II SA/Wa 565/24

II SA/Wa 565/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-11-21
orzeczenie prawomocne
Data wpływu
2024-04-16
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Izabela Głowacka-Klimas
Sławomir Fularski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. 7,8,11,77,80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 9 ust. 1 i 2, art 5 ust. 1 lit. a, art. 6 ust. 1, art. 4 pkt. 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 1999 nr 60 poz 636
art. 55a ust. 2 i 3
Ustawa z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Izabela Głowacka-Klimas, Asesor WSA Arkadiusz Koziarski (spr.), Protokolant specjalista, Marcin Kwiatkowski, po rozpoznaniu na rozprawie w dniu 21 listopada 2024 r. sprawy ze skargi D. G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] grudnia 2023 r. nr [...], wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.
z 2023 r. poz. 775, z późn. zm.), dalej "k.p.a.", art. 5 ust. 1 lit a, art. 6 ust. 1, art. 9 ust. 1 i 2 oraz art. 58 ust. 2 lit b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. L 127 z 23.05.2018, str. 2 ze zm. oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. O.:
1) udzielił D. G., prowadzącej działalność gospodarczą pod firmą R. z siedzibą w K., upomnienia za naruszenie art. 9 ust. 1 i 2 oraz art. 5 ust. 1 lit. a RODO, polegające na uzyskaniu [...] lipca 2022 r. bez podstawy prawnej dostępu do danych osobowych A. O. zlokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych, w zakresie imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz nazwy skróconej i NIP płatnika składek (pracodawcy) oraz okresu niezdolności do pracy i kodu choroby;
2) udzielił D. G., prowadzącej działalność gospodarczą pod firmą R. z siedzibą w K. upomnienia za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO, polegające na przetwarzaniu danych osobowych A. O. w zakresie numeru PESEL w celu uzyskania dostępu do danych osobowych zlokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych bez podstawy prawnej.
W uzasadnieniu organ wyjaśnił, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga A. O., dalej "uczestniczka postępowania", na nieprawidłowości w procesie przetwarzania jej danych osobowych przez lekarza D. G., dalej "skarżąca", prowadzącą działalność gospodarczą pod firmą R. z siedzibą w K., polegające na uzyskaniu [...] lipca 2022 r. bez podstawy prawnej dostępu do jej danych osobowych zlokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych, dalej "PUE ZUS", oraz na przetwarzaniu jej numeru PESEL w celu uzyskania tego dostępu.
Dalej organ wskazał, że w toku przeprowadzonego postępowania ustalił następujący stan faktyczny:
1. Uczestniczka postępowania, za pośrednictwem platformy PUE ZUS, uzyskała informację o uzyskaniu [...] lipca 2022 r. przez skarżącą dostępu do jej danych osobowych niezakończonym wystawieniem zaświadczenia lekarskiego. Uczestniczka postępowania wskazała, że od dwóch lat nie jest pacjentką skarżącej i [...] lipca 2022 r. nie była u niej na wizycie lekarskiej.
2. Skarżąca wyjaśniła, że dane osobowe uczestniczki postępowania przetwarza obecnie na podstawie art. 6 ust. 1 lit. c w zw. art. 9 ust. 2 lit. h RODO w celu realizacji obowiązku prowadzenia i archiwizacji dokumentacji medycznej na podstawie art. 24 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2022 r. poz. 1876), dalej "u.p.p.", oraz przepisów wykonawczych wydanych na jego podstawie. Wskazała, że zakres przetwarzanych danych osobowych uczestniczki postępowania określony został w szczególności w art. 25 ust. 1 pkt 1 ww. ustawy, a więc co najmniej nazwisko, imię, data urodzenia, płeć, adres zamieszkania oraz nr PESEL.
3. Skarżąca wyjaśniła, że podstawą przetwarzania danych osobowych uczestniczki postępowania w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania w kwestionowany sposób był art. 6 ust 1 lit. f RODO, tj. w celach wynikających z prawnie uzasadnionych interesów skarżącej - ochrony skarżącej przed roszczeniami uczestniczki postępowania o zapłatę określonej kwoty za błędy w sztuce lekarskiej. Skarżąca podkreśliła, że dane osobowe uczestniczki postępowania zostały pozyskane [...] lipca 2022 r. z PUE ZUS w celu sprawdzenia i potwierdzenia zwolnień lekarskich wystawionych przez skarżącą uczestniczce postępowania, jako pacjentce skarżącej. Skarżąca wyjaśniła, że w celu realizacji prawnie uzasadnionego interesu, niezbędne było przetwarzanie danych związanych z wystawionymi uczestniczce postępowania zwolnieniami lekarskimi, a osiągnięcie tego celu byłoby niemożliwe bez przetworzenia wyżej wskazanych danych z systemu PUE ZUS. W ocenie skarżącej, nie ingerowała ona znacząco w prywatność osoby, której dane dotyczą tym bardziej, że osobą wystawiającą zwolnienia lekarskie była ona sama. Wskazała ponadto, że uczestniczka postępowania jest jej byłą pacjentką, a przetwarzanie danych osobowych pacjentki dokonywane było wcześniej w ramach udzielania świadczeń zdrowotnych, wobec czego [...] lipca 2022 r. nie doszło do pozyskania nowych danych osobowych uczestniczki postępowania. Ponadto skarżąca podniosła, że dysponuje upoważnieniem do dostępu do PUE ZUS na podstawie art. 53-56 ustawy z dnia 25 czerwca 1999 r.
o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby
i macierzyństwa (Dz. U. z 2022 r. poz. 1732), dalej "u.ś.p".
4. Skarżąca wskazała, że zakres pozyskanych z PUE ZUS danych osobowych uczestniczki postępowania to: imię, nazwisko, nr PESEL, data udzielonego zwolnienia lekarskiego, które to dane zostały następnie wykorzystane w postępowaniach zainicjowanych przez uczestniczkę postępowania. Jednocześnie wyjaśniła, że pozyskanie [...] lipca 2022 r. wskazanych danych w systemie PUE ZUS miało na celu potwierdzenie udzielenia uczestniczce postępowania zwolnienia lekarskiego 5 stycznia 2021 r. oraz potwierdzenie okresu jej niezdolności do pracy. Wskazała również, że PUE ZUS jest jedynym systemem, w którym można jednoznacznie zweryfikować m.in. informacje dotyczące udzielonych zwolnień lekarskich, wobec czego, w sytuacji, w której zachodziła konieczność weryfikacji dat udzielonych zwolnień lekarskich, skorzystała z jedynej możliwości jaką daje dostęp do systemu PUE ZUS.
5. W dokumentacji medycznej uczestniczki postępowania prowadzonej przez skarżącą znajdują się wpisy dotyczące udzielanych zwolnień lekarskich, w tym zwolnienia lekarskiego wystawionego 5 stycznia 2021 r.
