Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>NSA>2011 >



I OSK 1162/10
2011-06-16

II SA/Wa 80/10 → I OSK 1162/10

 

 

WYROK


W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ


dnia 19 maja 2011 r.

 

 

Naczelny Sąd Administracyjny po rozpoznaniu w dniu 19 maja 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 kwietnia 2010 r. sygn. akt II SA/Wa 80/10 w sprawie ze skargi J. B. "[...]" na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2009 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

 

 

 

 

 

Uzasadnienie
Wyrokiem z dnia 21 kwietnia 2010 r. Wojewódzki Sąd Administracyjny w warszawie, po rozpoznaniu skargi J. B. "[...]", uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2009 r. oraz poprzedzającą ją decyzję z dnia [...] sierpnia 2009 r. w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd I instancji przyjął następujące okoliczności faktyczne i prawne:
Decyzją z dnia [...] sierpnia 2009 r. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 oraz art. 22 w związku z art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), nakazał J. B., prowadzącemu działalność gospodarczą pod firmą "[...]" z siedzibą w O. przy ul. [...], usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez usunięcie z urządzenia densytometrycznego typu [...] nr [...] danych osobowych E. K. B., zamieszkałego przy ul. [...] w W. - [...], od dnia, w którym decyzja ta stanie się ostateczna.
Pismem z dnia [...] września 2009 r. J. B. skierował do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy. W uzasadnieniu podniósł m.in., iż adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r. powinien być dr J. B., ewentualnie dr J. B. i J. B. jako przedsiębiorca - łącznie, gdyż w dacie wykonania badania densytometrycznego E. K. B., tj. w dniu [...] października 2004 r., J. B. działał na podstawie umowy cywilnoprawnej, zawartej w dniu [...] lutego 2002 r. Wskazał, że Centrum Medyczne [...] Sp. z o.o. z siedzibą w W. nie administrowało danymi osobowymi pacjenta E. K. B. w zakresie przeprowadzonego badania densytometrycznego. Podał, iż ze względu na konieczność wprowadzenia danych osobowych E. K. B. do urządzenia densytometrycznego, administrował on jego danymi, jednak zostały one uzyskane bezpośrednio od pacjenta. J. B. zaznaczył również, iż badanie densytometryczne E. K. B., wykonał na podstawie umowy cywilnoprawnej (umowy zlecenia), dlatego też, w jego ocenie, był on i jest zobowiązany do przechowywania dokumentacji medycznej pacjenta przez okres 20 lat, gdyż do tego zobowiązują go przepisy ustawy o zakładach opieki zdrowotnej.
Generalny Inspektor Ochrony Danych Osobowych nie znalazł podstaw do uwzględnienia wniosku o ponowne rozpatrzenie sprawy i decyzją z dnia [...] października 2009 r., na podstawie art. 138 § 1 pkt 1 kpa, utrzymał w mocy swoje poprzednie rozstrzygnięcie.
W uzasadnieniu organ wskazał, iż stosownie do art. 27 ust. 1 ustawy o ochronie danych osobowych, zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Natomiast zgodnie z art. 27 ust. 2 pkt 2 ustawy, przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony.
Organ podał, iż w toku przeprowadzonej kontroli ustalono, że badanie densytometryczne E. K. B. zostało wykonane przez J. B. w dniu [...] października 2004 r. w Centrum Medycznym [...] Sp. z o.o. z siedzibą w W. przy ul. [...]. Czynność tę J. B. wykonał na podstawie umowy cywilnoprawnej, tj. umowy zlecenia nr [...], zawartej w dniu [...] lutego 2002 r. pomiędzy J. B. a Centrum Medycznym [...]. Na podstawie zawartej umowy Spółka umożliwiła zleceniobiorcy korzystanie z gabinetów Centrum Medycznego [...] w celu dokonywania konsultacji pacjentów, jak i wykonywania badań diagnostycznych. Badanie densytometryczne E. K. B. zostało wykonane przy użyciu urządzenia densytometrycznego typu [...] nr [...] i w związku z tym zostały w nim zapisane dane osobowe pacjenta. Organ wskazał, iż przedmiotowa umowa została rozwiązana w dniu [...] września 2006 r., natomiast w dniu [...] lutego 2007 r. nastąpiła deinstalacja urządzenia w Centrum Medycznym [...]