Pytanie
 
Lekarz, który był zatrudniony w podmiocie leczniczym na umowę na czas nieokreślony, miał dodatkową umowę zlecenia na okres 6 miesięcy na wykonanie poza godzinami pracy dodatkowych badań w ramach programu zdrowotnego. Umowa zlecenia zakończyła się w końcu roku, a w połowie następnego roku lekarz rozwiązał umowę o pracę. Po jej rozwiązaniu wystąpił do sądu o dodatkową zapłatę twierdząc, że wykonał więcej badań i dlatego należy mu się wyrównanie. Szpital odmówił, gdyż badania które lekarz wykonywał, odbywały się w normalnym czasie pracy. Lekarz pozwał szpital o zapłatę i do pozwu dołączył wykaz imienny pacjentów, zażądał też dokumentacji medycznej na potwierdzenie swoich żądań. Na powyższe nie miał zgody pacjentów.

Czy w przedstawionym stanie faktycznym lekarz naruszył ustawę o ochronie danych osobowych i czy powinniśmy udostępnić sadowi dokumentacje medyczną 60 pacjentów, skoro nie ma ich zgody, zaś lekarz w sposób bezprawny posługuje się nazwiskami pacjentów na swoje prywatne cele?

Czy należy zawiadomić prokuraturę o podejrzeniu popełnienia przestępstwa?
 
Odpowiedź
 
Zgodnie z treścią art. 27 ust. 2 pkt 5 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych - dalej u.o.d.o., przetwarzanie danych wrażliwych, a co za tym idzie również pozostałych danych nieuznawanych za wrażliwe, jest dopuszczalne, jeśli służy to dochodzeniu praw przed sądem. Zgodnie z tym zapisem (co do zasady) lekarz jest uprawniony do przetwarzania danych osobowych dla celów dochodzenia swoich roszczeń przed sądem. Szpital nie powinien przekazywać dokumentacji medycznej lekarzowi. Co do zasady należy udostępnić dokumentację sądowi, chyba że zachodzą przypadki pozwalające na uchylenie się od tego obowiązku.
 

Uzasadnienie
 
Zgodnie z art. 6 ust. 1 i 2 u.o.d.o., za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Nadto zgodnie z art. 6 ust. 3 u.o.d.o., informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zgodnie z art. 3 u.o.d.o., ustawa o ochronie danych osobowych ma zastosowanie także do osób fizycznych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Zatem jeśli lekarz przetwarzał dane pacjentów w związku z działalnością zarobkową będzie on administratorem tych danych w rozumieniu art. 7 pkt 4 u.o.d.o. Administratorem danych pacjentów jest szpital, który jest zobowiązany do zabezpieczenia tych danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Powierzając dane osobowe lekarzowi należy sporządzić odpowiednią umowę powierzenia danych między szpitalem a lekarzem określając zakres i cel ich przetwarzania. Umowa powinna określać, co lekarz może zrobić z danymi osobowymi po zrealizowaniu lub rozwiązaniu umowy. Nie jest potrzebna zgoda pacjentów na przetwarzanie ich danych osobowych w celu ich powierzenia lekarzowi, jednakże administrator danych jest zobowiązany do poinformowania osób, których dane dotyczą, o odbiorcach lub kategoriach odbiorców, którym są one udostępniane.

Z pytania nie wynika, czy z lekarzem została podpisana stosowna umowa, ani w jaki sposób wszedł w posiadanie danych osobowych pacjentów. Wskazać jednak należy, iż zgodnie z treścią art. 27 ust. 2 pkt 5 u.o.d.o., przetwarzanie danych wrażliwych, a co za tym idzie również pozostałych danych nieuznawanych za wrażliwe, jest dopuszczalne, jeśli służy to dochodzeniu praw przed sądem. Zgodnie z tym zapisem (co do zasady) lekarz jest uprawniony do przetwarzania danych osobowych dla celów dochodzenia swoich roszczeń przed sądem.