6. Zakład Ubezpieczeń Społecznych, dalej "ZUS", oświadczył, że skarżąca [...] lipca 2022 r. pobrała dane osobowe uczestniczki postępowania, a ich pobranie nie zakończyło się wystawieniem lub anulowaniem zaświadczenia lekarskiego. Skarżąca w kreatorze - wystawienia zaświadczenia ZUS ZLA - na PUE ZUS po wpisaniu numeru PESEL uczestniczki postępowania uzyskała dostęp do jej danych, które wyświetliły się na ekranie komputera: imię i nazwisko, data urodzenia, adres zamieszkania oraz nazwa skrócona i NIP płatnika składek (pracodawcy). ZUS wskazał, że po wizualizacji danych pacjenta (uczestniczki postępowania) i płatnika składek na ekranie komputera, skarżąca zrezygnowała z wystawienia zwolnienia lekarskiego lub jego anulowania. ZUS wyjaśnił, że w kreatorze e-ZLA lekarzowi prezentowane są także informacje o wcześniejszych zaświadczeniach lekarskich ubezpieczonego, które zostały wystawione w ciągu ostatnich 12 miesięcy. W związku z powyższym ZUS oświadczył, że skarżąca uzyskała dostęp do dwóch zwolnień lekarskich wystawionych uczestniczce postępowania w tym okresie
i danych w nich zawartych, tj.: ww. danych oraz okresu niezdolności do pracy i kodu choroby. Ponadto ZUS wskazał, że skarżąca posiada dostęp do wszystkich wystawionych przez siebie zaświadczeń lekarskich, co oznacza, że miała również dostęp do danych zawartych w wystawionym przez siebie uczestniczce postępowania e-ZLA z 5 stycznia 2021 r.
Następnie organ wyjaśnił, że każda forma przetwarzania danych osobowych powinna znaleźć oparcie w jednej z enumeratywnie wyliczonych w art. 6 ust. 1 RODO przesłanek, warunkujących legalność tego procesu. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest zgodne
z prawem m.in., gdy jest niezbędne do wypełnienia obowiązku ciążącego na administratorze (art. 6 ust. 1 lit c RODO). Natomiast przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, w tym danych dotyczących zdrowia (w niniejszej sprawie informacje o wystawionych zaświadczeniach lekarskich), powinno znaleźć oparcie w jednej z przesłanek enumeratywnie wyliczonych w art. 9 ust. 2 RODO. Przetwarzanie tego rodzaju danych jest legalne m. in. wtedy, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych
w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1 (art. 9 ust. 2 lit. a RODO) lub gdy jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie
z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń,
o których mowa w ust. 3 (art. 9 ust. 2 lit. h RODO).
PUODO wskazał, że zgodnie z otrzymanymi wyjaśnieniami ZUS skarżąca poprzez PUE ZUS, po wpisaniu numeru PESEL uczestniczki postępowania, uzyskała dostęp do jej danych osobowych, które wyświetliły się na ekranie komputera: imię i nazwisko, data urodzenia, adres zamieszkania oraz nazwa skrócona i NIP płatnika składek (pracodawcy). Ponadto ZUS oświadczył, że skarżąca uzyskała dostęp do dwóch zwolnień lekarskich wystawionych uczestniczce postępowania w okresie ostatnich 12 miesięcy i danych w nich zawartych, tj.: ww. danych oraz okresu niezdolności do pracy
i kodu choroby. Ponadto ZUS wskazał, że skarżąca posiada dostęp do wszystkich wystawionych przez siebie zaświadczeń lekarskich, a zatem miała również dostęp do danych zawartych w wystawionym przez siebie uczestniczce postępowania e-ZLA z 5 stycznia 2021 r. ZUS wskazał, że po wizualizacji danych pacjenta (uczestniczki postępowania) i płatnika składek na ekranie komputera, skarżąca zrezygnowała
z wystawienia zwolnienia lekarskiego lub jego anulowania.
Organ podał, że zgodnie z art. 54 ust. 1 u.ś.p., ZUS upoważnia do wystawiania zaświadczeń lekarskich o czasowej niezdolności do pracy z powodu choroby, pobytu
w szpitalu albo innym zakładzie leczniczym podmiotu leczniczego wykonującego działalność leczniczą w rodzaju stacjonarne i całodobowe świadczenia zdrowotne, lekarza, lekarza dentystę, felczera lub starszego felczera, po złożeniu, w formie określonej w tym przepisie oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających
z przepisów ustawy i przepisów o ochronie danych osobowych. Na podstawie art. 55a ust. 2 u.ś.p. ZUS w celu wystawienia zaświadczenia lekarskiego udostępnia bezpłatnie wystawiającemu zaświadczenie lekarskie na jego profilu informacyjnym dane zgromadzone w prowadzonych na podstawie ustawy o systemie ubezpieczeń społecznych, m.in.: Centralnym Rejestrze Ubezpieczonych (pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego), Centralnym Rejestrze Płatników Składek (nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL), a także informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1 u.ś.p., oraz o zaświadczeniach, o których mowa w art. 59 ust. 8 u.ś.p. Zgodnie natomiast z art. 55a ust. 3 u.ś.p. dane i informacje, o których mowa powyżej, ZUS udostępnia po podaniu przez wystawiającego zaświadczenie lekarskie numeru PESEL ubezpieczonego albo serii i numeru paszportu, jeżeli ubezpieczonemu nie nadano numeru PESEL.
Zdaniem PUODO powyższe wskazuje, że wprawdzie skarżąca - jako podmiot zobowiązany do oceny zasadności wystawienia zaświadczenia lekarskiego - jest upoważniona do dostępu do danych zgromadzonych na platformie PUE ZUS, ale dostęp taki jest możliwy w sytuacji służącej do udostępniania osobom wystawiającym zaświadczenia lekarskie usług, umożliwiających wystawienie zaświadczenia lekarskiego. Okoliczność ta wskazuje, że mimo, iż lekarz ma dostęp do zgromadzonych na PUE ZUS danych, to jednak nie może on korzystać z dostępu do nich w sposób dowolny. Ponadto na lekarzu, jako na administratorze udostępnianych mu przez ZUS danych, spoczywają obowiązki wynikające z RODO w zakresie między innymi odpowiedniego zabezpieczenia danych osobowych oraz legalnego przetwarzania tych danych.
Organ stwierdził, że przeprowadzone postępowanie administracyjne wykazało, iż skarżąca [...] lipca 2022 r. uzyskała dostęp do danych uczestniczki postępowania zlokalizowanych na platformie PUE ZUS w celu sprawdzenia i potwierdzenia zwolnień lekarskich wystawionych uczestniczce postępowania przez skarżącą. Jako podstawę przetwarzania danych osobowych uczestniczki postępowania skarżąca wskazała art. 6 ust 1 lit. f RODO. Podniosła, że przetwarzanie danych osobowych uczestniczki postępowania odbywało się w celach wynikających z prawnie uzasadnionych interesów, to jest w celu ochrony skarżącej przed roszczeniami uczestniczki postępowania o zapłatę określonej kwoty za błędy w sztuce lekarskiej. W ocenie skarżącej, przetwarzanie danych związanych z wystawionymi uczestniczce postępowania zwolnieniami lekarskimi niezbędne było do realizacji prawnie uzasadnionego interesu, a osiągnięcie tego celu byłoby niemożliwe bez przetworzenia danych z systemu PUE ZUS, bowiem w jej ocenie PUE ZUS był jedynym systemem, w którym można było jednoznacznie zweryfikować udzielenie uczestniczce postępowania zwolnienia lekarskiego w dniu 5 stycznia 2021 r.
i potwierdzić okres jej niezdolności do pracy. Wobec tego, w sytuacji, w której zachodziła konieczność weryfikacji dat udzielonych zwolnień lekarskich, skarżąca skorzystała
z jedynej, w jej ocenie, możliwości jaką daje dostęp do systemu PUE ZUS. Jednocześnie skarżąca podniosła, że nie ingerowała ona znacząco w prywatność osoby, której dane dotyczą tym bardziej, że osobą wystawiającą zwolnienia lekarskie była ona sama. Wskazała ponadto, że uczestniczka postępowania jest jej byłą pacjentką,
a przetwarzanie danych osobowych pacjentki dokonywane było wcześniej w ramach udzielania świadczeń zdrowotnych, wobec czego w dniu [...] lipca 2022 r. nie doszło do pozyskania nowych danych osobowych.
Organ zwrócił uwagę, że jako podstawę przetwarzania danych osobowych uczestniczki postępowania zgromadzonych w PUE ZUS skarżąca wskazała art. 6 ust. 1 lit. f RODO. W ocenie PUODO przepis ten nie ma zastosowania w sprawie,
w szczególności ze względu na wspomniane już powyżej regulacje u.ś.p., które warunkują legalność uzyskania dostępu do danych poprzez PUE ZUS, a każde działanie skarżącej nie będące w zgodzie z regulacjami prawnymi, prowadzi do naruszenia praw
i wolności uczestniczki postępowania. Zdaniem organu wobec powyższego przesłanka
z art. 6 ust 1 lit. f RODO nie może mieć zastosowania w przedmiotowej sprawie. Ponadto organ podniósł, że sama skarżąca w przedstawionych wyjaśnieniach wskazała, że
w prowadzonej przez nią dokumentacji medycznej uczestniczki postępowania znajdują się wpisy dotyczące udzielanych zwolnień lekarskich, w tym zwolnienia lekarskiego wystawionego w dniu 5 stycznia 2021 r. Do akt niniejszego postępowania przedłożona również została przez skarżącą kopia dokumentacji medycznej uczestniczki postępowania, w której znajduje się adnotacja o wystawieniu w dniu 5 stycznia 2021 r. ZLA i okresie na jaki to zwolnienie zostało wystawione. Zdaniem organu informację o wystawionych przez nią uczestniczce postępowania zwolnieniach lekarskich mogła pozyskać z dokumentacji, którą prowadziła.
PUODO uznał, że w obecnym porządku prawnym brak jest przepisów, które legalizowałyby uzyskiwanie przez lekarzy dostępu do danych osobowych, zawartych
w systemie PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Dostęp przez skarżącą do danych zgromadzonych w PUE ZUS musi być uzasadniony względami medycznymi, związanymi z wykonywaną działalnością zawodową. Organ podkreślił, że dane osobowe udostępniane wystawiającym zaświadczenie lekarskie w PUE ZUS dotyczą między innymi stanu zdrowia pacjentów, zatem danych, które podlegać powinny szczególnej ochronie. PUODO ocenił, że w niniejszej sprawie nie została spełniona żadna z przesłanek określonych w art. 6 ust. 1 i art. 9 ust. 2 RODO odnośnie kwestionowanego przez uczestniczkę postępowania nieuprawnionego dostępu do jej danych osobowych przetwarzanych za pośrednictwem PUE ZUS, w tym danych zawartych w zwolnieniach lekarskich, tj.: imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz nazwy skróconej i NIP płatnika składek (pracodawcy) oraz okresu niezdolności do pracy i kodu choroby. Z materiału dowodowego zgromadzonego w przedmiotowej sprawie wynika, że skarżąca nie pozyskiwała informacji dotyczących uczestniczki postępowania z PUE ZUS w celach związanych ze świadczeniem usług medycznych, bowiem w dniu, w którym uzyskała dostęp do jej danych osobowych zlokalizowanych na PUE ZUS nie udzielała na jej rzecz usług medycznych, co więcej uczestniczka postępowania nie była wówczas jej pacjentem.
PUODO wskazał, że wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, udzielił skarżącej upomnienia za naruszenie art. 9 ust. 1 i 2 oraz art. 5 ust. 1 lit. a RODO poprzez przetwarzanie danych osobowych uczestniczki postępowania zgromadzonych w PUE ZUS bez podstawy prawnej.
Następnie organ odniósł się do zarzutu przetwarzania przez skarżącą nr PESEL uczestniczki postępowania w celu uzyskania w dniu [...] lipca 2022 r. dostępu do jej danych osobowych zgromadzonych w PUE ZUS bez podstawy prawnej.
W tym zakresie organ podniósł, że mając na uwadze wyżej przedstawione wywody oraz stwierdzony brak podstawy prawnej do uzyskania przez skarżącą w dniu [...] lipca 2022 r. dostępu do danych osobowych uczestniczki postępowania zgromadzonych
w PUE ZUS, w sposób oczywisty nie można zalegalizować przetwarzania numeru PESEL w celu uzyskania tego dostępu. Kwestionowane przetwarzanie nr PESEL uczestniczki postępowania przez skarżącą nie znajdowało oparcia w żadnej z przesłanek wynikających z art. 6 ust. 1 i należało również w tym zakresie udzielić skarżącej, stosownie do art. 58 ust. 2 lit. b RODO, upomnienia za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO.
Odnosząc się natomiast do żądania uczestniczki postępowania wymierzenia skarżącej kary z art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o.’2018", PUODO wskazał, że postępowanie zmierzające do ustalenia odpowiedzialności karnej za naruszenie art. 107 u.o.d.o.2018 nie może być przedmiotem postępowania prowadzonego przed PUODO, albowiem żaden przepis RODO ani u.o.d.o.2018 nie uprawnia PUODO do podejmowania czynności w sprawie rozstrzygnięcia o odpowiedzialności karnej. Odpowiedzialność karna za popełnienie przestępstwa wskazanego w art. 107 u.o.d.o.2018 jest przedmiotem postępowania prowadzonego na podstawie przepisów ustawy z dnia z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz.U. z 2022 r. poz. 1375, z późn. zm.), dalej: k.p.k." Zgodnie z art. 304 § 1 k.p.k., zawiadomienie o możliwości popełnienia przestępstwa składa się do prokuratury lub Policji.
Na powyższą decyzję skarżąca wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzuciła naruszenie:
1. art. 5 ust. 1 lit. d RODO poprzez jego niezastosowanie, polegające na nieuwzględnieniu przez organ ciążącego na skarżącej (administratorze) obowiązku zapewnienia prawidłowości i w miarę potrzeby aktualizowania danych osobowych, co polegało na przyjęciu, że skarżąca nie ma prawa weryfikować poprawności
i kompletności prowadzonej dokumentacji medycznej i jej spójności z osobiście dokonanymi wpisami na PUE ZUS, gdy tymczasem na skarżącej ciążył obowiązek zapewnienia, że dane osobowe są prawidłowe, zaś obowiązek ten zaktualizował się
u skarżącej w związku ze skierowaniem wobec niej roszczenia przez pacjentkę, której dane dotyczyły, a w konsekwencji przetwarzanie danych osobowych było uprawnione;
2. art. 23 ust. 1 w zw. z art. 24 ust. 1 i ust. 2 pkt 1 u.p.p. w zw. z art. 6 ust. 1 lit. c RODO w zw. z art. 9 ust. 2 lit. h RODO poprzez ich niezastosowanie i przyjęcie, że skarżąca nie była uprawniona do przetwarzania danych osobowych swojej pacjentki
w celu ochrony przed zgłoszonymi przez nią roszczeniami, gdy tymczasem skarżąca (jako lekarz) jest z mocy samego prawa uprawniona do przetwarzania danych osobowych, zawartych w dokumentacji medycznej, zarówno w celu ochrony zdrowia, jak również udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, przy czym weryfikacja poprawności danych zawartych w dokumentacji medycznej (w tym danych dotyczących udzielonych zwolnień lekarskich) mieści się w pojęciu zarządzania udzielaniem świadczeń zdrowotnych, a w konsekwencji następuje w wykonaniu obowiązku ustawowego i następuje na podstawie art. 6 ust. 1 lit. c RODO;
3. art. 6 ust. 1 lit. f RODO poprzez jego błędną wykładnię, skutkującą przyjęciem, że przetwarzanie danych nie było niezbędne do celów wynikających
z prawnie uzasadnionych interesów realizowanych przez administratora, a interesy lub podstawowe prawa i wolności osoby sprzeciwiały się takiemu przetwarzaniu, a na skutek tego przyjęcie, że osoba wykonująca zawód medyczny nie ma prawa przetwarzać danych osobowych swoich pacjentów w celu ochrony przed zgłaszanymi przez nich roszczeniami, podczas gdy prawidłowa wykładnia tego przepisu powinna prowadzić do wniosku, że lekarz, w przypadku zgłoszenia wobec niego roszczeń przez pacjenta, i to roszczeń związanych z prowadzonym procesem leczenia, ma prawo do obrony przed zgłoszonym roszczeniem, w tym w szczególności z wykorzystaniem posiadanych przez lekarza danych osobowych pacjenta;
4. art. 5 ust. 1 lit. c RODO poprzez jego błędną wykładnię, skutkującą przyjęciem, że skarżąca, jako lekarz mogła korzystać z PUE ZUS jedynie w czasie wizyty pacjentki i wystawiania jej zwolnienia lekarskiego, podczas gdy obowiązujące przepisy takiego ograniczenia nie przewidują, a bez wątpienia nie zakazują lekarzowi weryfikacji poprawności posiadanych danych osobowych pacjenta, zaś weryfikacja ich poprawności może być realizowana przez cały czas zgodnego z przepisami prowadzenia dokumentacji medycznej (co do zasady 20 lat od momentu jej wytworzenia) oraz
w szczególności wówczas, gdy pacjent zgłosi wobec lekarza roszczenie, wymagające weryfikacji danych zgromadzonych w dokumentacji medycznej i innych systemach;
5. art. 58a ust. 1 u.ś.p. poprzez jego niezastosowanie, skutkujące przyjęciem, że skarżąca, jako lekarz, była uprawniona jedynie do wpisania do systemu PUE ZUS zwolnienia lekarskiego i nie była uprawniona do zweryfikowania jego poprawności, gdy tymczasem z niezastosowanego przez organ przepisu wynika wprost obowiązek weryfikowania i stosownego korygowania błędnych wpisów w PUE ZUS.
W oparciu o powyższe zarzuty skarżąca wniosła o uchylenie zaskarżonej decyzji oraz zasądzenie od organu na jej rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego.
W uzasadnieniu skargi skarżąca podniosła, że jako lekarka, lecząca uczestniczkę postępowania po pierwsze przetwarza jej dane osobowe w ramach prowadzonej dokumentacji medycznej (która prowadzi w wykonaniu obowiązku ustawowego), jak również dokonała wpisów w PUE ZUS, które następnie sprawdziła. Skarżąca zwróciła uwagę, że organ nie kwestionuje (bo i brak po temu podstaw) uprawnienia skarżącej do przetwarzania danych osobowych w ramach dokumentacji medycznej. W konsekwencji skarżąca nie uzyskała jakichkolwiek nowych danych osobowych uczestniczki postępowania, a jedynie sprawdziła kompletność i prawidłowość posiadanych we własnej dokumentacji danych z danymi, które uprzednio osobiście wpisała do PUE ZUS.
Zdaniem skarżącej nie zachodzi tu zatem jakikolwiek przypadek nieuprawnionego pozyskania nowych danych osobowych, a jedynie weryfikacji poprawności i kompletności posiadanych i tak danych osobowych pacjentki, i to w związku ze skierowaniem przez samą pacjentkę roszczeń wobec skarżącej. Organ bowiem poprawnie ustalił, że skarżąca była uprawniona do przetwarzania danych osobowych swojej pacjentki, a mimo to przyjął, że przetwarzanie takie było bezprawne z uwagi na to, że skarżąca zapoznała się nie tylko z dokumentacją medyczną pacjentki, ale również z samodzielnie dokonanymi wpisami
w PUE ZUS.
Skarżąca podniosła, że w przypadku roszczeń związanych z udzielaniem świadczeń zdrowotnych wymaga to (co oczywiste) weryfikacji treści dokumentacji medycznej pacjenta. Prowadzenie skutecznej obrony przed roszczeniem bez zapoznania się z treścią dokumentacji medycznej jest niemożliwe. Podobnie, w przypadku zgłoszenia wobec lekarza roszczenia aktualizuje się jego obowiązek do zweryfikowania poprawności i kompletności dokumentacji medycznej, jeżeli jest to uzasadnione zgłoszonym roszczeniem. W niniejszej sprawie skarżąca zweryfikowała poprawność i kompletność prowadzonej dokumentacji medycznej poprzez sprawdzenie wpisów dokonanych w PUE ZUS.
Dalej skarżąca podkreśliła, że wpisy w PUE ZUS, z którymi skarżąca się zapoznała, zostały wcześniej przez nią samą wykonane. Oznacza to, że skarżąca nie pozyskała jakichkolwiek nowych danych osobowych swojej pacjentki, a jedynie zweryfikowała dane, które wcześniej sama wprowadziła do PUE ZUS.
W ocenie skarżącej po jej stronie istniała usprawiedliwiona podstawa do zapoznania się z tymi danymi, bowiem brak ich weryfikacji mógł narazić ją na poniesienie niezasadnej odpowiedzialności odszkodowawczej, co organ powinien był uwzględnić.
W konsekwencji skarżąca w odpowiednim momencie, a wiec po dowiedzeniu się
o sformułowaniu wobec niej roszczenia przez pacjentkę, zweryfikowała dane zgromadzone w dokumentacji medycznej i PUE ZUS, celem sprawdzenia kompletności dokumentacji i zasadności roszczeń. Stwierdziwszy kompletność danych, oświadczyła natomiast pacjentce o braku usprawiedliwionych podstaw do wypłacenia jej odszkodowania. Tym samym zrealizowała obowiązek zapewnienia kompletności i poprawności przetwarzanych danych osobowych, wynikający nie tylko z przepisów regulujących zasady prowadzenia dokumentacji medycznej, ale również z art. 5 ust. 1 lit. d RODO, którego to przepisu organ błędnie nie zastosował.
Skarżąca stwierdziła, że niewątpliwie czynności te zostały dokonane przez nią
w ramach uprawnienia do przetwarzania danych osobowych w ramach dokumentacji medycznej, wynikającego wprost z art. 23 ust. 1 w zw. z art. 24 ust. 1 i ust. 2 pkt 1 u.p.p. w zw. z art. 6 ust. 1 lit. c RODO w zw. z art. 9 ust. 2 lit. h RODO. Uprawnienia, wynikające z tych regulacji pozwalają bowiem lekarzowi na przeglądanie danych pacjenta również
w przypadku sformułowania przez niego roszczeń wobec lekarza. Ewentualny zakaz korzystania z tych danych w sytuacji konieczności obrony przed roszczeniem pacjenta nie znajdowałby usprawiedliwionych podstaw prawnych, a co więcej byłby nie do obrony przez pryzmat zasad prowadzenia postępowań cywilnych i ciążących na stronach takich postępowań obowiązkach dowodowych (art. 6 k.c., art. 232 k.p.c.).
Skarżąca zwróciła uwagę, że nie uwzględniając powyższego uprawnienia lekarza do obrony przed roszczeniami organ stwierdził również, że weryfikacja kompletności
i poprawności danych osobowych w celu odparcia roszczeń nie mieści się w kategorii prawnie uzasadnionych interesów realizowanych przez administratora. W ocenie skarżącej wniosek taki jest oczywiście błędny. Ponadto, przetwarzanie danych już posiadanych poprzez ich zweryfikowanie, bez jakiegokolwiek ujawniania, nie narusza praw osoby, której dane dotyczą. Tym samym, nawet gdyby organ uznał, że skarżąca weryfikując swoje wpisy na PUE ZUS nie realizowała swoich praw i obowiązków, powinien był przyjąć, że czyni to w ramach swego prawnie usprawiedliwionego interesu, tj. na podstawie art. 6 ust. 1 lit. f RODO.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji.
Ponadto organ wskazał, że nie może zgodzić się z zarzutem skarżącej dotyczącym niezastosowania art. 5 ust. 1 lit. d RODO, a przez to nieuwzględnienie ciążącego na skarżącej obowiązku prawidłowości i w miarę potrzeby aktualizowania danych osobowych. PUODO zgodził się ze skarżącą, że ciąży na niej, jako administratorze, obowiązek przetwarzania prawdziwych i aktualnych danych osobowych, natomiast obowiązek ten nie jest w żaden sposób powiązanych z uprawnieniem do pozyskiwania w dowolnym czasie i zakresie danych osobowych zgromadzonych na PUE ZUS, do której mógł uzyskać dostęp w celu wystawiania zaświadczeń lekarskich, a nie weryfikacji dokonanych wpisów w prowadzonej dokumentacji medycznej. Tym bardziej, że w ramach tej platformy przetwarzane są również dane uczestniczki postępowania, których administratorem nie jest skarżąca.
Jako chybioną PUODO uznał argumentację skarżącej, że podstawą do przetwarzania danych zgromadzonych w ramach PUE ZUS były przepisy art. 23 ust. 1 w zw. z art. 24 ust. 1 i ust. 2 pkt 1 u.p.p. w zw. z art. 6 ust. 1 lit. c RODO w zw. z art. 9 ust. 2 lit. h RODO, gdyż skarżąca z mocy prawa uprawniona była do przetwarzania danych osobowych zawartych w dokumentacji medycznej w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, a weryfikacja poprawności danych zawartych w dokumentacji medycznej mieściła się w pojęciu zarządzania udzielaniem świadczeń zdrowotnych. Organ podkreślił, że wynikający z ww. wymienionych przepisów u.p.p. obowiązek dotyczy prowadzenia dokumentacji medycznej i przetwarzania danych osobowych zgromadzonych w ramach tej dokumentacji. Dane zgromadzone w ramach PUE ZUS takiej dokumentacji medycznej nie stanowią. Platforma ta jest jedynie narzędziem, które umożliwia dostęp do danych w ZUS oraz ułatwia dostęp do świadczonych przez ZUS usług. PUE ZUS nie jest narzędziem służącym weryfikacji wpisów dokonywanych przez lekarzy w prowadzonej przez nich dokumentacji medycznej. Lekarz zobowiązany jest do rzetelnego prowadzenia dokumentacji medycznej zawierającej prawidłowe i aktualne dane, ale w żaden sposób obowiązek ten nie jest powiązanych z nadaniem mu uprawnień dostępu do PUE ZUS. Jak wskazano wyżej to, że lekarz ma dostęp do zgromadzonych na PUE ZUS danych, nie oznacza, że może on korzystać z dostępu do tych danych w sposób dowolny. Dostęp do danych zgromadzonych w ramach PUE ZUS był możliwy jedynie w sytuacji służącej do udostępniania usług umożliwiających wystawienie zaświadczenia lekarskiego, a z taką sytuacją nie było tutaj do czynienia.
PUODO podtrzymał również wyrażony w zaskarżonej decyzji pogląd, iż art. 6 ust 1 lit. f RODO nie może mieć zastosowania do przedmiotowego przetwarzania danych
w szczególności ze względu na powołane wyżej regulacje u.ś.p. Regulacje te warunkują bowiem legalność uzyskania dostępu do danych poprzez PUE ZUS, a każde działanie skarżącej nie będące w zgodzie z regulacjami prawnymi, prowadziło do naruszenia praw i wolności uczestniczki postępowania. W sytuacji, gdy jednoznacznie wskazana jest okoliczność, która legalizuje skorzystanie przez osobę wystawiającą zaświadczenie lekarskie, powoływanie się na art. 6 ust. 1 lit. f RODO skutkowałoby obejściem przepisów prawa. Art. 55a ust. 2 u.ś.p. precyzuje bowiem w jakiej sytuacji dozwolone jest wykorzystanie danych w prowadzonym przez ZUS rejestrze.
Dalej organ podniósł, że skarżąca nie wykazała niezbędności przetwarzania danych uczestniczki postępowania dla realizacji celu wynikającego z prawnie uzasadnionego interesu jakim była ochrona przed jej roszczeniami. W prowadzonej przez skarżącą dokumentacji medycznej znajdywały się wpisy dotyczące udzielanych zwolnień lekarskich, w tym zwolnienia lekarskiego wystawionego w dniu 5 stycznia 2021 r. Zatem informacje o wystawionych przez nią uczestniczce postępowania zwolnieniach lekarskich, w celu ochrony przed roszczeniami, skarżąca mogła pozyskać z dokumentacji, którą prowadziła. W żaden sposób ograniczenie dostępu do danych zgromadzonych na PUE ZUS nie godziło w uprawnienie skarżącej do obrony przed roszczeniem pacjenta. Natomiast ewentualna weryfikacja prawidłowości wpisów w prowadzonej przez skarżącą dokumentacji medycznej nie może się odbywać w oparciu o art. 6 ust. 1 lit. f RODO w sytuacji gdy dostęp do danych zgromadzonych w PUE ZUS jest regulowany przepisami prawa.
Organ zaznaczył, że dostrzega, że potrzeba uzyskania przez skarżącą dostępu do danych uczestniczki postępowania w związku z obroną przed roszczeniami może
w niektórych przypadkach stanowić o realizacji prawnie uzasadnionego celu, niemniej pozostałe warunki spełniania przesłanki z art. 6 ust. 1 lit. f RODO, stanowiące o zgodnym z prawem przetwarzaniu danych, nie zostały spełnione.
W ocenie organu dla oceny legalności kwestionowanego przetwarzania danych osobowych nie miał również znaczenia przepis art. 58a ust. 1 u.ś.p. PUODO podniósł, że nie można się zgodzić ze stanowiskiem skarżącej, że z przepisu tego wprost wynikał obowiązek weryfikowania i stosownego korygowania błędnych wpisów na PUE ZUS. Przepis ten daje możliwość korekty wystawionego zaświadczenia w sytuacji, gdy
w zaświadczeniu tym stwierdzono błąd. Zgodnie z przedstawionymi przez skarżącą wyjaśnieniami, uzyskanie dostępu do danych uczestniczki postępowania nie było jednak motywowane taką korektą. Tym bardziej, że uzyskanie dostępu miało miejsce około półtorej roku od wystawienia zaświadczenia.
Organ zwrócił nadto uwagę, że skarżąca w przedłożonych przed organem wyjaśnieniach nie wskazywała na potrzebę korekty wystawionego zaświadczenia lekarskiego. Końcowo organ podniósł, że nie jest prawdą jakoby skarżąca pozyskała dane, które już przetwarzała. Oprócz dostępu do informacji o wystawionych przez nią zwolnieniach lekarskich, pozyskała również dostęp do dwóch zwolnień lekarskich, i danych w nich zawartych, wystawionych uczestniczce postępowania w okresie ostatnich 12 miesięcy, kiedy to nie była już ona pacjentem skarżącej.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935), dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
W niniejszej sprawie PUODO udzielił skarżącej upomnienia za naruszenie art. 9 ust. 1 i 2 oraz art. 5 ust. 1 lit. a RODO, polegające na uzyskaniu w dniu [...] lipca 2022 r. bez podstawy prawnej dostępu do danych osobowych uczestniczki postępowania zlokalizowanych na PUE ZUS, w zakresie imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz nazwy skróconej i NIP płatnika składek (pracodawcy) oraz okresu niezdolności do pracy i kodu choroby oraz za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. a RODO, polegające na przetwarzaniu danych osobowych uczestniczki postępowania w zakresie numeru PESEL w celu uzyskania dostępu do danych osobowych zlokalizowanych na PUE ZUS bez podstawy prawnej.
Stan faktyczny w niniejszej sprawie w istocie jest niesporny. Z ustaleń organu wynika, że skarżąca w dniu [...] lipca 2022 r. posłużyła się nr PESEL uczestniczki postępowania uzyskując dostęp do jej danych osobowych zgromadzonych w PUE ZUS. Sporna między stronami jest natomiast cena powyższych faktów, a w iszczególności to, czy tego rodzaju przetwarzanie danych osobowych było zgodne z prawem.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie danych definiuje art. 4 pkt 2 RODO jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przepis art. 9 ust. 1 RODO zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Powyższy zakaz nie ma charakteru bezwzględnego. Wyjątek od niego przewiduje art. 9 ust. 2 RODO, który zawiera zamknięty katalog przesłanek legalizujących przetwarzanie ww. szczególnej kategorii danych osobowych. Otóż przetwarzanie takich danych jest możliwe m.in. w przypadku, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1 (art. 9 ust. 2 lit a RODO); przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit f RODO); gdy jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (art. 9 ust. 2 lit. h RODO). Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h, jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe (art. 9 ust. 3 RODO).
Dla stwierdzenia dopuszczalności przetwarzania szczególnych kategorii danych w oparciu o omawianą przesłankę nie wystarczy wykazanie realizacji jednego z wymienionych w tym przepisie celów; potrzeba jeszcze istnienia szczególnego przepisu prawa (unijnego bądź krajowego) albo umowy, na podstawie których przetwarzanie tego rodzaju danych jest dopuszczalne (zob. P. Fajgielski Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowany w Systemie Informacji Prawnej LEX, WKP 2022, komentarz do art. 9).
Słusznie organ wskazuje, że w polskim systemie prawnym ujęte w art. 9 ust. 2 RODO odstępstwo od zakazu przetwarzania tzw. wrażliwych danych osobowych (w tym tych zamieszczonych na PUE ZUS) koresponduje z art. 54 ust. 1 oraz art. 55a ust. 2 u.ś.p. Według pierwszego z przywołanych przepisów ZUS upoważnia do wystawiania zaświadczeń lekarskich o czasowej niezdolności do pracy z powodu choroby, pobytu
w szpitalu albo innym zakładzie leczniczym podmiotu leczniczego wykonującego działalność leczniczą w rodzaju stacjonarne i całodobowe świadczenia zdrowotne albo o konieczności osobistego sprawowania opieki nad chorym członkiem rodziny lekarza, lekarza dentystę, felczera lub starszego felczera po złożeniu, w określonej w tym przepisie formie oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z przepisów ustawy i przepisów o ochronie danych osobowych.
Zgodnie natomiast z art. 55a ust. 2 u.ś.p. ZUS w celu wystawienia zaświadczenia lekarskiego udostępnia bezpłatnie wystawiającemu zaświadczenie lekarskie na jego profilu informacyjnym:
1) dane zgromadzone w prowadzonych na podstawie ustawy o systemie ubezpieczeń społecznych:
a) Centralnym Rejestrze Ubezpieczonych - pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego,
b) Centralnym Rejestrze Płatników Składek - nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL,
c) Centralnym Rejestrze Członków Rodziny Ubezpieczonych Uprawnionych do Ubezpieczenia Zdrowotnego - datę urodzenia chorego członka rodziny i stopień jego pokrewieństwa lub powinowactwa z ubezpieczonym;
2) informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1, oraz o zaświadczeniach, o których mowa w art. 59 ust. 8;
3) informacje, czy płatnik składek posiada profil informacyjny płatnika składek, o którym mowa w art. 58 ust. 1.
Stosownie zaś do treści art. 55a ust. 3 u.ś.p. dane i informacje, o których mowa
w ust. 2 pkt 1 lit. a i b oraz pkt 2 i 3, ZUS udostępnia po podaniu przez wystawiającego zaświadczenie lekarskie numeru PESEL ubezpieczonego albo serii i numeru paszportu, jeżeli ubezpieczonemu nie nadano numeru PESEL, a dane, o których mowa w ust. 2 pkt 1 lit. c, po podaniu numeru PESEL członka rodziny albo serii i numeru paszportu, jeżeli członkowi rodziny nie nadano numeru PESEL.
Z powyżej zacytowanych przepisów jednoznacznie wynika, że skarżąca jako lekarz była uprawniona do dostępu do danych osobowych uczestniczki postępowania zgromadzonych na PUE ZUS w związku z wystawieniem jej zaświadczenia lekarskiego.
Ponadto skarżąca niewątpliwie jest też uprawniona do przetwarzania danych osobowych uczestniczki postępowania, która była jej pacjentką, w związku
z prowadzeniem i przechowywaniem jej dokumentacji medycznej. Uprawnienie do tego rodzaju przetwarzania danych osobowych uczestniczki postępowania wynika z art. 6 ust. 1 lit. c i art. 9 ust. 2 RODO w zw. z art. 24 ust. 1 i ust. 2 u.p.p.
Słuszna jest uwaga organu, że choć lekarz ma dostęp do danych zgromadzonych w PUE ZUS, to nie może korzystać z tego dostępu w sposób dowolny. Musi się to odbywać w zgodzie z przepisami u.ś.p. Skarżąca po wprowadzeniu nr PESEL uczestniczki postępowania uzyskała jednak dostęp do jej danych osobowych zgormadzonych na PUE ZUS w innym celu niż wystawienie zaświadczenia lekarskiego. Tego rodzaju operacja przetwarzania danych osobowych uczestniczki postępowania nie znajdowała w związku z tym podstawy w art. 55a ust. 2 i ust. 3 u.ś.p.
Nie była to też operacja związana z gromadzeniem i przechowywaniem dokumentacji medycznej, w której posiadaniu była już skarżąca. Operacja ta została bowiem dokonana nie na tej dokumentacji, ale polegała na uzyskaniu dostępu do danych uczestniczki postępowania zgromadzonych na PUE ZUS. Zgodzić się należy z organem, że platforma PUE ZUS jest jedynie narzędziem, które umożliwia dostęp do danych w ZUS oraz ułatwia dostęp do świadczonych przez ZUS usług. Podkreślić też w tym miejscy należy, że uzyskując dostęp do danych osobowych zgromadzonych na PUE ZUS w dniu [...] lipca 2022 r. skarżąca uzyskała dostęp nie tylko do danych, które już posiadała, ale także do innych danych, tj. wystawionych uczestniczce postępowania zaświadczeń lekarskich przez innego lekarza. Operacja ta nie miała zatem oparcia w art. 24 ust. 2 u.p.p.
Skarżąca w toku postępowania przed PUODO wyjaśniała, że uzyskała w dniu [...] lipca 2022 r. dostęp do danych osobowych uczestniczki zgromadzonych na PUE ZUS
w celu obrony przed roszczeniami kierowanymi przez uczestniczkę postępowania. Skarżąca podnosiła przy tym, że uzyskała dostęp do danych zawartych w PUE ZUS
w celu sprawdzenia i potwierdzenia zwolnień lekarskich wystawionych przez siebie uczestniczce postępowania. W skierowanym do organu piśmie z dnia 13 lutego 2023 r. (kart. nr 29-31) pełnomocnik skarżącej podała, że miało na celu potwierdzenie udzielenia uczestniczce postępowania zwolnienia lekarskiego 5 stycznia 2021 r. oraz potwierdzenie okresu jej niezdolności do pracy.
Rozważenia wymagała zatem, czy przedmiotowa operacja na danych osobowych znajdowała podstawę w obowiązujących przepisach.
Jako podstawę prawną tego rodzaju przetwarzania danych osobowych skarżąca w postępowaniu przed organem powołała art. 6 ust. 1 lit f RODO. Przepis ten stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W ocenie Sądu organ prawidłowo ocenił, że art. 6 ust. 1 lit f RODO nie dawał skarżącej podstawy do przetwarzania danych osobowych uczestniczki postępowania
w kwestionowany przez nią sposób. Jak słusznie zauważa organ w zaskarżonej decyzji skarżąca informację o wystawionych przez siebie zwolnieniach lekarskich mogła pozyskać z dokumentacji, którą prowadziła. W piśmie z dnia 13 lutego 2023 r. (karta nr 29-31) pełnomocnik skarżącej przyznała, że w dokumentacji medycznej prowadzonej przez skarżącą znajdują się wpisy dotyczące udzielanych zwolnień lekarskich w tym zwolnienia z 5 stycznia 2021 r. Pamiętać zaś należy, że myśl art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest zgodne z prawem jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Jak słusznie zauważa organ w odpowiedzi na skargę aby móc zalegalizować przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO konieczne jest więc wykazanie przez administratora, iż przetwarzanie jest niezbędne dla realizacji prawnie uzasadnionych interesów. Nie wystarczy zatem samo występowanie tych interesów, lecz dodatkowo ich urzeczywistnienie musi wymagać przetwarzania danych osobowych. W niniejszej sprawie skarżąca nie wykazała, że przetwarzanie przez nią danych osobowych uczestniczki postępowania w kwestionowany sposób było niezbędne dla realizacji prawnie uzasadnionych interesów. Skoro skarżąca dostęp do potrzebnych jej danych w celu obrony przed roszczeniami mogła uzyskać z prowadzonej przez nią dokumentacji medycznej, to uzyskanie wglądu do danych zawartych w PUE ZUS nie było niezbędne do tak określonego prawnie uzasadnionego interesu.
W skardze skarżąca zarzuca m.in., że PUODO nie zastosował art. 5 ust. 1 lit. d RODO i w związku z tym nie uwzględnił ciążącego na skarżącej obowiązku zapewnienia prawidłowości danych i razie potrzeby aktualizowania danych osobowych. Istotnie na skarżącej ciąży, jako na administratorze, obowiązek przetwarzania prawdziwych
i aktualnych danych osobowych. Jak zasadnie podnosi organ w odpowiedzi na skargę obowiązek ten nie jest w żaden sposób powiązanych z uprawnieniem do pozyskiwania
w dowolnym czasie i zakresie danych osobowych zgromadzonych na PUE ZUS. Słusznie organ przy tym podnosi, że skarżąca mogła uzyskać dostęp do PUE ZUS w celu wystawiania zaświadczeń lekarskich, a nie weryfikacji dokonanych wpisów
w prowadzonej dokumentacji medycznej. Istotne przy tym jest to, że w ramach tej platformy przetwarzane są również dane uczestniczki postępowania, których administratorem nie jest skarżąca.
Niezasadny jest też zarzut skarżącej naruszenia przez organ art. 5 ust. 1 lit c RODO. Przepis ten stanowi, że dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych").
Użyte w tym przepisie określenie "adekwatne" oznacza "odpowiednie, zgodne, proporcjonalne, nienadmierne" i może być traktowane jako synonim słowa "stosowne". Adekwatność i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów. Dalsza część tego przepisu zawiera wymóg, aby dane były ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zob. P. Fajgielski Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowany w Systemie Informacji Prawnej LEX, WKP 2022, komentarz do art. 5).
W kontekście tego zarzutu skarżąca w uzasadnieniu skargi podnosi, że jej uprawnienie jako lekarza do korzystania z PUE ZUS nie powinno ograniczać się tylko do czasu wypisywania zwolnienia lekarskiego. Teza ta jest błędna. Z treści powołanych wyżej przepisów u.ś.p. wynika właśnie tego rodzaju ograniczenie. Błędnie też skarżąca podnosi, że przetwarzanie danych osobowych powinno następować wówczas, gdy jest to rzeczywiście niezbędne, a w niniejszej sprawie, jej zdaniem, stan "niezbędności" zaktualizował się w momencie powzięcia przez nią wiedzy o skierowaniu wobec niej roszczeń. Jak już wyżej wyłożono nie może być mowy o niezbędności przetwarzania danych osobowych uczestniczki postępowania poprzez uzyskiwanie dostępu do danych zawartych w PUE ZUS, w sytuacji gdy dane takie skarżąca posiadała w prowadzonej prze siebie dokumentacji medycznej. Ponadto uzyskując dostęp do danych w PUE ZUS skarżąca uzyskała również dostęp do danych osobowych uczestniczki postępowania
w postaci informacji o zwolnieniach lekarskich wystawionych przez innych lekarzy, co
w żaden sposób nie przystaje do wskazanego przez skarżącą w toku postępowania przed organem celu przetwarzania danych osobowych uczestniczki postępowania.
Nie można też uznać, że źródłem uprawnienia do przeprowadzonej przez skarżącą operacji przetwarzania danych osobowych był art. 58a ust. 1 u.ś.p. Przepis ten stanowi, że w przypadku gdy w zaświadczeniu lekarskim został popełniony błąd, wystawiający zaświadczenie lekarskie, który wystawił zaświadczenie lekarskie, w którym został popełniony błąd, albo inny wystawiający zaświadczenie lekarskie, w terminie 3 dni roboczych od dnia stwierdzenia błędu lub otrzymania informacji o stwierdzeniu błędu, w szczególności od płatnika składek, ubezpieczonego lub Zakładu Ubezpieczeń Społecznych, przekazuje na elektroniczną skrzynkę podawczą Zakładu Ubezpieczeń Społecznych, o której mowa w art. 55 ust. 2, odpowiednio:
1) informację o stwierdzeniu nieważności zaświadczenia lekarskiego, w którym został popełniony błąd, albo
2) informację, o której mowa w pkt 1, oraz nowe zaświadczenie lekarskie, zawierające identyfikator i datę jego wystawienia oraz dane i informacje, o których mowa w art. 55 ust. 3 pkt 2-10, zawarte w zaświadczeniu lekarskim, w którym został popełniony błąd, po sprostowaniu tego błędu
- podpisane kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym albo z wykorzystaniem sposobu potwierdzania pochodzenia oraz integralności danych dostępnego w systemie teleinformatycznym udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych.
Przepis ten reguluje procedurę autokontroli prawidłowości zaświadczenia lekarskiego przez wystawiających zaświadczenie lekarskie. Skarżąca na żadnym
z etapów postępowania nie wskazywała, iż wystawione przez nią uczestniczce postępowania zaświadczenie lekarskie zawierało błąd, który wymagałby zastosowania procedury przewidzianej w tym przepisie.
Prawidłowo organ uznał, że w obecnym porządku prawnym brak jest przepisów, które legalizowałyby uzyskiwanie przez lekarzy dostępu do danych osobowych, zawartych w systemie PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Zgodzić się należy z organem, że dostęp przez skarżącą do danych zgromadzonych w PUE ZUS musi być uzasadniony względami medycznymi, związanymi z wykonywaną działalnością zawodową. Dane osobowe udostępniane wystawiającym zaświadczenie lekarskie w PUE ZUS dotyczą między innymi stanu zdrowia pacjentów, a zatem danych sensytywnych, które podlegać powinny szczególnej ochronie.
Wobec powyższego konkluzja organu, iż w niniejszej sprawie nie została spełniona żadna z przesłanek określonych w art. 6 ust. 1 i art. 9 ust. 2 RODO odnośnie kwestionowanego przez uczestniczkę postępowania nieuprawnionego dostępu do jej danych osobowych przetwarzanych za pośrednictwem PUE ZUS jest prawidłowa. Zachodziły zatem podstawy do skorzystania przez organ z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO i udzielenia skarżącej upomnienia za naruszenie art. 9 ust. 1 i 2 oraz art. 5 ust. 1 lit. a RODO poprzez uzyskanie bez podstawy prawnej dostępu do danych osobowych uczestniczki postępowania zawartych w PUE ZUS, jak również za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit a RODO poprzez przetwarzanie nr PESEL uczestniczki postępowania w celu uzyskania dostępu do danych osobowych zawartych w PUE ZUS.
Zastosowane przez organ uprawnienie naprawcze w postaci upomnienia,
w stosunku do ujawnionego naruszenia nie przekroczyło zasady proporcjonalności.
Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez PUODO. Organ pomimo tego, że nie poświęcił więcej uwagi w uzasadnieniu decyzji wyjaśnieniu proporcjonalności zastosowanego środka do stwierdzonej nieprawidłowości w przetwarzaniu danych osobowych nie przekroczył zasad proporcjonalności. Skarżąca w sposób nieuprawniony uzyskała bowiem dostęp do danych osobowych uczestniczki postępowania w tym do danych sensytywnych. Nie można w związku z tym zgodzić się ze skarżącą, że nie stanowiło to znacznej ingerencji w prywatność uczestniczki postępowania.
Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy,
a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a.,
a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie Sąd na podstawie art. 151 p.p.s.a. oddalił skargę.