Zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych (RODO) Administrator Danych Osobowych (ADO) ma obowiązek przestrzegania zasad ochrony danych osobowych, w tym zachowania ich poufności oraz niedopuszczenia do ich nieuprawnionego ujawniania. RODO wprowadziło standardy w zakresie ochrony prywatności w Unii Europejskiej, a także wpłynęło na wiele aspektów przetwarzania, w tym gromadzenia i przechowywania informacji. Jednym z kluczowych obowiązków ADO jest zagwarantowanie, że dane osobowe, które przetwarza, są odpowiednio zabezpieczone przed dostępem osób nieuprawnionych. To oznacza, że ADO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią wysoki poziom bezpieczeństwa danych, tak aby minimalizować ryzyko ich nieautoryzowanego ujawnienia, utraty lub uszkodzenia. W kontekście analizowanej dziś sprawy zakładać by można, że Administrator danych, jakim jest Minister w danym resorcie, jako organ państwowy, daje wyższe (graniczące z pewnością) gwarancje bezpieczeństwa i poufności danych obywateli oraz przestrzegania RODO w pełnym zakresie. Wydarzenia ostatnich tygodni pokazują jednak, że niestety wszystko „w polityce” jest możliwe… Ale po kolei 😊.

Przetwarzanie danych o obywatelach przez organy państwa

Przetwarzanie danych osobowych przez organy państwa stanowi istotny element funkcjonowania administracji publicznej oraz realizacji działań w interesie społecznym. Organy państwa, często muszą gromadzić, przechowywać i przetwarzać w inny sposób dane osobowe obywateli w celu realizacji swoich zadań. Jednakże, ze względu na konieczność ochrony prywatności jednostek, istnieją ściśle określone ramy i zasady regulujące takie przetwarzanie.

Jednym z przejawów przetwarzania danych osobowych szczególnej kategorii dotyczących obywateli jest system e-Zdrowie (e-Zdrowie P1), który umożliwia m.in. obsługę Internetowego Konta Pacjenta (IKP). Gromadzenie tak ogromnej bazy danych pacjentów i lekarzy (stanowiącej odzwierciedlenie dokumentacji medycznej każdego obywatela) to przetwarzanie danych osobowych, które jest niezbędne w celu zapewnienia opieki zdrowotnej, zarządzania systemami i usługami opieki zdrowotnej oraz zabezpieczenia społecznego na podstawie ustawy z dnia z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Na tle RODO odpowiada to  przesłance z art. 9 ust. 2 lit. h) – przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia. Tak więc samo przetwarzanie danych przez system P1 jest prawnie i społecznie uzasadnione i co do tego nie ma wątpliwości. Jednakże, warunkiem koniecznym jest, by tak ogromna baza danych (szczególnej kategorii) była przetwarzana zgodnie z celem, dla jakiego została utworzona.

Przetwarzanie danych osobowych pacjentów w systemie e-Zdrowie ma na celu poprawę jakości i dostępności opieki zdrowotnej, ale musi być realizowane w sposób zgodny z przepisami o ochronie danych osobowych. To ważne, aby pacjenci mieli pewność, że ich dane są bezpieczne i poufne, a jednocześnie system e-Zdrowie funkcjonuje w sposób efektywny i zgodny z wymogami prawnymi.

Czy doszło do naruszenia?

Dostęp do bazy danych szczególnej kategorii wiąże się z ogromną odpowiedzialnością. Wykorzystanie, zawartych w systemie danych dotyczących obywatela  przez organ państwowy w sposób kompletnie oderwany od celu, dla jakiego zostały one zebrane, ewidentnie stanowi naruszenie ochrony danych osobowych. Na tle głośnej sprawy z ostatnich tygodni, jaką było ujawnienie danych szczególnej kategorii na portalu X (dawnej „Twitter”) przez organ państwowy, to jest danych dotyczących recepty, jaką wystawił na siebie jeden z lekarzy, można śmiało uznać, że takie wykorzystanie danych stanowi „podręcznikowy” przykład naruszenia zasad ochrony danych wynikających z RODO i prywatności obywatela oraz przekroczenia uprawnień przez funkcjonariusza publicznego.

W sytuacji, gdy dane z systemu e-Zdrowie (do jakiego rzecz jasna musi mieć dostęp Ministerstwo Zdrowia), zostają podane do publicznej wiadomości bez posiadania ku temu podstawy prawnej, trudno mówić o przestrzeganiu zasady integralności i poufności danych (art. 5 ust 1 lit. f RODO) oraz ograniczenia celu (art. 5 ust. 1 lit. RODO). Każdy przypadek nieuzasadnionego prawnie przetwarzania przez organ państwowy danych osobowych dotyczących obywateli, a w szczególności ujawnienie danych szczególnej kategorii bez podstawy prawnej, stanowi złamanie RODO, a także jest naruszeniem ochrony danych osobowych.  Doszło tym samym do przetwarzania danych szczególnej kategorii bez podstawy prawnej, co narusza art. 9 RODO.

W  ocenie Autora artykułu w przedmiotowej sprawie doszło do naruszenia zasad wynikających z RODO. Dostęp do informacji określony art. 7 ust. 1 pkt 8 Ustawy o systemie informacji w ochronie zdrowia, w żaden sposób nie uprawnia bowiem ministra do rozpowszechniania wyżej wskazanych informacji publicznie. Na ministrze ciąży bowiem obowiązek dochowania poufności. Naruszono także art. 20 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, bowiem w tym przypadku trudno mówić o poszanowaniu intymności i godności pacjenta.

Analiza możliwych konsekwencji prawnych

To, że ADO jest organem państwowym nie znaczy, że odpowiedzialność za naruszenia RODO jest wyłączona. Z czym zatem powinien liczyć się (każdy) ADO ujawniający dane osobowe bez posiadania ku temu podstawy prawnej, a zarazem naruszający poufność takich danych?

• Naruszenie dóbr osobistych – osoba której dane dotyczą (w opisywanej sprawie: lekarz) może zgodnie z art. 24 Kodeksu cywilnego, z uwagi na naruszenie dóbr osobistych żądać oświadczenia odpowiedniej treści, zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
• Odszkodowanie z RODO – zgodnie z art. 82 ust. 1  RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia unijnego rozporządzenia o ochronie danych, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Tego typu sprawy o odszkodowanie z RODO nie są czymś nieznanym dla polskiego wymiaru sprawiedliwości, a wyroki o rekompensaty pieniężne z tytułu naruszenia RODO już zapadają. Opisaliśmy jeden z nich na naszym blogu (LINK) – tu sąd zasądził odszkodowanie w kwocie 1 500 zł. Niemniej jednak w przedstawionej w niniejszym artykule sprawie doszło do kuriozalnego ujawnienia danych szczególnej kategorii, dlatego też poziom krzywdy, w ocenie Autora artykułu, powinien być oceniony jako znacząco wyższy.
• Kara administracyjna za naruszenie RODO – każdy administrator naruszając zasady ochrony danych osobowych, musi liczyć się z ryzykiem nałożenia administracyjnej kary pieniężnej. Zasadniczo jest to uregulowane w art. 83 RODO. W zależności, jakie przepisy RODO zostały naruszone, kara administracyjna może wynosić:
• 1) do 10 mln EURO lub  2 % całkowitego rocznego światowego obrotu za poprzedni rok obrotowy- przy czym zastosowanie ma kara wyższa: dotyczy to naruszenia obowiązków z art. 8, 11, 42, i 43 RODO.
• 2) do 20 mln EURO 2 % całkowitego rocznego światowego obrotu za poprzedni rok obrotowy- przy czym zastosowanie ma kara wyższa: dotyczy to naruszenia m.in. podstawowych zasad przetwarzania, praw osób, których dane dotyczą, naruszenia obowiązków nałożonych na administratora.

Gdyby zatem, przykładowe naruszenie dotyczyło ADO, będącego przedsiębiorcą w grę wchodziła by kara administracyjna do wysokości 20 mln EURO. Niemniej jednak, opisywany w niniejszym artykule przykład, dotyczy ADO będącego organem państwowym. Każde państwo członkowskie zgodnie z RODO mogło inaczej określić zakres odpowiedzialności organów i podmiotów publicznych. Nasz kraj zastosował takie rozwiązanie. W tym przypadku zastosowanie znajdzie art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Regulacja ta ogranicza wysokość kary pieniężnej dla podmiotów publicznych do kwoty 100 tys. złotych.

• Odpowiedzialność karna? – o ile odpowiedzialność administracyjna (kara administracyjna z RODO czy utrata stanowiska) to jedno, o tyle bardziej dotkliwa dla osoby pełniącej funkcję administratora w danej organizacji  (prezes w spółce, czy minister w ministerstwie) może okazać się odpowiedzialność karna. Zgodnie z art. 107 ustawy o ochronie danych osobowych, „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”.  Znaczenie ma też rodzaj danych, bowiem naruszenie w kontekście danych szczególnej kategorii wiąże się już z karą pozbawienia wolności do trzech lat.

W kontekście odpowiedzialności karnej, znaczenie ma także, czy ADO pełni funkcję publiczną. Zgodnie z art. 266 § 2  k.k. funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację niejawną o klauzuli „zastrzeżone” lub „poufne” lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3.

W  ocenie Autora artykułu to nie koniec możliwych konsekwencji. Każdy Administrator ma obowiązek niezwłocznie i terminowo zgłosić incydent organowi nadzorczemu ds. ochrony danych oraz, w pewnych przypadkach, powiadomić osoby, których dane mogły zostać naruszone. Nie bez znaczenia dla opisywanej dzisiaj sprawy powinien być fakt, iż Ministerstwo Zdrowia zgłosiło incydent naruszenia RODO po wymaganym przez przepisy upływie czasu 72 h od stwierdzenia naruszenia, a ponadto  już po wszczęciu postępowania wyjaśniającego przez Prezesa Urzędu Ochrony Danych Osobowych. 

Najcięższa konsekwencja – utrata zaufania przez obywateli

Organy państwowe i instytucje publiczne, a zwłaszcza te podmioty, które zarządzają danymi medycznymi obywateli, powinny być szczególnie uważne na kwestie ochrony danych osobowych. Przestrzeganie przepisów RODO nie tylko chroni prywatność jednostek, ale również pomaga utrzymać zaufanie obywateli do instytucji publicznych i prywatnych. Zaufanie to, na tle tej sprawy(która nie jest ostatnimi czasy jednostkowa, doszło bowiem także do ujawnienia danych wrażliwych przez Ministerstwo Sprawiedliwości) zostało mocno nadszarpnięte. Zrozumienie zasad przetwarzania danych osobowych i ich konsekwentne stosowanie zapewnia równowagę między potrzebą wykonywania funkcji publicznych a poszanowaniem prywatności i praw obywateli. Utrata tego zaufania będzie miała zatem długofalowe konsekwencje społeczne.

Podsumowując, RODO stawia na pierwszym miejscu ochronę prywatności i poufności danych osobowych. Administrator Danych Osobowych ma nie tylko obowiązek przetwarzania danych zgodnie z przepisami, ale także chronić je przed nieuprawnionym ujawnieniem lub dostępem. Przestrzeganie tych zasad to fundamentalny aspekt działalności każdej organizacji, która przetwarza dane osobowe w obrębie Unii Europejskiej.