Decyzja

DECYZJA

 Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2018 r. poz. 2096 ze zm.) oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w zw. z art. 9 ust. 2 lit. h) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R.L na przetwarzanie jego danych osobowych przez Narodowy Fundusz Zdrowia, Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana R.L., zwanego dalej Skarżącym na przetwarzanie jego danych osobowych przez Narodowy Fundusz Zdrowia, zwany dalej NFZ.

W treści swojej skargi Skarżący podniósł, iż NFZ w swoich bazach danych przechowuje poufne informacje „o charakterze przeważnie historycznym” takie jak, dane o odbytym leczeniu i przyjmowanych lekach. Ponadto Skarżący wskazał, iż dostęp do tych danych mają nieuprawnione osoby trzecie co skutkuje ponoszeniem przez Skarżącego strat finansowych i zawodowych. Wobec powyższego Skarżący wniósł o usunięcie jego danych dotyczących zrealizowanych świadczeń medycznych oraz zrealizowanych recept na lekarstwa ze wszystkich baz danych NFZ.

W toku prowadzonego postępowania administracyjnego Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezesem UODO) ustalił następujący stan faktyczny.

1. Skarżący zwrócił się do NFZ z żądaniem usunięcia swoich danych dotyczących zrealizowanych świadczeń opieki zdrowotnej oraz zrealizowanych recept z baz danych NFZ pismem z dnia […] lipca 2017 r.
2. NFZ w piśmie z dnia […] sierpnia 2017 r. poinformował Skarżącego o podstawie prawnej przetwarzania danych osobowych świadczeniobiorców, jednocześnie zaprosił go do swojej siedziby „w celu realizacji wniosku”, powołując się na brak możliwości „w sposób jednoznaczny” weryfikacji tożsamości Skarżącego.
3. […] września 2017 r. do NFZ wpłynęło pismo Skarżącego ponownie wzywające do usunięcie danych dotyczących zrealizowanych świadczeń opieki zdrowotnej oraz zrealizowanych recept z baz danych NFZ.
4. NFZ w dniu […] listopada 2017 r. w odpowiedzi na pismo Skarżącego wskazał, iż dokonywane przez niego przetwarzanie danych „nie wymaga zgody osoby, której dane dotyczą”, a także iż Skarżący „nie może żądać usunięcia danych tylko z tego względu, że w jego subiektywnej ocenie dane te nie są należycie kontrolowane i zabezpieczone przed dostępem osób trzecich”.
5. NFZ w złożonych w sprawie wyjaśnieniach, zaznaczył iż posiada prawo do przetwarzania danych osobowych Skarżącego na podstawie art. 188 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych w celu m.in. kontroli zasad legalności, gospodarności, rzetelności i celowości udzielania świadczeń zdrowotnych.
6. NFZ poinformował także, że pozyskał dane osobowe Skarżącego w oparciu o art. 189 ust. 2 Ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (których zakres został szczegółowo określony przez Ministra Zdrowia na podstawie upoważnienia ustawowego określonego w art. 190 ust. 1 i 2 przedmiotowej ustawy), otrzymując je od świadczeniodawców, którzy zobligowani są do gromadzenia i przekazywania NFZ danych o których mowa ww. przepis.

Po zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), zwanej dalej ustawą z 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r. zgodnie z zasadami określonymi w ustawie z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej Kpa.  Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.

Dodatkowo konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Ponadto, w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07, Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Podkreślenia wymaga, że decydujące znaczenie dla rozstrzygnięcia jakie musi być wydane w przedmiotowej sprawie ma okoliczność, że przetwarzanie danych osobowych Skarżącego rozpoczęło się co prawda w okresie obowiązywania ustawy z 1997 r., ale jest obecnie kontynuowane. Stwierdzić zatem należy, że właściwe w przedmiotowej sprawie jest zastosowanie przepisów obowiązujących w czasie wydawania rozstrzygnięcia sprawy tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwane dalej RODO, ponieważ Prezes Urzędu Ochrony Danych Osobowych musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem.

Zgodnie z art. 2 ustawy o świadczeniach opieki zdrowotnej finansowanej ze środków publicznych z dnia 27 sierpnia 2004 r. (Dz. U. 2018 r. poz. 1510 ze zm.), zwaną dalej ustawą o świadczeniach, świadczeniobiorcą jest osoba uprawniona do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych na zasadach określonych w ustawie o świadczeniach.

Wskazać należy, że dane osobowe Skarżącego, jako świadczeniobiorcy dotyczące zrealizowanych recept na lekarstwa i zrealizowanych świadczeń medycznych mieszczą się w zakresie danych osobowych przetwarzanych centralnie przez NFZ. Zgodnie bowiem z art. 188c ustawy o świadczeniach NFZ zobowiązany jest do prowadzenia i utrzymywania elektronicznego systemu monitorowania programów lekowych. Uznać zatem należy, że administratorem powyższych danych zawartych w tym systemie i jednocześnie stroną niniejszego postępowania jest NFZ reprezentowany przez Prezesa NFZ. Gromadzone przez NFZ dane w zakresie obrotu lekami, środków spożywczych specjalnego przeznaczenia żywieniowego, wyrobów medycznych objętych refundacją, wynikającą ze zrealizowanych recept wystawionych przez osobę uprawnioną w tym dane ubezpieczonego przekazywane są NFZ przez apteki na podstawie art. 45 ust. 1 i 2 ustawy z dnia 12 maja 2011 r. o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych  (Dz. U. 2017 r. poz. 1844).

Odnosząc się do zarzutów nieprawidłowego przetwarzania danych osobowych Skarżącego przez NFZ wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych dane dotyczące zrealizowanych świadczeń medycznych oraz zrealizowanych recept na lekarstwa są danymi osobowymi o stanie zdrowia w rozumieniu art. 9 ust. 1 RODO. Przesłanki, które stanowią o legalności ich przetwarzania znajdują się w art. 9 ust. 2 RODO. Dopuszczają one przetwarzanie danych osobowych m.in. gdy przetwarzanie danych o których mowa w ust. 1 ww. artykułu jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (lit. h).

NFZ pozyskał dane osobowe Skarżącego w oparciu o art. 188 ustawy o świadczeniach, który reguluje jakie dane osobowe w ramach powszechnego ubezpieczenia zdrowotnego mogą być przetwarzane przez NFZ, a także wyznacza cele w ramach których dane te mogą być przetwarzane.  Ustęp 2c ww. artykułu w sposób bezpośredni uprawnia NFZ do uzyskiwania i przetwarzania danych osobowych powiązanych z wystawieniem recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne oraz ich realizację w aptece.

NFZ jest ponadto zobowiązany do gromadzenia danych przekazywanych przez świadczeniodawców, którzy zawarli z NFZ umowę o udzielanie świadczeń opieki zdrowotnej na podstawie art. 189 ust. 2 ustawy o świadczeniach szczegółowo uregulowany w Rozporządzeniu Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (Dz. U. 2016, poz.192 z późn. zm.).

Skarżący w swojej skardze żądał usunięcia swoich danych osobowych z baz danych NFZ na podstawie art. 32 ust. 1 pkt 6 ustawy z 1997 r. Zgodnie z tym przepisem osobie służyło prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są one zbędne do realizacji celów, dla których zostały zebrane. Skarżący nie wykazał, iż zgromadzone przez NFZ jego dane osobowe stały się niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, czy też były zbędne do realizacji celów do których zostały zebrane. Ponadto NFZ był upoważniony do ich przetwarzania na mocy przepisów ustawy o świadczeniach, co stanowiło wypełnienie przesłanki legalizującej proces przetwarzania danych osobowych, na podstawie art. 27 ust. 2 pkt 2 ustawy z 1997 r., zgodnie z którym przetwarzanie danych „wrażliwych” bez zgody osoby, której dane te dotyczą było dopuszczalne, gdy przepisy szczególne innej ustawy zezwalały na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzały pełne gwarancje ich ochrony. Wskazać należy, że proces przetwarzania danych osobowych w dniu wydania decyzji ma natomiast oparcie w przesłance art. 9 ust. 2 lit. h) RODO. W takiej sytuacji NFZ nie potrzebował jak i nie potrzebuje zgody Skarżącego na przetwarzanie jego danych, gdyż przetwarza je na podstawie przepisów prawa.

Odnośnie udostępnienia danych osobowych Skarżącego przez NFZ na rzecz osób trzecich zauważyć należy, iż zgodnie z brzmieniem art. 36 ust. 1 ustawy z 1997 r., administrator danych był obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczenie. Prawidłowe zarządzanie przetwarzanymi danymi osobowymi, zwłaszcza w aspekcie ich zabezpieczenia, wymaga właściwej identyfikacji tych danych osobowych oraz określenia miejsca i sposobu ich przechowywania. Wybór zaś odpowiednich, dla poszczególnych zasobów, metod zarządzania ich ochroną i dystrybucją, zależny jest od zastosowanych nośników informacji, rodzaju zastosowanych urządzeń, sprzętu komputerowego i oprogramowania.

Zauważyć należy, iż Prezes UODO nie dysponuje żadnymi dowodami na potwierdzenie nieuprawnionego udostępnienia danych osobowych Skarżącego podmiotom trzecim. Skarżący poinformował o praktyce udostępniania jego danych dokonywanej przez NFZ od kilku lat, nie przedstawił jednak żadnych dowodów na potwierdzenie stawianych tez.

Z uwagi, iż analiza zgromadzonego materiału dowodowego nie potwierdziła zarzutu Skarżącego, należy podnieść, że organ administracji publicznej może uznać stan faktyczny rozpatrywanej sprawy za ustalony jedynie na podstawie nie budzących wątpliwości dowodów i nie może poprzestać w tym zakresie na uprawdopodobnieniu chyba, że przepisy ustawy z dnia 14 czerwca 1960 r. Kpa. Jak stwierdził Naczelny Sąd Administracyjny w wyroku z dnia 9 lipca 1999 r. (sygn. III SA 5417/98) „organ prowadzący postępowanie musi dążyć do ustalenia prawdy materialnej i według swej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenić wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności”.

Mając na uwadze powyższe stwierdzić należy, iż w toku postępowania wyjaśniającego nie stwierdzono nieuprawnionego pozyskania danych osobowych Skarżącego przez NFZ. Tym samym brak jest dowodów umożliwiających stwierdzenie naruszenia przepisów dotyczących ochrony danych osobowych. Skarżący również nie przedstawił takich dowodów w toku niniejszego postępowania.

Zaznaczyć należy, że postępowanie administracyjne prowadzone przez Prezesa UODO na podstawie ustawy z 1997 r. jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r. w związku z art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. (Dz. U. 2018 r. poz. 1000). Jak wynika z brzmienia art. 18 ust. 1 ustawy z 1997 r., w przypadku naruszenia przepisów o ochronie danych osobowych, organ do spraw ochrony danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usuniecie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6). Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 ustawy z 1997 r. służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego przed dniem 25 maja 2018 r. były przetwarzane przez NFZ w sposób niezgodny z przepisami ustawy z 1997 r. Skarżony proces znajdował bowiem oparcie w  przesłance określonej w art. 27 ust. 2 pkt 2 ustawy z 1997 r. Obecnie natomiast NFZ przetwarzając dane osobowe Skarżącego legitymuje się przesłanką określoną w art. 9 ust. 2 lit. h) RODO.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub o prawo pomocy.