Czy lekarz odpowiada za wyciek danych pacjenta z konta PUE ZUS? Precedensowy wyrok NSA

Tak wynika z precedensowego wyroku Naczelnego Sądu Administracyjnego (NSA) w sporze o ochronę danych osobowych pacjentów.

Sprawa trafiła na wokandę w związku ze skargą kobiety, która zaalarmowała prezesa Urzędu Ochrony Danych Osobowych (UODO), że doszło do wycieku danych jej i jej synka. Konkretnie wskazała na nieprawidłowości w procesie przetwarzania ich danych przez Niepubliczny Zakład Opieki Zdrowotnej Przychodnia (NZOZ), Zakład Ubezpieczeń Społecznych (ZUS) oraz konkretną związaną z placówką lekarkę, prowadzącą własną praktykę. Kobieta tłumaczyła, że przychodnia i ZUS kilkukrotnie udostępniły dane osobowe jej i dziecka w zakresie płci oraz nazwisk. A informacje zostały ujawnione postronnej osobie (ojcu dziecka) przez pielęgniarkę zatrudnioną w przychodni. Matka podkreśliła, że ani ona, ani jej syn, nie byli pacjentami lekarki, przez której konto zaciągnięto dane z PUE ZUS. Na dowód udostępnienia danych załączyła wydruki z profilu na portalu PUE ZUS oraz korespondencję SMS-ową swojego partnera z byłą żoną.

Kto jest administratorem danych pacjenta na koncie PUE ZUS?

Prezes UODO nie zbagatelizował zdarzenia. Ale za naruszenie RODO w postaci pozyskania danych osobowych bez podstawy prawnej ukarał tylko lekarkę. Udzielił jej upomnienia. Sprawę w odniesieniu do samej przychodni, w której lekarka przyjmowała pacjentów umorzył. Urzędnicy wskazali, że nie uprawdopodobniono ewentualnego korzystania z lekarskiego konta w PUE ZUS przez innego lekarza przychodni. Poza tym, w ocenie UODO, to na lekarzu, jako administratorze udostępnianych mu przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z RODO. 

Czytaj więcej:

Biznes

Jak lekarz powinien dbać o dane osobowe swoich pacjentów?

Od 1 lipca 2022 r. podmioty medyczne...

Pro

Decyzja prezesa UODO nie zadowoliła jednak ukaranej. Lekarka zapewniała, że nie przetwarzała i nie udostępniała nikomu danych osobowych matki i dziecka. Nie są oni jej pacjentami, choć z ustaleń wynikało, że feralnego dnia chłopiec był w przychodni u innego medyka. Jej zdaniem w spornym przypadku administratorem danych osobowych jest przychodnia, z którą łączą ją więzy prawne podobne do zatrudnienia. Zauważyła też, że w placówce pacjentów wyszukuje po nr. PESEL lub nazwisku. I wówczas zdarza się, że wyskakuje kilka osób o tym samym nazwisku. Ponadto w przychodni zdarzały się sytuacje, że inny lekarz logował się na jej koncie na platformie PUE ZUS (lub innego lekarza). Dochodziło do tego, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera. Lekarka przekonywała, że nie wie, kto dopuścił się naruszenia.

Te argumenty nie przekonały Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, który podkreślił, że sam fakt logowania z konta skarżącej nie został zakwestionowany i nie zostało uprawdopodobnione, aby dopuścił się tego ktoś inny. Niemniej w ocenie sądu nawet gdyby tak było, to musiałoby nastąpić udostępnienie przez skarżącą danych do logowania w systemie. A jest to raczej okoliczność obciążająca ją, a nie usprawiedliwiająca. WSA nie miał bowiem cienia wątpliwości, że to skarżąca jako lekarz korzysta z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim – bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO.

Czy lekarza można ukarać za ujawnienie danych pacjentów z jego konta w ZUS?

Ostatecznie racji lekarce nie przyznał NSA. Nie zgodził się, że jako lekarz nie była administratorem, bo świadcząc usługi na rzecz przychodni przetwarza dane jej pacjentów zgodnie z upoważnieniem z art. 29 RODO. Przesądzająca okazała się treść art. 54 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. NSA przypomniał, że zgodnie z tym przepisem ZUS uprawnia do wystawiania zaświadczeń lekarskich (w tym L-4) m.in. lekarza i dentystę, po złożeniu pisemnego lub elektronicznego oświadczenia. Medyk zobowiązuje się w nim do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z ustawy oraz o ochronie danych osobowych. ZUS udziela takiego upoważnienia w formie decyzji. 

Czytaj więcej

Dane osobowe

Suche dane o gabinecie lekarskim i numerze do umawiania wizyt na portalu dla pacjentów nie łamią RODO. Wyrok NSA

Nazwa: prywatny gabinet stomatologiczny, z adresem prowadzonej działalności oraz telefonem do uma...

W ocenie NSA istotne jest to, że uprawnienie do wystawienia zaświadczeń lekarskich i związanego z tym przetwarzania danych osób ubezpieczonych przysługuje lekarzom, a nie zatrudniającym ich placówkom. Jak tłumaczył sąd, to lekarz jest uprawnionym do wystawienia zaświadczeń lekarskich, bo tylko on ma dostęp do indywidualnego konta przydzielanego przez ZUS. Następuje to bez udziału przychodni. I to lekarz ustala cele i sposoby przetwarzania danych osobowych. Dlatego, jak tłumaczył sędzia sprawozdawca Ireneusz Dukiel, to skarżąca jest administratorem danych udostępnionych w systemie teleinformatycznym ZUS.

NSA nie przekonały też argumenty, że nie wyjaśniono wątpliwości, kto skorzystał z konta. Ustalono to tylko na podstawie wydruków z niego. Zdaniem sądu sam fakt logowania się z konta lekarki nie budzi wątpliwości. A ona sama wskazała na przypadki logowania się na cudze konta, gdy jest np. awaria systemu. Taka praktyka udostępniania dostępu do indywidualnego konta lekarskiego, który pozwala na dostęp do danych osobowych wszystkich pacjentów, nie może stanowić czynnika uwalniającego od odpowiedzialności. Kobieta, której dane naruszono nie była pacjentką lekarki. Doszło więc do nieuzasadnionego przetwarzania danych. Zwłaszcza że, jak podkreślił NSA, dostęp do konta PUE ZUS powinna mieć tylko lekarka i jako administrator nie zapewniła przetwarzania w sposób gwarantujący bezpieczeństwo danych. Wyrok jest prawomocny.

Sygnatura akt: III OSK 2471/22