. Ponadto, jak ustalono w toku kontroli, pomimo iż J. B., prowadzący działalność gospodarczą pod firmą "[...]" z siedzibą w O. przy ul. [...], nie współpracuje już z Centrum Medycznym [...], to nadal przechowuje w tym urządzeniu dane osobowe E. K. B.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustalonego stanu faktycznego oraz w oparciu o obowiązujące przepisy prawa, stwierdzić należy, że dane osobowe E. K. B. - pacjenta Centrum Medycznego [...], są przetwarzane przez stronę bez podstawy prawnej, o której mowa w art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Ponadto, zdaniem organu, nie można uznać, iż administratorem danych pacjentów, pozyskanych w związku z wykonywaniem badań densytometrycznych przy użyciu przedmiotowego urządzenia w ramach realizacji zawartej umowy zlecenia, jest J. B. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o administratorze danych, rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wskazał, iż w przedmiotowej sprawie administratorem danych pacjentów (w tym danych E. K. B.), badanych przy użyciu urządzenia densytometrycznego w związku z realizacją ww. umowy zlecenia, jest Centrum Medyczne [...], gdyż podmiot ten, zawierając przedmiotową umowę, decydował o celach i środkach przetwarzanych danych osób, o których mowa powyżej. Ponadto, z treści przedmiotowej umowy zlecenia wynika, iż J. B. zobowiązany jest do przestrzegania regulaminów obowiązujących w Centrum Medycznym [...], w tym regulaminu pracy. W ocenie organu, nie znajduje również uzasadnienia argumentacja strony, iż w związku z realizacją umowy zlecenia J. B. był i jest zobowiązany do przechowywania dokumentacji medycznej pacjentów, którzy zostali poddani badaniom za pomocą ww. urządzenia, gdyż z treści § 3 pkt 2 umowy zlecenia wynika, iż to Centrum Medyczne [...] zobowiązane jest do ewidencjonowania i przechowywania dokumentacji medycznej pacjentów. Ponadto, powołując się na treść § 44 ust. 1 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania (Dz. U. z 2006 r. Nr 247 poz. 1819), organ stwierdził, iż z przepisu tego jednoznacznie wynika, że dokumentacja medyczna wewnętrzna przechowywana jest w zakładzie opieki zdrowotnej, w którym została sporządzona.
W skardze skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję J. B. zarzucił organowi naruszenie przepisów art. 6, art. 7, art. 8, art. 80 oraz art. 107 kpa, powołując się na argumentację przedstawioną we wniosku o ponowne rozpatrzenie sprawy. Jednocześnie skarżący podniósł, iż według jego wiedzy, nabytej w trakcie szkolenia posługiwania się aparatem i systemem aplikacyjnym [...], nie może on samodzielnie i ostatecznie usunąć danych osobowych pacjentów.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko jak w uzasadnieniu zaskarżonego rozstrzygnięcia.
Podejmując zaskarżone orzeczenie Wojewódzki Sąd Administracyjny w Warszawie przyjął, że istota sprawy sprowadza się do ustalenia, czy skarżącemu przysługiwało uprawnienie do przetwarzania zakwestionowanych przez organ danych personalnych.
Powołując się na art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych Sąd I instancji stwierdził, że skarżący mógłby przetwarzać takie dane tylko wtedy, gdyby było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Obowiązek, o jakim mowa w wyżej powołanym przepisie, wynikałby dla skarżącego, wykonującego zawód lekarza, z art. 41 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty, zgodnie z którym lekarz ma obowiązek prowadzenia indywidualnej dokumentacji medycznej pacjenta. Przepis ten, w zakresie dotyczącym sposobu prowadzenia dokumentacji medycznej przez lekarza, odsyła do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Zgodnie z art. 29 tej ustawy podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat. Stąd więc w sytuacji, gdyby skarżącemu, w odniesieniu do spornego pacjenta, przysługiwał przymiot "podmiotu udzielającego świadczeń zdrowotnych", byłby on uprawniony do przetwarzania jego danych osobowych.
