DS.523.1436.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tj. Dz. U. z 2022 r. poz. 2000) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 5 ust. 1 lit. a i b, art. 9 ust. 1 i 2 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani K. G. (ul. (…) W.), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez W. z siedzibą w W., polegające na uzyskaniu przez Panią (…) K. P. dostępu do jej danych osobowych przetwarzanych na Platformie U., Prezes Urzędu Ochrony Danych Osobowych 

1)    udziela W. z siedzibą w W., upomnienia za naruszenie art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a oraz b RODO, polegające na uzyskaniu (…) stycznia 2022 r. dostępu do danych osobowych Pani K. G. (ul. (…) W.) bez podstawy prawnej, pozyskanych z Platformy U. z siedzibą w W., z wykorzystaniem wewnętrznego systemu teleinformatycznego A.;

2)    w pozostałym zakresie odmawia uwzględnienia wniosku. 

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani K. G. (ul. (…) W.), zwanej dalej Skarżącą, reprezentowanej przez Panią A. S. (ul. (…) P.), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez W. z siedzibą w W., zwany dalej W., polegające na uzyskaniu przez Panią (…) K. P. dostępu do jej danych osobowych przetwarzanych na Platformie U.

W treści skargi pełnomocnik Skarżącej wskazała, że Skarżąca otrzymała z poczty Portalu U. dwie wiadomości, z których wynika, że (…) stycznia 2022 r. lekarz K. P. uzyskała dostęp do danych Skarżącej, który nie został zakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem. W skardze podkreślono, że Skarżąca nie była pacjentką lekarz K. P., a ta mimo to posłużyła się numerem PESEL Skarżącej i w konsekwencji uzyskała, za pośrednictwem P., dostęp do danych osobowych Skarżącej. Skarżąca nie wyklucza, że (...) K. P. uzyskała dostęp do jej danych osobowych za pośrednictwem systemu do obsługi danych medycznych, stosowanego przez pracodawcę – A.

Wobec powyższego Skarżąca wniosła o pozbawienie ww. osoby przetwarzającej dane /administratora danych prawa do przetwarzania jej danych osobowych. 

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy i ustalił następujący stan faktyczny:

1. Skarżąca otrzymała dwa powiadomienia z P. o treści „W dniu 2022-01-(…) lekarz K. P. (nr prawa wykonywania zawodu (…)) uzyskał dostęp do twoich danych, nie zakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem” (dowód: kopie ww. wiadomości).
2. (...) K. P. nie była i nie jest lekarzem leczącym Skarżącą (dowód: skarga z (…) lutego 2022 r.).
3. Skarżąca jest zatrudniona w W. w (…) na stanowisku (…). Pani (...) K. P. jest (…) i bezpośrednią przełożoną Skarżącej, odpowiedzialną za organizację pracy oraz zapewnienie ciągłości udzielania świadczeń opieki zdrowotnej realizowanych na tym oddziale. Pani K. P. nadano upoważnienie do przetwarzania danych osobowych, w tym w systemach informatycznych, pracowników (…) niezbędnych dla zapewnienia ciągłości działania oddziału (dowód: wyjaśnienia W. z (…) marca 2022 r., kopia upoważnienia do przetwarzania danych osobowych nr (…)).
4. Jak wyjaśnił W., cyt.: „Pani (...) K. P. w celu weryfikacji grafików czasu pracy podległego jej personelu, dokonała przeglądu grafiku czasu pracy Skarżącej w wewnętrznym systemie X. identyfikując rozbieżności między zgłoszeniem, a tym grafikiem. Korzystała przy tym z funkcjonalności wdrożonego w W. systemu teleinformatycznego A., który zapewnia dostęp do listy zwolnień. W następstwie dokonanej przez Panią (…) K. P. weryfikacji system teleinformatyczny A. spowodował automatyczne połączenie się z kontem ZUS Skarżącej, a w konsekwencji Skarżąca otrzymała z konta ZUS stosowny komunikat, co jest prawidłową funkcjonalnością tych systemów (…) system teleinformatyczny A. jest systemem medycznym, który wobec elektronizacji działań w obszarze medycznym posiada możliwość zapytania innych systemów, w tym krajowych (np. system ZUS) o dane osoby ubezpieczonej. Udostępnienie danych między systemami w większości odbywa się o login i hasło uprawnionego do tego działania użytkownika systemu A. (np. lekarza). Oznacza to, że w przypadku użytkownika wewnętrznego systemu A. w systemie ZUS odnotowane zostanie o zapytaniu wykonanym przez system użytkownika A. – czyli na przykład przez lekarza. Uwzględniając powyższe w portalu ZUS nie nastąpi odnotowanie akcji aktualizacji wykazu zwolnień wystawionych Pacjentowi/Pacjentce tylko zostanie odnotowany dostęp do danych przez uprawnionego przez ZUS Użytkownika” (dowód: wyjaśnienia W. z (…) marca 2022 r.).
5. W. jednoznacznie oświadczył, że (...) K. P. nie uzyskała dostępu do konta P. Skarżącej (dowód: wyjaśnienia W. z (…) marca 2022 r.).
6. W związku z dokonanym przez Skarżącą zgłoszeniem dotyczącym naruszenia jej danych osobowych, W. przeprowadził postępowanie wyjaśniające, w toku którego ustalił,  że (...) K. P. korzystała wyłącznie z systemu teleinformatycznego A. W ocenie W. ww. nie zapoznała się z danymi szczególnej kategorii, a jedynie przetwarzała dane osobowe, o których mowa w art. 22¹ k.p. (dowód: wyjaśnienia W. z (…) marca 2022 r.).
7. W. oświadczył również, że przełożony Pani (...) K. P., (…) Pan (...) P. K. zwrócił jej uwagę na nieodpowiedni tryb weryfikacji zwolnienia lekarskiego Skarżącej, jednocześnie wydał zalecenie, aby weryfikacja terminów zwolnień lekarskich, czy innych przyczyn nieobecności odbywało się za pośrednictwem Działu Kadr W. (dowód: wyjaśnienia W. z (…) marca 2022 r.).
8. W. wydal komunikat dla personelu mającego dostęp do systemu teleinformatycznego A. o zasadach prawidłowego jego wykorzystywania, w tym o odpowiedzialności karnej i cywilnej za naruszenie ustawowych obowiązków (dowód: wyjaśnienia W. z (…) marca 2022 r., kopia ww. komunikatu). 

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności zaznaczyć należy, że za „dane osobowe” w rozumieniu art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), z dalej RODO uważa sięinformacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Natomiast „przetwarzanie danych” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Zgodnie z motywem 35 RODO, do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 9; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Zgodnie  z art. 4 pkt 15 RODO dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, dane osobowe w zakresie informacji o nieobecności w pracy z uwagi na zwolnienie lekarskie mieszczą się w zakresie szczególnych kategorii danych osobowych, ze względu na to, że ujawniają one informacji  o stanie zdrowia pracownika, tj. przyczynie związanej z tym stanem uniemożliwiającym pracownikowi wykonywanie pracy. Przetwarzanie tego rodzaju danych uregulowane zostało  w art. 9 RODO, który co do zasady zakazuje przetwarzania danych szczególnych kategorii  (ust. 1), chyba że spełniona jest jedna z przesłanek enumeratywnie wymienionych w art. 9 ust. 2 RODO. Przetwarzanie tego rodzaju danych jest legalne m. in. wtedy gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO) oraz gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami  i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia  i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (art. 9 ust. 2 lit. h RODO).

Jednocześnie, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Na podstawie art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane m.in. zgodnie z prawem (lit. a); zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (lit. b); adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (lit. c) oraz przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem za pomocą odpowiednich środków technicznych lub organizacyjnych (lit. f). Na podstawie art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie.

Na podstawie art. 54 ust. 1 ustawy z 25 czerwca 1999 r. o świadczeniach pieniężnych  z ubezpieczenia społecznego w razie choroby i macierzyństwa (tj. Dz. U. z 2022 r. poz. 1732), zwanej dalej ustawą zasiłkową, ZUS upoważnia do wystawiania zaświadczeń lekarskich  o czasowej niezdolności do pracy z powodu choroby, pobytu w szpitalu albo innym zakładzie leczniczym podmiotu leczniczego wykonującego działalność leczniczą w rodzaju stacjonarne  i całodobowe świadczenia zdrowotne, lekarza, lekarza dentystę, felczera lub starszego felczera, po złożeniu, w formie określonej w tym przepisie oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z przepisów ustawy i przepisów o ochronie danych osobowych.

Na podstawie art. 55a ust. 2 ustawy zasiłkowej ZUS w celu wystawienia zaświadczenia lekarskiego udostępnia bezpłatnie wystawiającemu zaświadczenie lekarskie na jego profilu informacyjnym dane zgromadzone w prowadzonych na podstawie ustawy o systemie ubezpieczeń społecznych, m.in.: Centralnym Rejestrze Ubezpieczonych (pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego), Centralnym Rejestrze Płatników Składek (nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL), a także informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1 ustawy zasiłkowej oraz o zaświadczeniach, o których mowa w art. 59 ust. 8 ustawy zasiłkowej. Zgodnie natomiast z art. 55a ust. 3 ww. ustawy dane i informacje, o których mowa powyżej, ZUS udostępnia po podaniu przez wystawiającego zaświadczenie lekarskie numeru PESEL ubezpieczonego albo serii i numeru paszportu, jeżeli ubezpieczonemu nie nadano numeru PESEL.

W przedmiotowej sprawie Skarżąca zarzuciła, że (...) K. P., jako jej bezpośredni przełożony, uzyskała nieuprawniony dostęp do jej danych osobowych przetwarzanych na Platformie U. W toku postępowania ustalono, że ww. w celu weryfikacji grafików czasu pracy podległego jej personelu skorzystała z funkcjonalności wdrożonego w W. systemu teleinformatycznego A., który zapewnia dostęp do listy zwolnień lekarskich. (...) K. P. nie logowała się, w tym celu, bezpośrednio do systemu Z., jednak ww. system A. spowodował automatyczne połączenie się z kontem ZUS Skarżącej. Z powyższego wynika, że (...) K. P. uzyskała dostęp do danych osobowych Skarżącej przetwarzanych na P., niezależnie od sposobu logowania. Fakt ten jednoznacznie potwierdza informacja wygenerowana przez ZUS, którą otrzymała Skarżąca.

Z materiału dowodowego zgromadzonego w przedmiotowej sprawie wynika, że (...) K. P. nie pozyskiwała informacji dotyczących Skarżącej z A. w celach związanych ze świadczeniem usług medycznych, bowiem nie była lekarzem Skarżącej. Zauważyć należy, że nie ma przepisów, które legalizowałyby pozyskiwanie przez lekarzy dostępu do danych osobowych za pośrednictwem systemów medycznych, w celu innym niż udzielanie świadczeń medycznych. Brak jest również przepisów, które legalizowałyby pozyskiwanie przez lekarzy dostępu do danych osobowych za pośrednictwem P. w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Podkreślić należy, że dane osobowe przetwarzane w systemach medycznych dotyczą stanu zdrowia pacjentów, zatem danych, które podlegać powinny szczególnej ochronie.

W. jako administrator, musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby był on zgodny z przepisami prawa. Musi też mieć pełną wiedzę na temat całości procesu przetwarzania danych oraz musi weryfikować zachowania pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych. Prezes Urzędu Ochrony Danych Osobowych podziela, aktualne na gruncie RODO, stanowisko Naczelnego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 4 kwietnia 2003 r., (II SA 2935/02),  że za działania swoich pracowników w zakresie naruszenia ustawy z dnia 29 sierpnia 1997 r.  o ochronie danych osobowych odpowiada administrator.

Mając na uwadze powyższe w ocenie Prezesa Urzędu Ochrony Danych Osobowych, w przedmiotowej sprawie doszło do niezgodnego z prawem przetwarzania danych osobowych Skarżącej, pozyskanych z Platformy U. z siedzibą w W., z wykorzystaniem wewnętrznego systemu teleinformatycznego A. Oznacza to, że w analizowanym przypadku doszło do naruszenia art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a oraz b RODO. Na podstawie art. 58 ust. 2 RODO Prezesowi Urzędu Ochrony Danych Osobowych przysługują uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b). Mając powyższe na uwadze, Prezes Urzędu Ochrony danych Osobowych uznał, że w realiach niniejszej sprawy właściwe jest zastosowanie wobec W. upomnienia za ww. stwierdzone naruszenie przepisów o ochronie danych osobowych.

Odnosząc się natomiast do żądania Skarżącej zaprzestania przetwarzania jej danych osobowych przez administratora, wskazać należy, że nie jest to możliwe. Jak bowiem ustalono w toku postępowania Skarżącą łączy z W. stosunek pracy. Powstanie stosunku pracy generuje po stronie pracodawcy szereg obowiązków związanych z dokumentowaniem przebiegu pracy pracownika, w tym prawo do wynagrodzenia w czasie niezdolności do pracy. Zgodnie z kolei  z § 3 pkt 1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 15 maja 1996 r. w sprawie sposobu usprawiedliwiania nieobecności w pracy oraz udzielania pracownikom zwolnień od pracy (tj. Dz. U z 2014 r. poz. 1632), dowodami usprawiedliwiającymi nieobecność w pracy są m.in. zaświadczenie lekarskie, o którym mowa w art. 55 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa.

Mając na uwadze powyższe W., jako pracodawca Skarżącej, jest zobowiązany do przetwarzania danych osobowych Skarżącej dotyczących wystawionych jej zwolnień lekarskich, co mieści się w przesłance wynikającej z art. 9 ust. 2 lit. b RODO. Odnosząc się do przetwarzania danych osobowych Skarżącej w ww. zakresie przez (…) K. P., wskazać należy, że ww. została upoważniona przez administratora do przetwarzania danych osobowych pracowników (…) niezbędnych do zapewnienia ciągłości działania oddziału, na podstawie art. 29 RODO, zgodnie z którym podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Nadmienić jednak należy, że zgodnie z art. 58 ust. 1 ustawy zasiłkowej Zakład Ubezpieczeń Społecznych udostępnia bezpłatnie zaświadczenie lekarskie płatnikowi składek na profilu informacyjnym płatnika składek, bez informacji, o której mowa w art. 55 ust. 3 pkt 9, nie później niż w dniu następującym po dniu otrzymania zaświadczenia lekarskiego. Zatem zakres danych pozyskanych przez płatnika składek jest węższy i nie zawiera numeru statystycznego choroby ubezpieczonego ustalonego według Międzynarodowej Statystycznej Klasyfikacji Chorób i Problemów Zdrowotnych. Ponadto płatnik składek nie pozyskuje wówczas dostępu do informacji o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, kiedy nie łączył go z ubezpieczonym stosunek pracy.

Z tego powodu w tym zakresie Prezes Urzędu Ochrony Danych Osobowych odmówił uwzględnienia wniosku Skarżącej, bowiem nie jest możliwe wydanie na W. generalnego zakazu przetwarzania danych osobowych Skarżącej dotyczących zwolnień lekarskich.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. 

POUCZENIE Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2022 r., poz. 329 ze zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.