Zgodnie z treścią art. 248 § 1 ustawy z 16 listopada 1964 roku - Kodeks postępowania cywilnego - dalej k.p.c., każdy obowiązany jest przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne. Pojęcie informacji niejawnych wyjaśnia ustawa z 5 sierpnia 2010 roku o ochronie informacji niejawnych. Są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania.

Osoba wezwana przez sąd do przedstawienia dokumentu może uchylić się od tego obowiązku, jeżeli "co do okoliczności objętych treścią dokumentu mogłaby jako świadek odmówić zeznania". Przepis ten odsyła do stosowania art. 261 § 2 k.p.c., tj. do instytucji prawa odmowy odpowiedzi na zadane pytanie. Przesłankami zaistnienia tego prawa są: groźba narażenia przez taką osobę samej siebie lub osoby bliskiej w stosunku do niej w linii i stopniu określonym w art. 261 § 1 k.p.c. na odpowiedzialność karną, hańbę, dotkliwą i bezpośrednią szkodę majątkową, a także pogwałcenie tajemnicy zawodowej lub tajemnicy spowiedzi. Jeżeli osobą wzywaną do przedstawienia dokumentu jest sama strona, to nie może ona odmówić okazania dokumentu w przypadku, gdy szkoda, na którą byłaby narażona, polegałaby na przegraniu procesu. W tym szczególnym przypadku sąd wyjątkowo może zmuszać stronę do dostarczenia dowodu dla niej niekorzystnego. Zatem szpital nie powinien przekazywać żadnej dokumentacji lekarzowi. Co do zasady należy udostępnić dokumentację sądowi, chyba, że zachodzą ww. przypadki pozwalające na uchylenie się od tego obowiązku.

Z uwagi na brak szczegółów dotyczących okoliczności w jakich lekarz wszedł w posiadanie danych osobowych pacjentów oraz czy podpisana została z nim stosowna umowa trudno jest jednoznacznie określić, czy zachodzą okoliczności skutkujące koniecznością złożenia zawiadomienia o możliwości popełnienia przestępstwa.
Kluczowym dla zagadnienia ochrony osobowych danych medycznych jest fakt, iż do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Zgodnie z art. 49 ust. 1. u.o.d.o., kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.Warunkiem koniecznym odpowiedzialności z art. 49 u.o.d.o. jest działanie na zbiorze danych osobowych. Oznacza to konieczność uprzedniego istnienia takiego zbioru lub co najmniej jego powstawanie równoległe z gromadzeniem danych. Samo zbieranie czy innego rodzaju posługiwanie się cudzymi danymi osobowymi jako takie nie jest dla wystarczające do spełnienia hipotezy z art. 49 ust. 1 u.o.d.o. Samo przechowywanie danych w postaci nieuporządkowanej nie narusza dyspozycji komentowanego artykułu.

Pozostałe przepisy dotyczące odpowiedzialności karnej administratora danych przedstawiają się następująco. Stosownie do treści art. 52 u.o.d.o., kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Zgodnie z art. 53 u.o.d.o., kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Nadto zgodnie z art. 54 u.o.d.o., kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Warto podkreślić, że przepisy te odnoszą się do administratora danych, jakim jest szpital.
 
Czytaj inne komentarze tej autorki:

Sprzedaż leków poza aptekami: warto edukować pacjentów i sprzedawców >>>

Pielęgniarka oddelegowana do filii nie musi otrzymać zwrotu kosztów dojazdu>>>

Zakaz reklamy aptek w świetle orzecznictwa z 2013 r.>>>

Zakres, zasady i tryb kontroli aptek przez NFZ >>>

Monika Kwiatkowska, radca prawny autorka książek: Prawo farmaceutyczne. Poradnik dla aptek cz. I i Prawo farmaceutyczne. Poradnik dla aptek. cz. II, specjalizacja: prawo farmaceutyczne, prawo administracyjne, prawo pracy, prawo handlowe.

Monka Kwiatkowska współpracuje też z Serwisem Prawo i Zdrowie.