Sąd wziął pod uwagę fakt, że dane pacjenta skarżący pozyskał podczas wykonywania badania w ramach realizacji umowy zlecenia, zawartej z Centrum Medycznym [...], zatem wyjaśnienia wymagały relacje wiążące skarżącego z Centrum Medycznym [...] i pacjentami. Sąd doszedł do przekonania, że organ nie uczynił w pełni zadość temu obowiązkowi. Przede wszystkim nie przeanalizował wszystkich zapisów umowy łączącej skarżącego z Centrum Medycznym, pod kątem wyjaśnienia, która ze stron przedmiotowej umowy była faktycznie podmiotem udzielającym świadczeń zdrowotnych. Nie sposób bowiem skutecznie twierdzić, iż podmiotem tym było Centrum Medyczne [...], opierając się wyłącznie na zapisie § 3 umowy, zgodnie z którym to Centrum zobowiązane było do przechowywania dokumentacji lekarskiej. Zdaniem Sądu organ nie wziął pod uwagę możliwości, iż Centrum zobowiązało się do wykonania powyższej czynności w imieniu i na rzecz lekarza. Za taką zaś ewentualnością mogło przemawiać ratio dokonywania w umowie przedmiotowego zapisu. Gdyby bowiem Centrum Medyczne [...] uważało się za podmiot udzielający świadczeń zdrowotnych, nie musiałoby się zobowiązywać do przechowywania dokumentacji, gdyż niezależnie od zawarcia przedmiotowego zapisu w umowie, byłoby obarczone takim obowiązkiem w myśl art. 18 ustawy o zakładach opieki zdrowotnej, zgodnie z którym, zakład opieki zdrowotnej jest obowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta.
Sąd I instancji uznał, że organ winien dokonać analizy § 3 umowy zlecenia w kontekście pozostałej treści umowy, jak również ustalić, czy sporna dokumentacja medyczna trafiła w ogóle do Centrum Medycznego [...] i czy jest w nim przechowywana. Wyjaśnienie tej kwestii ma znaczenie nie tylko z punktu widzenia obowiązków stron umowy zlecenia, ale również z punktu widzenia interesu pacjenta. W sytuacji bowiem, gdyby sporna dokumentacja nie była przechowywana w Centrum Medycznym [...], a znajdowała się wyłącznie w urządzeniu diagnostycznym skarżącego, nakazanie skarżącemu jej usunięcia spowodowałoby bezpowrotną utratę tych danych. To natomiast prowadziłoby do naruszenia istotnego interesu pacjenta, gdyż pozbawiłoby go na przyszłość medycznego materiału porównawczego.
Sąd stwierdził ponadto, że dla istoty sprawy ważne jest także poczynienie ustaleń odnośnie wynagrodzenia stron umowy zlecenia. Umowa ta zawiera bowiem zapisy, iż wynagrodzenie zleceniobiorcy (tj. lekarza) zostanie rozliczone zgodnie z zasadami obowiązującymi w Centrum Medycznym i zostanie wypłacone w siedzibie Centrum. Organ nie wyjaśnił jednakże, czy wynagrodzenie, o jakim mówi umowa, stanowi zapłatę dla lekarza w zamian za usługi, które ten świadczył w imieniu i na rzecz Centrum Medycznego, czy też jest to rozliczenie wynagrodzenia lekarza, otrzymanego od pacjenta, mające na celu zapłatę dla Centrum za świadczone przez nie na rzecz lekarza usługi. Wyjaśnienie powyższych wątpliwości powinno zostać dokonane także przez pryzmat zapisu § 4 umowy, w którym lekarz zobowiązał się m.in. do prowadzenia działalności lekarskiej w ramach prywatnej praktyki. Taki zaś zapis mógłby sugerować to, że istotnie faktycznym podmiotem udzielającym świadczeń zdrowotnych był skarżący, wykonujący na terenie Centrum prywatną praktykę. Sąd zarzucił także organowi, że nie wyjaśnił, czy stosunek obligacyjny łączył pacjenta z lekarzem czy z Centrum Medycznym [...]. Nie zostało bowiem ustalone, czy rejestracji pacjenta i pobrania od niego należności za usługę medyczną, Centrum dokonywało w imieniu własnym czy też w imieniu lekarza.
