II SA/Wa 328/22
Podsumowanie
Przejdź do pełnego tekstuPrzedmiotem sprawy była skarga B. H. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który udzielił jej upomnienia za naruszenie przepisów RODO poprzez pozyskanie danych osobowych wnioskodawczyni z zasobów ZUS na platformie PUE ZUS bez podstawy prawnej. Skarżąca zarzuciła organowi wybiórczą ocenę materiału dowodowego i błędne ustalenia faktyczne, twierdząc, że nie logowała się do konta pacjentki ani nie udostępniała jej danych. Sąd administracyjny oddalił skargę, uznając, że dostęp do danych wnioskodawczyni z konta lekarki na platformie PUE ZUS był bezsporny. Sąd podkreślił, że lekarka, jako indywidualny administrator danych dostępu do których uzyskiwała przez swoje konto, ponosi odpowiedzialność za wszelkie naruszenia, w tym za udostępnienie danych do logowania osobom trzecim. Twierdzenia o błędnym logowaniu lub dostępie osób trzecich nie zwalniają jej z odpowiedzialności. Sąd uznał, że organ prawidłowo ocenił materiał dowodowy i zastosował przepisy RODO, a wymierzone upomnienie było adekwatne do naruszenia.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie odpowiedzialności lekarza jako administratora danych osobowych uzyskanych przez PUE ZUS oraz brak możliwości zwolnienia się z tej odpowiedzialności poprzez powoływanie się na dostęp osób trzecich lub błędy systemu.
Orzeczenie dotyczy specyficznego kontekstu dostępu do danych przez PUE ZUS i odpowiedzialności lekarza jako administratora w tym systemie.
Zagadnienia prawne (3)
Czy lekarz, uzyskując dostęp do danych osobowych pacjenta za pośrednictwem platformy PUE ZUS, działa jako administrator danych osobowych i ponosi odpowiedzialność za ewentualne naruszenia ochrony danych?Ratio decidendi
Odpowiedź sądu
Tak, lekarz uzyskujący dostęp do danych osobowych za pośrednictwem indywidualnego konta na platformie PUE ZUS działa jako administrator tych danych i ponosi odpowiedzialność za ich prawidłowe przetwarzanie i zabezpieczenie.
Uzasadnienie
Sąd uznał, że konto w PUE ZUS jest indywidualnym kontem przydzielanym odrębnie dla każdej osoby w określonych dla niej celach, zabezpieczanym indywidualnym loginem i hasłem. Lekarz korzystający z takiego konta jest administratorem danych, do których uzyskuje dostęp, i ponosi odpowiedzialność za ewentualne naruszenia, w tym za udostępnienie danych do logowania osobom trzecim.
Czy dostęp lekarza do danych osobowych pacjenta na platformie PUE ZUS, w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego, stanowi naruszenie przepisów RODO?Ratio decidendi
Odpowiedź sądu
Tak, dostęp do danych osobowych za pośrednictwem PUE ZUS w celu innym niż związany z wystawieniem zaświadczenia lekarskiego, bez podstawy prawnej, stanowi naruszenie przepisów RODO.
Uzasadnienie
Sąd podzielił stanowisko organu, że brak jest przepisów legalizujących pozyskiwanie przez lekarzy dostępu do danych osobowych za pośrednictwem PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Dane te, dotyczące stanu zdrowia, podlegają szczególnej ochronie.
Czy twierdzenia o błędnym logowaniu lub dostępie osób trzecich do konta lekarza na platformie PUE ZUS mogą zwolnić lekarza z odpowiedzialności za naruszenie ochrony danych osobowych?Ratio decidendi
Odpowiedź sądu
Nie, twierdzenia te nie zwalniają lekarza z odpowiedzialności, a wręcz przeciwnie – udostępnienie danych do logowania osobom trzecim obciąża go jako administratora.
Uzasadnienie
Sąd uznał, że nawet jeśli dostęp do danych nastąpiłby za pośrednictwem konta lekarza przez osoby trzecie, to udostępnienie danych do logowania jest okolicznością obciążającą lekarza, który jako administrator danych jest zobowiązany do ich zabezpieczenia.
Przepisy (18)
Główne
RODO art. 5 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 9 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 4 § 7
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Pomocnicze
k.p.a. art. 104 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 105 § 1
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa o ochronie danych osobowych
u.o.d.o. art. 7 § 2
Ustawa o ochronie danych osobowych
RODO art. 58 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
u.s.u.s. art. 55a § 1
Ustawa o systemie ubezpieczeń społecznych
u.s.u.s. art. 55a § 2
Ustawa o systemie ubezpieczeń społecznych
u.s.u.s. art. 55a § 3
Ustawa o systemie ubezpieczeń społecznych
u.ś.p.
Ustawa o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa
Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta
Ustawa o działalności leczniczej
RODO art. 33
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 34
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
p.p.s.a. art. 151
Ustawa Prawo o postępowaniu przed sądami administracyjnymi
Argumenty
Skuteczne argumenty
Dostęp do danych osobowych wnioskodawczyni z konta lekarki na platformie PUE ZUS był bezsporny. • Lekarz, jako administrator danych uzyskanych przez indywidualne konto w PUE ZUS, ponosi odpowiedzialność za ich zabezpieczenie i prawidłowe przetwarzanie. • Twierdzenia o błędnym logowaniu lub dostępie osób trzecich nie zwalniają lekarza z odpowiedzialności.
Odrzucone argumenty
Organ dokonał wybiórczej i dowolnej oceny materiału dowodowego. • Organ nie podjął czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego. • Skarżąca nie logowała się do konta wnioskodawczyni. • Przychodnia odpowiada jako administrator za dane osobowe, do których dostęp uzyskuje skarżąca. • Skarżąca działała na podstawie upoważnienia udzielonego jej przez Przychodnię, a nie jako samodzielny administrator.
Godne uwagi sformułowania
Skarżąca jako lekarz korzysta bowiem z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim- bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO, dotyczących prawidłowego i legalnego przetwarzania i zabezpieczania danych. • Sąd nie może zaakceptować bezpodstawnych twierdzeń skarżącej, jakoby Przychodnia odpowiadała jako administrator za dane osobowe, do których (tylko) skarżąca jako lekarz uzyskuje dostęp za pośrednictwem przyznanego jej indywidualnie przez ZUS konta na platformie ZUS PUE. • Organ wymierzył łagodną karę, bo "zaledwie" upomniał skarżącą...
Skład orzekający
Agnieszka Góra-Błaszczykowska
przewodniczący sprawozdawca
Michał Sułkowski
członek
Waldemar Śledzik
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie odpowiedzialności lekarza jako administratora danych osobowych uzyskanych przez PUE ZUS oraz brak możliwości zwolnienia się z tej odpowiedzialności poprzez powoływanie się na dostęp osób trzecich lub błędy systemu."
Ograniczenia: Orzeczenie dotyczy specyficznego kontekstu dostępu do danych przez PUE ZUS i odpowiedzialności lekarza jako administratora w tym systemie.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego narzędzia jakim jest PUE ZUS i odpowiedzialności zawodowej lekarzy w kontekście ochrony danych osobowych, co jest istotne dla wielu profesjonalistów medycznych i prawników zajmujących się ochroną danych.
“Lekarz nie ucieknie od odpowiedzialności za dane z PUE ZUS – sąd potwierdza: jesteś administratorem!”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.