Dostęp Otwarty

Prawo

Przetwarzanie w internecie danych osobowych lekarzy

Żaneta Semprich

Każdy ma prawo do ochrony dotyczących go danych osobowych – czytamy w art. 1 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. 2014 r. poz. 1182). Czy aby na pewno każdy? Wolne żarty. Jak to często w przepisach prawa bywa, nie każdy i nie zawsze. Wiedzą coś o tym lekarze, którzy zmagali się z portalami internetowymi publikującymi rankingi oceniające ich pracę i wpisy użytkowników na ten temat. Na ogół czekała ich porażka.

Art. 23 wspomnianej ustawy uściśla bowiem: przetwarzanie danych jest dopuszczalne, gdy:

1. Osoba, której dane dotyczą, wyrazi na to zgodę;

2. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub na żądanie osoby, której dane dotyczą;

4. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5. Jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Z tego przepisu Wojciech Wiewiórowski, wieloletni generalny inspektor ochrony danych osobowych (dziś zastępca europejskiego inspektora ochrony danych w Brukseli), wysnuwał wniosek, iż w określonych okolicznościach lekarzom pełna ochrona danych nie przysługuje. Jak uzasadniał swe stanowisko?

Serwis jest narzędziem

Pięć lat temu, uzasadniając odmowę uwzględnienia skargi na portal pewnej znanej lekarki hematolog (dalej nazywamy ją Skarżącą), generalny inspektor (dalej GIODO) wyjaśniał, że zgoda osoby, której dane dotyczą, nie tylko nie jest jedyną i wyłączną okolicznością czyniącą proces przetwarzania danych legalnym, ale także nie ma żadnych podstaw ku temu, by traktować tę przesłankę w sposób uprzywilejowany. Nie dostrzegał niczego niestosownego w tym, że portal umożliwia użytkownikom wymianę informacji i opinii na temat lekarzy i zakładów opieki. Akcentował: przetwarzanie danych osobowych należy uznać za legalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów i nie narusza praw i wolności osoby, której dane dotyczą. Wprawdzie, zauważał, termin „usprawiedliwione cele” jest zwrotem niedookreślonym i daje pewnego rodzaju luz decyzyjny. Z tego jednak względu organ stosujący prawo (GIODO) musi wyważyć kolidujące interesy Skarżącej, której informacje dotyczą, i użytkowników serwisu. W efekcie uznał, że prawo Skarżącej do ochrony prywatności nie może przewyższać prawa pacjentów-użytkowników serwisu do swobody wypowiedzi.

GIODO podkreślił także, iż przysługujące każdemu prawo do ochrony dotyczących go danych osobowych nie ma charakteru absolutnego i zarówno nauka prawa, jak i orzecznictwo wypracowały reguły różnicujące intensywność ochrony ze względu na pozycję i funkcję społeczną danej osoby. Zawód lekarza to zawód zaufania publicznego, którego wykonywanie jest istotne z punktu widzenia interesu publicznego. Dlatego lekarz udzielający świadczeń zdrowotnych, w szczególności w publicznych zakładach opieki zdrowotnej, musi liczyć się z tym, iż sposób wykonywania przez niego pracy i uzyskane efekty podlegają społecznej kontroli dokonywanej przez pacjentów. Serwis internetowy umożliwiający użytkownikom zamieszczanie opinii i komentarzy dotyczących lekarzy jest jedynie narzędziem, za pomocą którego pacjenci kontrolę sprawują.

Nowe spojrzenie

Taka interpretacja ustawy o ochronie danych osobowych obowiązywała przez wiele lat. Wydawało się, że nic nie jest w stanie jej wzruszyć. Jednak szykuje się poważna zmiana. Nowe spojrzenie na problem zapoczątkował ubiegłoroczny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję GIODO uzasadnioną w identyczny sposób jak przedstawiony wyżej (sygn. akt II SA/Wa 1819/13). GIODO nie pogodził się z tym i zaskarżył ten wyrok do Naczelnego Sądu Administracyjnego, jednak w kwietniu tego roku sprawę przegrał (wyrok NSA OSK 1480/14). W efekcie musi ponownie rozpatrzyć sprawę, uwzględniając jednak wskazówki sądu. Zasadą jest bowiem, że sąd administracyjny, kontrolując zgodność zaskarżonej decyzji z prawem, orzeka wyłącznie na podstawie materiału dowodowego zgromadzonego przez urząd, w tym wypadku GIODO. Nie może go zastąpić i czynić w tym względzie własnych ustaleń.

Mimo takiego ograniczenia sąd dostrzegł kilka okoliczności, które dotąd nikomu nie wydawały się istotne. Przede wszystkim podważył przekonanie GIODO, że prawnie usprawiedliwionym celem legalizującym przetwarzanie danych lekarza bez jego zgody jest potrzeba społecznej kontroli i wykonywanie przezeń zawodu zaufania publicznego. GIODO, jak wytknął sąd, nie wziął jednak pod uwagę sytuacji, gdy rejestr ma charakter stricte komercyjny. Tymczasem inkryminowany portal jest nawet pośrednikiem w umawianiu pacjentów. Jego klientami są lekarze, którzy mają w serwisie kalendarz wizyt. Zasady uczestnictwa w nim zostały tak pomyślane, że trudno nie zgodzić się ze skarżącym, według którego dopuszczono się w nich potrójnego wymuszenia danych. Pierwsze to wymuszenie ich od pacjentów, którzy chcą anonimowo umieścić swoją ocenę lekarza. Drugie to zmuszenie lekarza, który chce odpowiedzieć na zarzuty dotyczące jego osoby, do udzielenia zgody na przetwarzanie jego danych. Trzecie wymuszenie według skarżącego to konieczność podpisania umowy przez takiego lekarza na płatne pośrednictwo w umawianiu wizyt.

Sąd zauważył także, że regulowanym przez prawo rejestrem lekarzy, którzy uzyskali prawo wykonywania zawodu, jest rejestr prowadzony przez okręgową izbę lekarską. W jego ocenie rejestr ten pełni zarówno funkcję informacyjną, jak i ochronną, i to nie tylko dla osób korzystających ze świadczeń medycznych, lecz również dla samych lekarzy. Nie ma zatem charakteru prywatnego i komercyjnego, nie służy celom marketingowym (reklamowym) usług medycznych. Natomiast z częściowo poczynionych ustaleń GIODO w sposób bezsporny wynika, że ten charakter mają niektóre portale.

Reasumując, sąd stwierdził, że GIODO nie ustalił, czy właściciel portalu zapewnia należytą ochronę danych osobowych. Nie wziął np. pod uwagę, że jakakolwiek możliwość ingerencji lekarza w kwestii przetwarzania jego danych osobowych jest możliwa wyłącznie po zarejestrowaniu na portalu, a dzieje się to w sytuacji, gdy jego profil już istnieje. Nie dostrzegł także, że do zapewnienia ochrony swoich danych lekarz musi spełnić dodatkowe, i to pozaustawowe, obowiązki w postaci zawarcia z administratorem (właścicielem portalu) stosownej umowy cywilnoprawnej. Do tego zaś czasu uprawnień takich w ogóle nie ma.

Zdaniem sądu GIODO ma obowiązek zbadać dokładnie, czy przetwarzanie danych ma charakter komercyjny. Jeśli tak, potrzebna jest zgoda lekarzy na podanie jakichkolwiek informacji o nich. GIODO ma za zadanie również wyjaśnić, czy były udzielane zgody lekarzy i czy portal przetwarzał dane lekarza po zgłoszeniu przez niego sprzeciwu.

Nie tylko wolność słowa

Druga opisana historia skłania do kilku wniosków. Otóż po początkowym zachłyśnięciu się niemal nieograniczoną wolnością słowa w internecie coraz częściej dostrzega się, jak wielkie szkody można komuś uczynić za jego pośrednictwem. Coraz częściej ten fakt dostrzegają sądy. Na przykład pod koniec czerwca Europejski Trybunał Praw Człowieka orzekł w jednej ze spraw, że pociągnięcie komercyjnych internetowych portali informacyjnych do odpowiedzialności za treść komentarzy użytkowników nie łamie Europejskiej Konwencji Praw Człowieka. Dodajmy, że w tej sprawie nie odpowiadał na pytanie, czy swoboda wypowiedzi autorów komentarzy została złamana, ale czy obciążenie portalu odpowiedzialnością za komentarze umieszczone przez osoby trzecie było złamaniem prawa do przekazywania informacji (sprawa Delfi przeciw Estonii).

To nowe myślenie cechuje także polskie sądy, tyle że wolno mielą nasze młyny sprawiedliwości. Opisana druga sprawa ciągnie się już trzy lata. Doktor medycyny, kardiolog, Witold Pokojski batalię o ochronę swego dobrego imienia rozpoczął w czerwcu 2012 roku. Warto pogratulować mu cierpliwości oraz, jak sądzę, zręcznego prawnika, który dokładnie przeanalizował przepisy o ochronie danych osobowych.

Jednak mimo wygranej lekarza portal niewiele zmienił swoje procedury. Gra na zwłokę, czeka na wymuszoną przez sąd decyzję GIODO, którą zapewne zaskarży do II instancji.

Spółka, z którą lekarz się wadził, przetwarza dane osobowe 134 tys. lekarzy. O tym, że wielu z nich ma z nią na pieńku, pośrednio świadczy choćby fakt, że skarżącego wspierała Naczelna Rada Lekarska w osobie Macieja Hamankiewicza od dawna prezentująca pogląd, że niektóre serwisy internetowe naruszają dobra osobiste lekarzy.

Czy zatem na przetwarzanie w internecie danych osobowych lekarzy potrzebna będzie ich zgoda?

Wszystko na to wskazuje, że tak.

Od kiedy?