Mając na uwadze powyższe uchybienia art. 77 § 1 kpa, Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję oraz poprzedzające je rozstrzygnięcie z dnia [...] sierpnia 2009 r.
W skardze kasacyjnej skierowanej do Naczelnego Sądu Administracyjnego Generalny Inspektor Ochrony Danych Osobowych, reprezentowany przez pełnomocnika w osobie radcy prawnego, podniósł zarzut naruszenia:
1) prawa materialnego, o którym mowa w art. 145 § 1 pkt 1 lit. a) p.p.s.a., tj. art. 7 pkt 4 ustawy o ochronie danych osobowych poprzez uznanie, że podmiotem udzielającym świadczeń medycznych, jak również administratorem danych osobowych pacjentów Centrum Medycznego [...], pozyskanych w związku z wykonywaniem badań densytometrycznych w ramach realizacji umowy zlecenia jest J. B., a nie Centrum Medyczne [...];
2) przepisów postępowania, o którym mowa w art. 145 § 1 pkt 1 lit. c) p.p.s.a. poprzez błędne uznanie, że organ naruszył art. 77 § 1 kpa przez niewystarczające zebranie i rozpatrzenie całego materiału dowodowego w sprawie, podczas gdy organ uczynił zadość temu obowiązkowi.
W uzasadnieniu skargi kasacyjnej jej autor wskazał, że GIODO nie kwestionował uprawnienia J. B. do przetwarzania danych osobowych pacjentów Centrum Medycznego [...], pozyskanych w związku z wykonywaniem badań densytometrycznych. Jednak obecnie J. B. nie jest już podmiotem uprawnionym do przetwarzania danych osobowych tych pacjentów, gdyż nie świadczy usług na rzecz Centrum Medycznego, a tym bardziej nie jest uprawniony do przekazywania danych Niepublicznemu ZOZ [...][...], w którym obecnie użytkowane jest urządzenie. GIODO nie kwestionuje także, że J. B. w związku z wykonywaniem badań w Centrum Medycznym [...] zobowiązany był do prowadzenia dokumentacji medycznej na podstawie art. 41 ust. 1 ustawy o zawodach lekarza i lekarza dentysty. Czym innym jest jednak prowadzenie dokumentacji, a czym innym obowiązek jej przechowywania. Ten ostatni obowiązek spoczywa bowiem na podmiocie udzielającym świadczeń zdrowotnych przez okres 20 lat. Ponadto zgodnie z art. 3 ust. 1 pkt 5 tej ustawy, podmiotem udzielającym świadczeń zdrowotnych jest m.in. zakład opieki zdrowotnej, indywidualna praktyka lekarska, indywidualna specjalistyczna praktyka lekarska czy grupowa praktyka lekarska. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych ilekroć w ustawie jest mowa o administratorze danych rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Cele i środki przetwarzania danych pacjentów w związku z wykonywaniem badań przez J. B. zostały określone przez Centrum Medyczne [...] jako administratora danych w umowie zlecenia. Ponadto w toku czynności kontrolnych J. B. wyjaśnił, że w dacie zawarcia umowy nie prowadził działalności gospodarczej w zakresie prywatnej praktyki lekarskiej. Odnosząc powyższe do okoliczności sprawy autor skargi kasacyjnej wskazał, że zarówno podmiotem udzielającym świadczeń zdrowotnych, jak i administratorem danych osobowych pacjentów badanych przy użyciu urządzenia densytometrycznego było Centrum Medyczne [...], a nie J. B. Z faktur wystawianych za badania densytometryczne wynika natomiast, że sprzedawcą usługi było Centrum Medyczne [...]. Dodatkowo wyjaśniono, że po rozwiązaniu umów o współpracy z J. B. Centrum nie podjęło działań zamierzających do zabezpieczenia danych pacjentów poprzez zapisanie ich na inny nośnik elektroniczny, wobec czego GIODO decyzją z dnia [...] sierpnia 2009 r. nakazał Centrum zabezpieczenie danych pacjentów.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie zasługuje na uwzględnienie.
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U.Nr 153, poz. 1270 z późn. zm.) – zwanej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej z urzędu biorąc pod uwagę jedynie nieważność postępowania. W niniejszej sprawie żadna z przesłanek wymienionych w art. 183 § 2 p.p.s.a. nie wystąpiła, stąd też kontrola instancyjna ograniczała się jedynie do zbadania zasadności zarzutów podniesionych w skardze kasacyjnej, a poza kontrolą pozostawała natomiast zgodność orzeczenia z innymi przepisami prawa.
Złożona skarga kasacyjna oparta została na zarzucie naruszenia przepisów prawa materialnego oraz przepisów postępowania. W pierwszej kolejności na tle okoliczności rozpoznawanej sprawy ustosunkowania wymaga jednak zarzut naruszenia przepisów prawa materialnego.
W ramach podstawy kasacyjnej, o której mowa w art. 174 pkt 1 p.p.s.a. Generalny Inspektor Ochrony Danych Osobowych podniósł zarzut naruszenia art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) poprzez uznanie, że podmiotem udzielającym świadczeń medycznych, jak również administratorem danych pozyskanych w związku z wykonywaniem badań densytometrycznych był J. B., a nie Centrum Medyczne [...]. Tak sformułowany zarzut nie może okazać się skuteczny. Otóż pozostaje poza wszelkim sporem, iż wyrok Sądu I instancji oparty został na podstawie art. 145 § 1 pkt 1 lit. c) p.p.s.a., a powodem uchylenia zaskarżonej decyzji było naruszenie przez organ administracji przepisów postępowania, tj. art. 77 kpa. Z uzasadnienia wyroku nie wynika, aby Sąd I instancji dokonał wykładni art. 7 pkt 4 ustawy o ochronie danych osobowych i przesądził, któremu z podmiotów – J. B. czy Centrum Medycznemu [...] – przysługuje przymiot administratora danych. Przeciwnie, analiza uzasadnienia świadczy o powziętych przez Sąd I instancji wątpliwościach co do poczynionych przez organ administracji ustaleń faktycznych, które spowodowały, że Sąd ten nie miał podstaw do jednoznacznej oceny, czy organ w sposób prawidłowy wskazał Centrum [...] jako administratora danych.
Jeżeli natomiast idzie o zgłoszony w skardze kasacyjnej zarzut naruszenia
art. 77 § 1 kpa poprzez błędne uznanie, że w sposób niewystarczający został zebrany i rozpatrzony materiał dowodowy, to również nie może on wywołać zamierzonego rezultatu w postaci uwzględnienia skargi kasacyjnej. Odnosząc się do zarzutu naruszenia przepisów postępowania podkreślenia jednak wymaga fakt, że choć zasadnie Sąd I instancji wskazał na niedostateczne wyjaśnienie kwestii podmiotu udzielającego świadczeń medycznych, co musiało skutkować uchyleniem zaskarżonej decyzji, to rozważania zawarte w uzasadnieniu wyroku, mimo iż prowadzą do prawidłowej konstatacji, nie są wolne od wad.
W pierwszej kolejności należy wskazać, że Sąd I instancji uczynił punktem wyjścia dla rozważań przepis art. 23 ustawy o ochronie danych osobowych, podczas gdy przepisem tym powinien być art. 27 ustawy. Przedmiotem przetwarzania były bowiem dane dotyczące stanu zdrowia, a więc tzw. dane wrażliwe, które co do zasady objęte są zakazem przetwarzania. W drodze wyjątku ustawodawca dopuścił przetwarzanie danych wrażliwych w przypadkach, o których mowa w art. 27 ust. 2 ustawy, spośród których pkt 7 dotyczy danych o stanie zdrowia. Zgodnie z jego treścią przetwarzanie danych o stanie zdrowia jest dopuszczalne, jeżeli prowadzone jest w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzaniem udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Na tle cytowanego przepisu uprawnione jest twierdzenie, że nie tylko istotne jest ustalenie, czy dany podmiot był legitymowany do przetwarzania danych osobowych, ale również, czy przetwarzanie mieściło się w granicach dopuszczonego przez ustawodawcę celu przetwarzania danych wrażliwych. Tymczasem Sąd I instancji koncentrując się na aspekcie podmiotowym przetwarzania danych, czyli na zagadnieniu administratora danych, stracił z pola widzenia kwestię celu przetwarzania pozyskanych w trakcie badania danych osobowych.
