II SA/Wa 80/10
2010-05-18
II SA/Wa 80/10
Orzeczenie nieprawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 21 kwietnia 2010 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 21 kwietnia 2010 r. sprawy ze skargi J. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2009 r. nr [...] w przedmiocie przetwarzania danych osobowych
1) uchyla zaskarżoną decyzję i utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r. nr [...]
2) stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości
3) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz J. B. kwotę [...] tytułem zwrotu kosztów postępowania
Uzasadnienie
Decyzją z dnia [...] sierpnia 2009 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu stosownej kontroli, mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 oraz art. 22 w związku z art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał J. B., prowadzącemu działalność gospodarczą pod firmą "[...]" z siedzibą w O. przy ul. [...], usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez usunięcie z urządzenia [...] typu [...] nr [...] danych osobowych E. K., zamieszkałego przy ul. [...] w W., od dnia, w którym decyzja ta stanie się ostateczna.
Pismem z dnia [...] września 2009 r. J. B. skierował do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy. W uzasadnieniu podniósł m.in., iż adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r. powinien być [...] J. B., ewentualnie [...] J. B. i J. B. jako przedsiębiorca - łącznie, gdyż w dacie wykonania badania [...] E. K., tj. w dniu [...] 2004 r., J. B. działał na podstawie umowy cywilnoprawnej, zawartej w dniu [...] 2002 r. Wskazał, że Centrum Medyczne [...] nie administrowało danymi osobowymi pacjenta E. K. w zakresie przeprowadzonego badania [...]. Podał, iż ze względu na konieczność wprowadzenia danych osobowych E. K. do urządzenia [...], administrował on jego danymi, jednak zostały one uzyskane bezpośrednio od pacjenta. J. B. zaznaczył również, iż badanie [...] E. K., wykonał na podstawie umowy cywilnoprawnej (umowy zlecenia), dlatego też, w jego ocenie, był on i jest zobowiązany do przechowywania dokumentacji medycznej pacjenta przez okres 20 lat, gdyż do tego zobowiązują go przepisy ustawy o zakładach opieki zdrowotnej.
Generalny Inspektor Ochrony Danych Osobowych nie znalazł podstaw do uwzględnienia wniosku o ponowne rozpatrzenie sprawy i decyzją z dnia [...] października 2009 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 kpa, utrzymał w mocy swoje poprzednie rozstrzygnięcie.
W uzasadnieniu wskazał, iż stosownie do art. 27 ust. 1 ustawy o ochronie danych osobowych, zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Natomiast zgodnie z art. 27 ust. 2 pkt 2 tej ustawy, przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony.
Organ podał, iż w toku przeprowadzonej kontroli ustalono, że badanie [...] E. K. zostało wykonane przez J. B. w dniu [...] 2004 r. w Centrum Medycznym [...]. Czynności te J. B. wykonał na podstawie umowy cywilnoprawnej, tj. umowy zlecenia nr [...], zawartej w dniu [...] 2002 r. pomiędzy J. B. a Centrum Medycznym [...]. Na podstawie zawartej umowy [...] umożliwiła zleceniobiorcy korzystanie z gabinetów Centrum Medycznego [...] w celu dokonywania konsultacji pacjentów, jak i wykonywania badań diagnostycznych. Badanie [...] E. K. zostało wykonane przy użyciu urządzenia [...] typu [...] nr [...] i w związku z tym zostały w nim zapisane dane osobowe pacjenta. Organ wskazał, iż przedmiotowa umowa została rozwiązana w dniu [...] 2006 r., natomiast w dniu [...] lutego 2007 r. nastąpiła deinstalacja ww. urządzenia w Centrum Medycznym [...]. Ponadto, jak ustalono w toku kontroli, pomimo, iż J. B., prowadzący działalność gospodarczą pod firmą "[...]" z siedzibą w O. przy ul. [...], nie współpracuje już z Centrum Medycznym [...], to nadal przechowuje w tym urządzeniu dane osobowe E. K.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustalonego stanu faktycznego oraz w oparciu o obowiązujące przepisy prawa, stwierdzić należy, że dane osobowe E. K. - pacjenta Centrum Medycznego [...], są przetwarzane przez stronę bez podstawy prawnej, o której mowa w art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Ponadto, zdaniem organu, odnosząc się do argumentacji podniesionej we wniosku o ponowne rozpatrzenie sprawy, nie można uznać, iż administratorem danych pacjentów, pozyskanych w związku z wykonywaniem badań [...] przy użyciu przedmiotowego urządzenia w ramach realizacji zawartej umowy zlecenia, jest J. B. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o administratorze danych, rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wskazał, iż w przedmiotowej sprawie administratorem danych pacjentów (w tym danych E. K.), badanych przy użyciu urządzenia [...] w związku z realizacją ww. umowy zlecenia, jest Centrum Medyczne [...], gdyż podmiot ten, zawierając przedmiotową umowę, decydował o celach i środkach przetwarzanych danych osób, o których mowa powyżej. Ponadto, z treści przedmiotowej umowy zlecenia wynika, iż J. B. zobowiązany jest do przestrzegania regulaminów obowiązujących w Centrum Medycznym [...], w tym regulaminu pracy. W ocenie organu, nie znajduje również uzasadnienia argumentacja strony, iż w związku z realizacją umowy zlecenia J. B. był i jest zobowiązany do przechowywania dokumentacji medycznej pacjentów, którzy zostali poddani badaniom za pomocą ww. urządzenia, gdyż z treści § 3 pkt 2 umowy zlecenia wynika, iż to Centrum Medyczne [...] zobowiązane jest do ewidencjonowania i przechowywania dokumentacji medycznej pacjentów. Ponadto, powołując się na treść § 44 ust. 1 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania (Dz. U. 2006 r. Nr 247 poz. 1819), organ stwierdził, iż z przepisu tego jednoznacznie wynika, że dokumentacja medyczna wewnętrzna przechowywana jest w zakładzie opieki zdrowotnej, w którym została sporządzona.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję J. B., prowadzący działalność gospodarczą pod firmą "[...]" z siedzibą w O. przy ul. [...], zarzucił organowi naruszenie przepisów postępowania administracyjnego, tj. art. 6, art. 7, art. 8, art. 80 oraz art. 107 kpa. Powołując się na argumentację przedstawioną we wniosku o ponowne rozpatrzenie sprawy, skarżący wniósł o uchylenie zaskarżonej, jak również poprzedzającej ją decyzji oraz o zasądzenie kosztów postępowania według norm przepisanych. Podniósł ponadto, iż jego wiedza, nabyta w trakcie szkolenia posługiwania się aparatem i systemem aplikacyjnym [...], wskazuje jednoznacznie na fakt, że nie może on samodzielnie i ostatecznie usunąć danych osobowych pacjentów.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na dotychczasowe ustalenia faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej czy postanowienia. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż powinna zostać wyeliminowana z obrotu prawnego, jako wadliwa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do ustalenia, czy skarżącemu przysługiwało uprawnienie do przetwarzania zakwestionowanych przez organ danych personalnych.
W myśl przepisu art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), skarżący mógłby przetwarzać takie dane tylko wtedy, gdyby było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Obowiązek, o jakim mowa w wyżej powołanym przepisie, wynikałby dla skarżącego, wykonującego zawód lekarza, z art. 41 ust. 1 ustawy o zawodach lekarza i lekarza dentysty z dnia 5 grudnia 1996 r. (t. j.: Dz. U. z 2008 r. Nr 136, poz. 857 ze zm.), który stanowi, iż lekarz ma obowiązek prowadzenia indywidualnej dokumentacji medycznej pacjenta. Ponieważ powyższa norma prawna, w zakresie dotyczącym sposobu prowadzenia dokumentacji medycznej przez lekarza, odsyła do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (art. 41 ust. 2 ustawy), koniecznym było dokonanie analizy zebranego przez organ administracji materiału dowodowego, przez pryzmat treści art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 ze zm.). Zgodnie bowiem z jego treścią, podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat. Stąd więc w sytuacji, gdyby skarżącemu, w odniesieniu do spornego pacjenta, przysługiwał przymiot "podmiotu udzielającego świadczeń zdrowotnych", byłby on uprawniony do przetwarzania jego danych osobowych.
Przechodząc na grunt niniejszej sprawy podnieść należy, iż zakwestionowane dane pacjenta skarżący pozyskał podczas wykonywania badania w ramach realizacji umowy zlecenia nr [...], zawartej z Centrum Medycznym [...]. Oceniając więc skarżoną decyzję, należało zbadać, czy organ administracji wypełnił dyspozycję art. 77 § 1 kpa i w sposób wyczerpujący zebrał i rozpatrzył cały materiał dowodowy, a w szczególności, czy wyjaśnił to, jakie relacje zobowiązaniowe wiązały skarżącego z Centrum Medycznym [...] i pacjentami.
W ocenie tutejszego Sądu, organ nie uczynił w pełni zadość ww. obowiązkom. Przede wszystkim nie przeanalizował wszystkich zapisów umowy łączącej skarżącego z Centrum Medycznym, pod kątem wyjaśnienia, która ze stron przedmiotowej umowy była faktycznie podmiotem udzielającym świadczeń zdrowotnych. Nie sposób bowiem skutecznie twierdzić, iż podmiotem tym było Centrum Medyczne [...], opierając się wyłącznie na zapisie § 3 umowy, mówiącym, iż Centrum zobowiązuje się do przechowywania dokumentacji lekarskiej. Należało poddać rozwadze taką możliwość, iż Centrum zobowiązało się do wykonania powyższej czynności w imieniu i na rzecz lekarza. Za taką zaś ewentualnością mogło przemawiać ratio dokonywania w umowie przedmiotowego zapisu. Gdyby bowiem Centrum Medyczne [...] uważało się za podmiot udzielający świadczeń zdrowotnych, nie musiałoby się zobowiązywać do przechowywania dokumentacji, gdyż niezależnie od zawarcia przedmiotowego zapisu w umowie stron, byłoby obarczone takim obowiązkiem w myśl art. 18 ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (t. j.: Dz. U. z 2007 r. Nr 14, poz. 89 ze zm.), zgodnie z którym, zakład opieki zdrowotnej jest obowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta.
Wyjaśnienie powyższych wątpliwości powinno więc polegać na przeanalizowaniu § 3 umowy zlecenia w kontekście pozostałej treści umowy. Powinno również polegać na ustaleniu, czy sporna dokumentacja medyczna trafiła w ogóle do Centrum Medycznego [...] i czy jest w nim przechowywana. Wyjaśnienie tej kwestii będzie bowiem miało znaczenie nie tylko z punktu widzenia obowiązków stron umowy zlecenia, ale również z punktu widzenia interesu przedmiotowego pacjenta. W sytuacji bowiem, gdyby sporna dokumentacja nie była przechowywana w Centrum Medycznym [...], a znajdowała się wyłącznie w urządzeniu diagnostycznym skarżącego, nakazanie skarżącemu jej usunięcia spowodowałoby bezpowrotną utratę tych danych. To natomiast prowadziłoby do naruszenia istotnego interesu pacjenta, gdyż pozbawiłoby go na przyszłość medycznego materiału porównawczego.
Dla zbadania istoty sprawy, organ winien też poczynić ustalenia odnośnie wynagrodzenia stron umowy zlecenia. Umowa ta zawiera bowiem zapisy, iż wynagrodzenie zleceniobiorcy (tj. lekarza) zostanie rozliczone zgodnie z zasadami obowiązującymi w Centrum Medycznym i zostanie wypłacone w siedzibie Centrum. Organ nie wyjaśnił jednakże, czy wynagrodzenie, o jakim mówi umowa, stanowi zapłatę dla lekarza w zamian za usługi, które ten świadczył w imieniu i na rzecz Centrum Medycznego, czy też jest to rozliczenie wynagrodzenia lekarza, otrzymanego od pacjenta, mające na celu zapłatę dla Centrum za świadczone przez nie na rzecz lekarza usługi. Wyjaśnienie powyższych wątpliwości powinno zostać dokonane także przez pryzmat zapisu § 4 umowy, w którym lekarz zobowiązał się m.in. do prowadzenia działalności lekarskiej w ramach prywatnej praktyki. Taki zaś zapis mógłby sugerować to, że istotnie faktycznym podmiotem udzielającym świadczeń zdrowotnych był skarżący, wykonujący na terenie Centrum prywatną praktykę.
Organ, wydając skarżoną decyzję, nie wyjaśnił także tego, czy stosunek obligacyjny łączył pacjenta z lekarzem czy z Centrum Medycznym [...]. Nie ustalił bowiem, czy rejestracji pacjenta i pobrania od niego należności za usługę medyczną, Centrum dokonywało w imieniu własnym czy też w imieniu lekarza.
W świetle powyższych rozważań, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 145 § 1 pkt 1 lit. "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz.1270 ze zm.). O wstrzymaniu wykonania zaskarżonej decyzji w całości Sąd orzekł w oparciu o art. 152 powołanej ustawy, zaś o kosztach orzeczono na podstawie art. 200 tej ustawy.
Ponownie rozpoznając sprawę, organ będzie zobligowany do tego, aby wyjaśnić wskazane w niniejszym uzasadnieniu wątpliwości, ustalając w niezbędnym zakresie stan faktyczny. To zaś dopiero umożliwi organowi ocenę działania skarżącego przez pryzmat jego obowiązków, wynikających z ustawy o ochronie danych osobowych.
