>Decyzje Giodo>2009 >

DIS/DEC – 933/34056/09 dot. DIS-K-421/103/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 18 września 2009 r.

DECYZJA

Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6 i art. 22 w związku z art. 23 ust. 1 pkt 1 i art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Niepubliczny Zakład Opieki Zdrowotnej „XX” z siedzibą w (…),

I. Nakazuję Niepublicznemu Zakładowi Opieki Zdrowotnej „XX” z siedzibą w (…), przywrócenie stanu zgodnego z prawem, poprzez: usunięcie danych osobowych pacjentów, poprzednio przypisanych do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) - Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika (…) w (…), które przetwarzane są bez zgody osoby, której dane dotyczą, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
II. W pozostałym zakresie postępowanie umarzam.

Uzasadnienie

Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w Niepublicznym Zakładzie Opieki Zdrowotnej „XX” z siedzibą w (…) (zwanym dalej także NZOZ „XX”), kontrolę zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych(sygn. akt DIS-K-421/103/09), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych(Dz. U. Nr 100, poz. 1024).
W toku kontroli odebrano od pracowników NZOZ „XX” ustne wyjaśnienia, skontrolowano systemy informatyczne służące do przetwarzania danych osobowych oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli (sygn. akt DIS-K-421/103/09), który został podpisany przez Kierownika NZOZ „XX”.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych NZOZ „XX” naruszył przepisy o ochronie danych osobowych.
Uchybienia te polegały na:
1. Przetwarzaniu bez podstawy prawnej, o której mowa w art. 23 ust. 1 pkt 1 ustawy, tj. bez zgody osoby, której dane dotyczą, danych osobowych pacjentów, którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) - Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w (…),
2. Niezapewnieniu kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone (art. 38 ustawy).
W związku z powyższym pismem z dnia 31 lipca 2009 r. (sygn. DIS-K-421/103/09/28008), zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, NZOZ „XX” został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego NZOZ „XX” pismem z dnia 11 sierpnia 2009 r. przesłał wyjaśnienia w zakresie stwierdzonych uchybień.
Z udzielonych wyjaśnień wynika, że:
1. Deklaracja wyboru jest deklaracją wyboru lekarza i pielęgniarki. Skład osobowy personelu medycznego NZOZ „XX” jest w 90 % identyczny ze składem osobowym Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…). W ocenie NZOZ „XX” pacjenci Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w(…), swoimi oświadczeniami woli dokonali wyboru danego lekarza i pielęgniarki. Według oceny NZOZ „XX” nie jest istotne, w którym podmiocie dany personel medyczny obecnie jest zatrudniony, albowiem pacjent wybiera danego lekarza i pielęgniarkę, a nie podmiot ich zatrudniający.
2. Samodzielny Szpital Wojewódzki im. M. Kopernika w (…) z siedzibą w(…), jest w posiadaniu dokumentacji potwierdzającej wydanie na rzecz NZOZ „XX” dokumentacji medycznej pacjentów, którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…).
3. Dotychczas każdorazowe pozyskanie z ww. Szpitala dokumentacji medycznej pacjentów, (którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w(…)), następowało na pisemny wniosek NZOZ „XX”. Natomiast pozyskana z ww. Szpitala dokumentacja medyczna została skatalogowana i opisana przez NZOZ „XX”.
Ponadto, w dniu 17 sierpnia 2009 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo z dnia 14 sierpnia 2009 r. (znak: 7/2009) NZOZ „XX”, do którego załączono pismo z dnia 10 sierpnia 2009 r. (znak: SSW I-0114/79/09) Dyrektora Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w(…), z treści, którego wynika
m.in., iż:
- w dniu 10 września 2007 r. NZOZ „XX” zwrócił się z prośbą do Szpitala, w sprawie przekazania opieki medycznej nad całą populacją pacjentów Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…). W odpowiedzi na ww. pismo Kierownik NZOZ „XX”, został poinformowany, iż „jednostka służby zdrowia nie jest dysponentem pacjentów zadeklarowanych do lekarzy udzielających świadczeń zdrowotnych w tej jednostce, a wyboru lekarza pacjent dokonuje samodzielnie”,
- pismem z dnia 16 grudnia 2007 r. kierownik NZOZ „XX” zwrócił się z prośbą do Szpitala o „zczytanie” bazy danych pacjentów Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) w wersji elektronicznej. Na powyższe Dyrektor ww.
Szpitala nie wyraził zgody, natomiast poinformował „o konieczności stworzenia własnej bazy danych, na podstawie deklaracji pacjentów złożonych do danego NZOZ”,
- pismem z dnia 3 stycznia 2008 r. Kierownik NZOZ „XX”, zwrócił się do Szpitala o użyczenie dokumentacji medycznej pacjentów sukcesywnie deklarujących się do NZOZ „XX”. W związku z tym pismem dokumentacja medyczna ze Szpitala była sukcesywnie przekazywane na podstawie list pacjentów sporządzanych przez NZOZ „XX”.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 23 ust. 1 pkt 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę chyba, że chodzi o usunięcie dotyczących jej danych.
Natomiast, zgodnie z art. 7 pkt 5 ustawy, ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
W toku kontroli ustalono, iż NZOZ „XX” nie pozyskał zgody na przetwarzanie danych osobowych (w postaci pisemnych oświadczeń woli tzw. deklaracji wyboru) od pacjentów, którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) - Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika (…).
Ponadto, w toku oględzin stwierdzono, iż NZOZ „XX” przechowuje „deklaracje wyboru”, które nie zawierają podpisu osoby uprawnionej do świadczeń zdrowotnych. Deklaracje te zawierają dane osobowe w następującym zakresie: imię i nazwisko, Nr ewidencyjny PESEL, płeć, data urodzenia, adres zamieszkania.
Odnosząc się do wyjaśnień NZOZ „XX” złożonych pismem z dnia 11 sierpnia 2009 r. stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, nie można zgodzić się z argumentacją, iż deklaracje wyboru (lekarzy, pielęgniarek i położnych) złożone przez pacjentów, poprzednio przypisanych do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…)- Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w (…), są również prawnie skuteczne względem NZOZ
„XX”.
Zgodnie, bowiem z art. 56 ust. 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. 2008 Nr 164 poz. 1027) wybór lekarza, pielęgniarki i położnej podstawowej opieki zdrowotnej świadczeniobiorca potwierdza pisemnym oświadczeniem woli, zwanym dalej „deklaracją wyboru”. Natomiast zgodnie z art. 56 ust. 2 ww. ustawy deklaracja wyboru zawiera m.in., dane dotyczące świadczeniobiorców, dane dotyczące lekarza, pielęgniarki i położnej podstawowej opieki zdrowotnej takie jak: imię i nazwisko, siedzibę świadczeniodawcy udzielającego świadczeń z zakresu podstawowej opieki zdrowotnej, miejsce udzielania świadczeń opieki zdrowotnej, datę dokonania wyboru, podpis świadczeniobiorcy lub jego opiekuna prawnego.
Z powyższego wynika, iż świadczeniobiorca składając „deklaracją wyboru” wskazuje zarówno dane dotyczące lekarza, pielęgniarki i położnej podstawowej opieki zdrowotnej, jak również wskazuje siedzibę świadczeniodawcy udzielającego świadczeń z zakresu podstawowej opieki zdrowotnej jak również miejsce udzielania tych świadczeń.
W związku z powyższym należy jednoznacznie stwierdzić, iż byli pacjenci Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) - Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w (…), mogą być pacjentami NZOZ „XX”, tylko pod warunkiem że złożą „deklaracje wyboru” na rzecz lekarza, pielęgniarki i położnej zatrudnionych obecnie u świadczeniodawcy jakim jest NZOZ „XX”.
Wskazać również należy, iż stanowisko Generalnego Inspektora Ochrony Danych Osobowych podzielił w piśmie z dnia 10 sierpnia 2009 r. Dyrektor Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w (…). Z treści ww. pisma jednoznacznie bowiem wynika, iż NZOZ „XX” może stworzyć bazę własnych pacjentów, jedynie na podstawie deklaracji wyboru złożonych przez pacjentów na rzecz NZOZ „XX”.
Ponadto, należy również zwrócić uwagę, iż z § 5 Statutu Niepublicznego Zakładu Opieki Zdrowotnej „XX” wynika, iż NZOZ „XX” udziela świadczeń zdrowotnych ogółowi ludności, nie naruszając prawa wyboru lekarza, czy zakładu opieki zdrowotnej przez osoby uprawnione do świadczenia zdrowotnego.
Podsumowując powyższe stwierdzić należy, iż dane pacjentów, którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w (…) - Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika (…), a którzy nie złożyli „deklaracji wyboru” na rzecz NZOZ „XX”, są przetwarzane przez NZOZ „XX” bez podstawy prawnej, o której mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tj. bez zgody osoby, której dane dotyczą.
Jednocześnie na podstawie złożonych przez NZOZ „XX” dowodów w postaci wyjaśnień, o których mowa powyżej i przesłanych dokumentów, należy uznać, iż pozostałe uchybienie w procesie przetwarzania danych osobowych, stanowiące przedmiot niniejszego postępowania zostało usunięte, tj. administrator danych zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone, gdyż jak wynika z pisma Kierownika NZOZ „XX” z dnia 11 sierpnia 2009 r. stanowiącego odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego - każdorazowe pozyskanie z Samodzielnego Szpitala Wojewódzkiego im. M. Kopernika w (…) dokumentacji medycznej pacjentów, (którzy poprzednio byli przypisani do Przychodni nr 1 Podstawowej Opieki Zdrowotnej z siedzibą w(…) ), następuje na pisemny wniosek NZOZ „XX”. Taki sposób postępowania z dokumentacją medyczną ww. pacjentów potwierdził Dyrektor ww. Szpitala w piśmie z dnia 10 sierpnia 2009 r., (znak: SSW I -0114/ 79/09). Ponadto, z wyjaśnień Kierownika NZOZ „XX” wynika, iż pozyskana z ww. Szpitala dokumentacja medyczna pacjentów została skatalogowana i opisana przez NZOZ „XX”.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz1029/97).
Z uwagi na to, iż zapewniona jest kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru, postępowanie w tym zakresie należało umorzyć.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.