W ocenie Naczelnego Sądu Administracyjnego nie ulega wątpliwości, że prawo przetwarzania danych na tle okoliczności rozpoznawanej sprawy wiąże się z obowiązkiem prowadzenia i przechowywania dokumentacji medycznej. Na marginesie wypada zwrócić uwagę, że nie do końca znajduje uzasadnienie powoływanie się na art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2009 r. Nr 52, poz. 417), gdyż ustawa ta obowiązuje od dnia 21 maja 2009 r. Chociaż zatem nie mogła stanowić podstawy dla obowiązku przechowywania dokumentacji medycznej w dacie świadczenia usługi medycznej, tj. w październiku 2004 r., to jednak skutki oddziaływania przepisu niewątpliwie aktualnie dotyczą również sporządzonej wówczas dokumentacji. Sąd zasadnie dokonał natomiast zestawienia dwóch norm odnoszących się do obowiązku prowadzenia dokumentacji medycznej, tj. art. 41 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz.U. z 2002 r. Nr 21, poz. 204 z późn. zm.) oraz art. 18 ust. 1 ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz.U.Nr 91, poz. 408 z późn. zm.). Pierwszy z przepisów nakłada obowiązek prowadzenia indywidualnej dokumentacji medycznej pacjenta na lekarza, drugi – na zakład opieki zdrowotnej, w zależności od rodzaju podmiotu udzielającego świadczenia medycznego. Stąd też dla ustalenia, na którym z podmiotów spoczywał obowiązek prowadzenia dokumentacji oraz jej przechowywania w rozpoznawanej sprawie istotne jest jednoznaczne ustalenie, który z podmiotów był podmiotem udzielającym świadczenia medycznego. Szczegółowej analizie powinna jednak zostać poddana nie tylko umowa zawarta między Centrum Medycznym [...] a J. B., ale również zasady, na jakich J. B. miał prawo wykonywania usług medycznych. Otóż, w aktach sprawy znajduje się zaświadczenie Komisji ds. Praktyk Lekarskich z dnia [...] kwietnia 2003 r., z którego wynika, że J. B. uchwałą z dnia [...] kwietnia 2003 r. uzyskał wpis do rejestru indywidualnych specjalistycznych praktyk lekarskich wyłącznie w miejscu wezwania. Analiza przepisów art. 50 ustawy o zawodach lekarza i lekarza dentysty daje podstawy do przyjęcia, że lekarz wykonujący indywidualną lub indywidualną specjalistyczną praktykę wyłącznie w miejscu wezwania ma obowiązek przechowywania dokumentacji medycznej. Rozpatrując ponownie sprawę organ administracji powinien zatem uczynić przedmiotem zainteresowania również ewentualny status J. B. jako lekarza i jego obowiązki w zakresie sporządzania i przechowywania dokumentacji medycznej wynikające ze specyfiki tego statusu.
Odnosząc się zaś do dokonanej przez Sąd I instancji oceny postanowień § 3 zawartej między J. B. a Centrum Medycznym [...] umowy, dotyczącego przechowywania dokumentacji medycznej przez Centrum, to zdaniem Naczelnego Sądu Administracyjnego nosi ona cechy dowolności. W szczególności nie zasługuje na aprobatę wyprowadzanie ratio tego zapisu umowy z faktu, że gdyby to Centrum Medyczne [...] było udzielającym świadczeń medycznych, to obowiązek przechowywania dokumentacji medycznej spoczywałby na tym podmiocie na mocy art. 18 ustawy o zakładach opieki zdrowotnej i nie byłoby zatem konieczności powielania obowiązku ustawowego w treści umowy. Tego rodzaju wnioskowanie, w oderwaniu od całokształtu okoliczności faktycznych, wydaje się jednak nieuprawnione, gdyż nie ma przeszkód, aby wynikające z ustawy obowiązki czy uprawnienia znajdowały swoje odzwierciedlenie również w postanowieniach zawieranej umowy.
Reasumując, podzielić należy stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, że organ administracji nie wyjaśnił w sposób niebudzący wątpliwości, który z podmiotów udzielał świadczenia medycznego i był uprawniony do przetwarzania danych osobowych pozyskanych w trakcie badania przy wykorzystaniu urządzenia densytometrycznego. Wobec powyższego Sąd I instancji zasadnie uchylił zaskarżoną decyzję oraz decyzję ją poprzedzającą.
W tym stanie rzeczy skoro skarga kasacyjna nie została oparta na usprawiedliwionych podstawach, na mocy art. 184 p.p.s.a., Naczelny Sąd Administracyjny orzekł jak w sentencji.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji