Za wysłanie zastrzeżonych informacji do nieuprawnionych podmiotów może grozić osobie, która o tym zdecydowała, nawet więzienie, urzędowi zaś grzywna. A gdy wejdzie RODO, kary dla urzędów mogą być jeszcze większe.
Doktor Maciej Hamankiewicz, prezes Naczelnej Izby Lekarskiej, poinformował generalnego inspektora ochrony danych osobowych (GIODO), że jeden z pracowników Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ) dopuścił się naruszenia ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922; dalej: u.o.d.o.). Polegało ono na przesłaniu danych osobowych lekarzy i lekarzy dentystów z Systemu Monitorowania Kształcenia Pracowników Medycznych (SMK) do wszystkich okręgowych izb lekarskich oraz urzędów wojewódzkich. Pracownik argumentował swoje działanie chęcią weryfikacji powyższych danych osobowych. Jednak zgodnie z art. 4a ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz.U. z 2017 r. poz. 125 ze zm.; dalej: u.z.l.l.d.) dane zamieszczane w SMK mogą zostać udostępnione okręgowym izbom lekarskim tylko w zakresie zadań określonych niniejszą ustawą oraz ustawą z 2 grudnia 2009 r. o izbach lekarskich (t.j. Dz.U. z 2016 r. poz. 522 ze zm.). Lekarz udostępnia też swoje dane osobowe tylko jednemu wojewodzie wybranemu ze względu na obszar województwa, na terenie którego zamierza odbywać szkolenie specjalizacyjne (art. 16c ust. 1 pkt 1 u.z.l.l.d.).
Reklama

Reklama
Sankcje za naruszenie
Zdaniem dra Pawła Litwińskiego, adwokata w kancelarii Barta Litwiński, powyższe działanie pracownika CSIOZ może stanowić naruszenie art. 26 ust. 1 pkt 1 u.o.d.o. ze względu na udostępnienie danych osobowych podmiotom nieuprawnionym. Zgodnie z art. 18 u.o.d.o. w przypadku naruszenia przepisów GIODO z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych m.in. usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane, zabezpieczenie danych lub przekazanie ich innym podmiotom bądź ich usunięcie. W razie niezastosowania się do decyzji administracyjnej GIODO może nałożyć na urząd grzywnę. Każdorazowo grzywna nie może przekraczać kwoty 50 tys. zł (zgodnie z art. 121 par. 2 ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji; t.j. Dz.U. z 2017 r. poz. 1201 ze zm.).
Poważniejsze sankcje mogą jednak spotkać pracownika, który udostępnił dane. Może on bowiem odpowiedzieć za przestępstwo zgodnie z art. 51 u.o.d.o., za co grozi nawet 2 lata więzienia. Jeśli zaś sprawca działał na zlecenie wyższego w hierarchii urzędnika, to za przestępstwo odpowiada zlecający. Zachodzi bowiem sprawstwo polecające (art. 18 par. 1 kodeksu karnego).
RODO: ostrzej dla firm
Gdyby powyżej opisywana sytuacja przydarzyła się po 25 maja 2018 r., sprawa wyglądałaby zupełnie inaczej. Wówczas zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenie o ochronie danych osobowych albo RODO; Dz.Urz. UE z 2016 r. L 199, s. 1). A zgodnie z nim każdy wyciek danych osobowych trzeba będzie zgłosić do GIODO (albo później do mającego go zastąpić prezesa Urzędu Ochrony Danych Osobowych ) w ciągu 72 godzin od stwierdzenia naruszenia (art. 85 RODO). O wycieku trzeba będzie również poinformować właścicieli danych osobowych, o ile utrata tych informacji rodziłaby ryzyko naruszenia praw lub wolności tych osób (art. 75 RODO). Jednak RODO to nie tylko obowiązki informacyjne i konieczność wdrożenia rozwiązań systemowych, lecz także widmo wysokich kar. Zgodnie z propozycją Ministerstwa Cyfryzacji w projekcie dostosowującym polskie przepisy do RODO kary dla administracji publicznej mają wynieść do 100 tys. zł. Będzie również możliwość dochodzenia odszkodowania przez właścicieli danych osobowych. Nie jest zaś przewidywana sankcja więzienia dla urzędnika.
Jak informuje Agnieszka Świątek-Druś, rzecznik prasowy GIODO, sprawa zasygnalizowana przez prezesa NRL jest przedmiotem zainteresowania GIODO i zostanie szczegółowo zbadana w celu wyjaśnienia wszystkich jej aspektów.

OPINIA EKSPERTA

Dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych Sp.p. oraz redaktor naczelna „ABI Expert”

Należy podzielić zastrzeżenia prezesa Naczelnej Rady Lekarskiej co do zgodności z prawem wysłania przez pracownika CSIOZ do wszystkich okręgowych izb lekarskich oraz do wszystkich urzędów wojewódzkich danych osobowych lekarzy i lekarzy dentystów wygenerowanych z SMK. Takie działanie uznać można za naruszające zasadę adekwatności przewarzania danych osobowych wynikającą z art. 26 ust. 1 pkt 3 u.o.d.o. Przepis ten na administratora danych (w tym przypadku na CSIOZ) nakłada obowiązek dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, przejawiającej się w zapewnieniu, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane.
Za prawidłowość przetwarzania danych osobowych odpowiada administrator danych, tak więc ewentualna decyzja GIODO nakazująca przywrócenie stanu zgodnego z prawem powinna być adresowana do tego podmiotu - w rozważanym przypadku do CSIOZ, a nie do pracownika, który działał niezgodnie z prawem. Inaczej kształtuje się sprawa odpowiedzialności karnej przewidzianej w art. 51 u.o.d.o. To indywidualna odpowiedzialność osoby, która dopuściła się naruszenia. Jeśli działanie było umyślne, to grozi jej kara nawet do dwóch lat pozbawienia wolności.