenione. Wobec tego konieczne było uchylenie zaskarżonej decyzji.

Może tym razem będzie do trzech razy sztuka?

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności