Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 12 kwietnia 2019 r.

DECYZJA

ZSZZS.440.659.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), art. 6 ust. 1 lit. c), art. 9 ust. 2 lit. h) oraz art. 58 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A.Z., na przetwarzanie jej danych osobowych oraz udostępnienie jej danych osobowych na rzecz osoby trzeciej przez S. z siedzibą w J., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga, Pani A.Z., zwaną dalej Skarżącą, na przetwarzanie jej danych osobowych oraz udostępnienie jej danych osobowych na rzecz osoby trzeciej przez S. z siedzibą w J., zwany dalej Zespołem.

W treści skargi Skarżąca wskazała, że Zespół udostępnił informacje na temat stanu zdrowia tj. wydał zaświadczenie zawierające jej dane osobowe, jak również informacje z przebiegu badania lekarskiego oraz wnioski lekarskie, jej mężowi W.Z. W związku z powyższym Skarżąca wniosła o nakazanie Zespołowi dostosowanie operacji przetwarzania danych osobowych do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwanego dalej również RODO, w szczególności w zakresie zakazu udostępniania jej danych osobowych podmiotom nieuprawnionym, wprowadzenie całkowitego zakazu przetwarzania jej danych osobowych oraz nakazanie sprostowania zaświadczenia o stanie zdrowia, bowiem dysponuje zaświadczeniem całkowicie negującym konieczność skierowania jej na leczenie.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

  1. Zespół przetwarza dane osobowe Skarżącej zawarte w dokumentacji medycznej tj. dane identyfikacyjne oraz informacje o stanie zdrowia w celach archiwalnych.
  2. W dniu […] lutego 2018 r. Skarżąca została przywieziona do Zespołu przez pogotowie ratunkowe w asyście Policji, gdzie była konsultowana na izbie przyjęć. Z uwagi na brak zaistnienia przesłanek określonych w art. 23 ust. 1 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz.U.2018.1878 t.j.) Skarżąca nie została przyjęta do Zespołu, ponieważ nie wyraziła na to zgody.
  3. Zespół wydał zaświadczenie, że Skarżąca wymaga leczenia psychiatrycznego jej mężowi Panu W.Z. w celu wdrożenia procedury o przyjęcie Skarżącej do szpitala psychiatrycznego na jego wniosek.
  4. Pan W.Z. wystąpił do Sądu Rejonowego z wnioskiem o umieszczenie Skarżącej w szpitalu psychiatrycznym bez jej zgody.
  5. Skarżąca nie zwracała się do Zespołu o sprostowanie jej danych osobowych w oparciu o art. 35 ustawy z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) lub art. 16 RODO.

W tym stanie faktycznym sprawy, Prezes Urzędu zważył co następuje.

W pierwszej kolejności należy wskazać, że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a) RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze  (art. 6 ust. 1 lit. c) RODO). Przesłanki legalności przetwarzania szczególnych kategorii danych osobowych, w tym danych osobowych dotyczących zdrowia, określone zostały natomiast w art. 9 ust. 2 RODO. Przesłanki te mają charakter autonomiczny, wobec czego aby uznać proces przetwarzania danych osobowych przez administratora za zgodny z prawem, wystarczy spełnienie przez niego jednej z tych przesłanek. Sformułowany w art. 9 ust. 2 RODO katalog okoliczności legalizujących proces przetwarzania danych wrażliwych obejmuje m.in. zgodę osoby, której dane dotyczą (art. 9 ust. 2 lit. a) RODO) czy sytuację, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego (art. 9 ust.2 lit. h) RODO).

Wskazania wymaga, że na podstawie art. 24 ust. 1 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.2017. poz. 1318), podmiot udzielający świadczeń zdrowotnych jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w przedmiotowej ustawie oraz w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2016 r. poz. 1535, 1579 i 2020 oraz z 2017 r. poz. 599), a także zapewnić ochronę danych zawartych w tej dokumentacji.

Stosownie do art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna podlega przechowywaniu przez podmiot udzielający świadczeń zdrowotnych przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu i przez ten okres żadne dane, nie mogą być z niej usunięte. Zgodnie bowiem z § 4 ust. 3 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. (Dz.U.2015 poz. 2069) w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania wpis dokonany w dokumentacji nie może być z niej usunięty, jedynie wówczas, gdy został dokonany błędnie, skreśla się go i zamieszcza adnotację o przyczynie błędu oraz datę i oznaczenie osoby dokonującej adnotacji, zgodnie z § 10 ust. 1 pkt 3.

Mając powyższe na uwadze oraz fakt, że Skarżąca w dniu […] lutego 2018 r. została przyjęta do Zespołu, gdzie przeprowadzono konsultację medyczną, należy stwierdzić, że Zespół ma obowiązek przechowywać dokumentację medyczną Skarżącej przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. Zespół jest zatem zobowiązany do przetwarzania danych osobowych Skarżącej zawartych w dokumentacji medycznej w celu wykonania obowiązku określonego w art. 29 ust. 1 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, co stanowi wypełnienie przesłanki legalizującej proces przetwarzania zwykłych danych osobowych, na podstawie art. 6 ust. 1 lit. c) RODO oraz danych osobowych dot. zdrowia, na podstawie art. 9 ust. 2 lit. h) RODO.

Odnośnie zaś kwestionowanego przez Skarżącą udostępnienia Panu W.Z. przez Zespół zaświadczenia lekarskiego, to podkreślenia wymaga, że zdarzenie to miało charakter incydentalny i jednorazowy, nie jest obecnie kontynuowane. Stwierdzić zatem należy, że właściwe w tym przypadku jest zastosowanie przepisów obowiązujących w czasie, gdy doszło do zarzucanych przez Skarżącą nieprawidłowości w procesie przetwarzania jej danych osobowych, tj. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zwanej dalej również u.o.d.o. Przesłanki legalności przetwarzania tzw. zwykłych danych osobowych, w tym ich udostępniania, określał poprzednio art. 23 ust. 1 u.o.d.o., zgodnie z którym przetwarzanie danych było dopuszczalne m.in. gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (art. 23 ust. 1 pkt 1 u.o.d.o.) lub gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o.). Każda z powyższych przesłanek miała charakter samodzielny i autonomiczny, co oznacza, że spełnienie chociaż jednej z nich przesądzało o legalności procesu przetwarzania danych osobowych. Z kolei przesłanki dopuszczające przetwarzanie danych szczególnie chronionych, zostały określone w art. 27 ust 2 pkt 1- 10 u.o.d.o. Art. 27 ust. 1 ustawy wprowadzał zatem zakaz przetwarzania danych dotyczących stanu zdrowia. Istniały jednak pewne przesłanki, o których mowa w ustawie o ochronie danych osobowych z 1997 r. (art. 27 ust. 2 u.o.d.o.), dopuszczające przetwarzanie tego typu danych. Analiza niniejszej sprawy pod kątem legalności przetwarzania danych wrażliwych Skarżącej powinna być dokonana w kontekście przepisu art. 27 ust 2 pkt 2 u.o.d.o., który stanowi, iż przetwarzanie danych szczególnie chronionych jest dopuszczalne w sytuacji, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony. Tym samym ustawa odsyła do przepisów szczególnych, regulujących działalność określonych podmiotów i instytucji, wskazujących w jakich przypadkach i w jakim zakresie mogą one przetwarzać, w tym udostępniać, dane osobowe, aby obowiązki i uprawnienia nałożone na nie mocą tych przepisów mogły być realizowane. Takim przepisem szczególnym jest art. 29 ust. 1 pkt 1 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz.U.2018.1878 t.j.), zwana dalej ustawą o ochronie zdrowia psychicznego, zgodnie z którym do szpitala psychiatrycznego może być przyjęta bez zgody, osoba chora psychicznie, której dotychczasowe zachowanie wskazuje na to, że nieprzyjęcie do szpitala spowoduje znaczne pogorszenie stanu jej zdrowia psychicznego. Na mocy ust. 2 ww. przepisu o potrzebie przyjęcia do szpitala psychiatrycznego takiej osoby bez jej zgody orzeka sąd opiekuńczy miejsca zamieszkania tej osoby na wniosek jej małżonka, krewnych w linii prostej, rodzeństwa, jej przedstawiciela ustawowego lub osoby sprawującej nad nią faktyczną opiekę. Do wniosku, o którym mowa powyżej, dołącza się orzeczenie lekarza psychiatry szczegółowo uzasadniające potrzebę leczenia w szpitalu psychiatrycznym. Orzeczenie lekarz psychiatra wydaje na uzasadnione żądanie osoby lub organu uprawnionego do zgłoszenia wniosku o wszczęcie postępowania (art. 30 ust. 1 ustawy o ochronie zdrowia psychicznego).

Mając na uwadze powyżej powołane przepisy, należy stwierdzić, że Zespół mógł udostępnić orzeczenie lekarza psychiatry mężowi Skarżącej tj. Panu W.Z., który był osobą uprawnioną do złożenia wniosku do właściwego sądu o umieszczenie Skarżącej w szpitalu psychiatrycznym bez jej zgody, co stanowi wypełnienie przesłanki legalizującej proces przetwarzania zwykłych danych osobowych, na podstawie art. 23 ust. 1 pkt 2 ówcześnie obowiązującej ustawy o ochronie danych osobowych z 1997 r. oraz danych osobowych dot. stanu zdrowia, na podstawie art. 27 ust. 2 pkt 2 tej ustawy. 

Odnosząc się natomiast do wniosku Skarżącej o nakazanie Zakładowi sprostowania zaświadczenia o stanie zdrowia, ponieważ dysponuje ona zaświadczeniem całkowicie negującym konieczność skierowania jej na leczenie tj. zaprzeczającym zaświadczeniu, jakie zostało wystawione przez Zakład to wyjaśnienia wymaga, że Prezes Urzędu Ochrony Danych Osobowych nie jest organem właściwym do dokonywania oceny prawidłowości udzielania świadczeń zdrowotnych, stawianej diagnozy czy opinii lekarskiej. Kompetencja Prezesa Urzędu ogranicza się wyłącznie do kwestii związanych z ochroną danych osobowych.

Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącej są przetwarzane przez Zespół w sposób niezgodny z RODO. Skarżony proces znajduje bowiem oparcie w  przesłance określonej w art. 6 ust. 1 lit. c) RODO w zakresie tzw. zwykłych danych oraz art. 9 ust. 2 lit. h) RODO w zakresie danych dot. stanu zdrowia Skarżącej. Odnośnie zaś kwestionowanego przez Skarżącą udostępnienia jej danych osobowych przez Zespół to znajdowało ono oparcie w przesłance określonej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych z 1997 r. obowiązującej w dniu tego zdarzenia w zakresie zwykłych danych oraz w art. 27 ust. 2 pkt 2 tej ustawy w zakresie danych dot. stanu zdrowia.

 W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 oraz ust. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2018r. poz. 1302), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy.

2019-04-25 Metadane artykułu
Podmiot udostępniający: Zespół ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa
Wytworzył informację: dr Edyta Bielak–Jomaa 2019-04-12
Wprowadził‚ informację: Mateusz Wnuk 2019-04-25 11:03:57
Ostatnio modyfikował: Grzegorz Cześnik 2019-07-08 12:39:01