GI-DEC-310/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 września 2005 r. dotycząca przetwarzania danych osobowych, po zakończeniu świadczenia usług medycznych.
Warszawa dnia 21 września 2005 r.
DECYZJA
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), w zw. z art. 12 pkt 2, art. 22 i art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w sprawie przetwarzania danych osobowych Pana A.B., zawartych w jego dokumentacji medycznej przez Niepubliczny Zakład Opieki Zdrowotnej (..) Sp. z o. o., z siedzibą w (...),
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A.B., zwanego dalej Skarżącym, w sprawie przetwarzania jego danych osobowych przez Niepubliczny Zakład Opieki Zdrowotnej (...) Sp. z o. o., z siedzibą w (...), zwany dalej także NZOZ. Skarżący podniósł, iż NZOZ przetwarza jego dane osobowe wbrew jego woli, po zakończeniu świadczenia wobec jego osoby oraz rodziny usług medycznych. W szczególności Skarżący wskazał, że NZOZ odmówił wydaniu mu dokumentacji medycznej dotyczącej jego i jego rodziny, a także zaznaczył, że jego skarga „obejmuje również naruszenia praw innych klientów spółki”. W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych, stosownie do art. 64 § 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), pismem z dnia 13 czerwca 2005 r. (znak: GI-DS-430/357/05/3227) zwrócił się do Skarżącego o dostarczenie oryginału (bądź też urzędowo poświadczonego odpisu) pełnomocnictw, z których wnikałoby, że jest on uprawniony do reprezentowania innych osób w postępowaniu przed Generalnym Inspektorem. W niniejszym piśmie Skarżący został poinformowany, iż nie usunięcie wskazanego braku, spowoduje, że Generalny Inspektor rozpozna skargę wyłącznie w zakresie przetwarzania przez NZOZ jego danych osobowych, natomiast w pozostałym zaś zakresie sprawa pozostanie bez rozpoznania. Z uwagi na okoliczność, iż Skarżący nie przedstawił stosownych pełnomocnictw, Generalny Inspektor Ochrony Danych Osobowych przeprowadził w przedmiotowej sprawie postępowanie wyłącznie w zakresie przetwarzania przez NZOZ danych osobowych Skarżącego.
W toku postępowania przeprowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych ustalono, iż Skarżący korzystał z usług medycznych Niepublicznego Zakładu Opieki Zdrowotnej (...) Sp. z o. o. , jednakże po przejściu na emeryturę jego lekarza rodzinnego zrezygnował z usług świadczonych przez NZOZ. Po przejściu na emeryturę ww. lekarza Skarżący wraz z rodziną zwrócili się do NZOZ o wydanie dokumentacji medycznej. Ustosunkowując się do prośby Skarżącego, NZOZ zaproponował mu udostępnienie kserokopii dokumentacji medycznej dotyczącej jego osoby i jego rodziny, jednakże Skarżący odmówił jej przyjęcia oraz zażądał wydania mu przedmiotowej dokumentacji w oryginale.
Mając na uwadze powyższe podkreślić należy, iż przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, określają zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Poprzez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak m.in. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (art. 7 pkt 2 ustawy). Należy przy tym podkreślić, iż źródło tej ochrony wynika z przepisów ustawy z dnia 2 kwietnia 1997 r. – Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483). Stosownie, bowiem do art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa. Natomiast dyspozycję powołanego powyżej przepisu wypełnia właśnie ustawa o ochronie danych osobowych. Z treści skargi wynika, iż Skarżący kwestionuje legalność przetwarzania danych, a w szczególności przechowywania jego danych o stanie zdrowia zawartych w oryginałach dokumentacji medycznej po ustaniu świadczeń NZOZ. Natomiast, ww. dane należą do kategorii danych osobowych tzw. „szczególnie chronionych”, w stosunku, do których przepisy ustawy zapewniają specjalną ochronę. Zgodnie, bowiem z art. 27 ust. 1 ustawy, zabrania się przetwarzania m.in. danych ujawniających informacje o stanie zdrowia. W ust. 2 powołanego powyżej przepisu ustawodawca wprowadził jednak wyjątek od przedmiotowego zakazu. W przepisie tym zadecydował, bowiem, iż przetwarzanie tego rodzaju danych osobowych jest możliwe po spełnieniu przez administratora danych, co najmniej jednej z enumeratywnie wymienionych w tym przepisie przesłanek, w tym m. in., gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy). Przepisy, które legalizują przetwarzanie danych osobowych o stanie zdrowia przez zakłady opieki zdrowotnej, zamieszczone zostały w ustawie z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz. U. Nr 91, poz. 408 z późn. zm.), ustawie z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz. U. 2002 r. Nr 21 poz. 204 z późn. zm.) oraz rozporządzeniu Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania (Dz. U. Nr 88 poz. 966 z późn. zm.). Każdy lekarz oraz zakład opieki zdrowotnej – a tym samym również NZOZ – jest zobowiązany do prowadzenia dokumentacji medycznej osób korzystających ze świadczeń zdrowotnych zakładu (art. 18 ust. 1 ustawy o zakładach opieki zdrowotnej i art. 41 ust. 1 ustawy o zawodach lekarza i lekarza dentysty). Przepisy tych ustaw gwarantują również przetwarzanym danym pełną ochronę (art. 18 ust. 2 ustawy o zakładach opieki zdrowotnej oraz art. 40 ust. 1 ustawy zawodach lekarza i lekarza dentysty).
Należy również podkreślić, że w przepisach rozporządzenia Ministra Zdrowia w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania (wydanego na podstawie delegacji ustawy o zakładach opieki zdrowotnej) ustawodawca w sposób szczegółowy określił sposób prowadzenia przez zakłady opieki zdrowotnej dokumentacji medycznej zawierającej dane osobowe o stanie zdrowia. Przechodząc do analizy przepisów ww. rozporządzenia, w pierwszej kolejności należy podkreślić, że dokonano w nim systematyki dokumentacji medycznej gromadzonej przez zakłady opieki zdrowotnej. Dokumentację tą podzielono na: 1) dokumentację indywidualną - odnoszącą się do poszczególnych pacjentów korzystających ze świadczeń zdrowotnych zakład, 2) dokumentację zbiorczą - odnoszącą się do ogółu pacjentów korzystających ze świadczeń zdrowotnych zakładu lub określonych grup tych pacjentów (§ 2 ust. 1 ww. rozporządzenia). Warto również zwrócić uwagę, iż przepisy ww. rozporządzenia w sposób szczegółowy regulują okres i miejsce przechowywania tej dokumentacji. Zgodnie, bowiem z § 45 ust. 1 ww. rozporządzenia, dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. Natomiast zakończoną dokumentację indywidualną wewnętrzną oraz zakończoną dokumentację zbiorczą wewnętrzną przechowuje archiwum zakładu (§ 48 rozporządzenia), które posiada odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem i dostępem osób trzecich (§ 49 rozporządzenia). Ponadto, stosownie do § 51 ust. 1 omawianego rozporządzenia, archiwalna dokumentacja zakładu jest przechowywana przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
Z przytoczonych powyżej przepisów jednoznacznie wynika, iż zakłady opieki zdrowotnej - w tym NZOZ - są uprawnione do przetwarzania danych osobowych o stanie zdrowia, zawartych w archiwalnej dokumentacji lekarskiej, przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. Dlatego też, w pełni uzasadnione jest twierdzenie, iż NZOZ jest zarówno uprawniony, jak i zobowiązany do przetwarzania danych osobowych Skarżącego po zakończeniu świadczenia wobec jego osoby usług medycznych. Z tych też powodów, wskazywana przez Skarżącego okoliczność, iż w przedmiotowej sprawie doszło do naruszenia przepisów karnych ustawy o ochronie danych osobowych, w ocenie Generalnego Inspektora Ochrony Danych Osobowych nie znalazła potwierdzenia w materiale dowodowym sprawy.
Należy również zauważyć, iż przepisy omawianego rozporządzenia, w sposób szczegółowy regulują również sposób udostępniania dokumentacji lekarskiej. Stosownie, bowiem do § 53 ust. 1 omawianego rozporządzenia, dokumentacja indywidualna wewnętrzna jest udostępniana na wniosek: pacjenta, którego dotyczy, jego przedstawiciela ustawowego lub osoby przez niego upoważnionej, a w razie śmierci pacjenta - osoby przez niego upoważnionej do uzyskiwania dokumentacji w przypadku jego zgonu, na miejscu w zakładzie, za pośrednictwem lekarza prowadzącego. Zgodnie natomiast z § 54 ust. 4 ww. aktu prawnego, dokumentację udostępnia się na zewnątrz zakładu w formie kopii, wyciągów bądź odpisów, chyba, że uprawniony organ żąda udostępnienia oryginałów tej dokumentacji.
Odnosząc się natomiast do poruszonej przez Skarżącego kwestii odmowy udostępnienia mu przez NZOZ oryginału dokumentacji medycznej dotyczącej jego osoby, należy podkreślić, iż zgodnie z art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych. Tym samym, Generalny Inspektor Ochrony Danych Osobowych upoważniony jest do wydania decyzji administracyjnej, której przedmiotem jest m.in. nakaz udostępnienia danych, a nieokreślonych dokumentów, i to wyłącznie w sytuacji stwierdzenia naruszenia przepisów dotyczących przetwarzania danych (podkreślenie Generalnego Inspektora). W przedmiotowej sprawie takiego naruszenia nie stwierdzono. Ponadto, podkreślenia wymaga, iż żaden przepis ustawy o ochronie danych osobowych nie przyznaje Generalnemu Inspektorowi kompetencji w zakresie podejmowania rozstrzygnięć, których przedmiotem jest nakaz udostępnienia dokumentów. Również żaden z przepisów ustawy nie upoważnia osoby, której dane dotyczą do żądania od administratora danych wydania dokumentów zawierających jego dane. Osoba, której dane dotyczą może, bowiem skutecznie dochodzić od administratora wyłącznie udostępnienia dotyczących jej danych, co nie jest tożsame z żądaniem wydania dokumentów, czy też innych nośników zawierających te dane.
Słuszność stanowiska Generalnego Inspektora potwierdzają także kolejne przepisy zawarte w ustawie o ochronie danych osobowych, a dotyczące w szczególności uprawnień osoby, której dane dotyczą w związku z przetwarzaniem jej danych. Zgodnie z art. 32 ust. 1 pkt 3 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (podkreślenia Generalnego Inspektora). Powtórzyć, zatem należy, iż w przypadku wystąpienia do administratora danych z żądaniem udostępnienia danych, bądź też z żądaniem podania przez administratora w powszechnie zrozumiałej formie treści danych osobowych, nie oznacza to obowiązku udostępnienia przez administratora dokumentów zawierających żądane dane osobowe. Zauważyć również należy, iż przedmiotowe stanowisko Generalnego Inspektora, potwierdzenie znajduje w poglądach doktryny, gdzie w sposób zdecydowany podkreśla się, iż „w świetle art. 32 administrator danych nie ma obowiązku umożliwiać osobie, której dane dotyczą, wglądu do akt czy swobodnego dostępu do systemu informatycznego, w którym są przetwarzane dane osobowe. Udzielenie informacji nie oznacza udostępnienia dokumentów źródłowych (podkreślenie Generalnego Inspektora). Wystarczające jest udzielenie informacji przetworzonych przez administratora danych. Powołany przepis nie stanowi także podstawy domagania się przez osobę, której dane dotyczą, zwrotu dokumentów złożonych w związku z zawieraniem umowy czy ubieganiem się o uzyskanie zezwolenia, bądź wydanie innej decyzji” (Drozd Andrzej Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy Warszawa 2004 Wydawnictwo Prawnicze LexisNexis ss. 392).
Trudno jednocześnie przedstawić NZOZ zarzut, iż uniemożliwił Skarżącemu zapoznanie się z danymi dotyczącymi jego osoby, jeżeli z materiałów sprawy w sposób niebudzący wątpliwości wynika, iż NZOZ sporządził kserokopię dokumentacji medycznej zawierającej dane osobowe Skarżącego i umożliwił mu jej odebranie, natomiast Skarżący odmówił jej przyjęcia.
Z tych wszystkich względów, w ocenie Generalnego Inspektora Ochrony Danych Osobowych, materiał dowodowy przedmiotowej sprawy nie daje podstaw do stwierdzenia, iż działanie NZOZ polegające na przetwarzaniu danych osobowych Skarżącego zawartych w oryginała dokumentacji medycznej, naruszyło przepisy ustawy o ochronie danych osobowych.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 1 i 2 ustawy Kodeks postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji.
