GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski D E C Y Z J A. Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274



Podobne dokumenty
ODPOWIEDŹ NA PYTANIE PRAWNE

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ustawa z dnia 26 czerwca 1974r. Kodeks pracy artykuły od 235 do 237 1

i 201) -iń- i 7 l! GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E CYZJA DIS/DEC dot. DIS-K-421/23/14

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy. (Dz. U. z dnia 2 lipca 2009 r.

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Elektroniczne zwolnienia lekarskie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

PROJEKT UMOWY W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych załącznik do umowy nr DZP- 19/2019/.. z dnia..

Umowa o powierzenie przetwarzania danych osobowych. SP ZOZ Szpitalem Wielospecjalistycznym w Jaworznie Zleceniodawcą Administratorem Zleceniobiorcą

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DECYZJA. Warszawa, dnia 29 kwietnia 2013 r.

Informacja na temat przeprowadzonego audytu

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. dr Wojciech R. Wiewiórowski DIS/DEC-494/12/34109

Warszawa, dnia 6 listopada 2003 r.

UDZIELANIE ŚWIADCZEŃ

CENTRUM CYFROWEJ ADMINISTRACJI

Warszawa, dnia 19 lutego 2013 r. Poz. 229 OBWIESZCZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1) z dnia 29 stycznia 2013 r.

Pan Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych ul. Stawki Warszawa

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

DECYZJA w sprawie czasowego zaprzestania działalności

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Umowa powierzenia przetwarzania danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

znak: XXXXXXXXXXX Warszawa, dnia 8 listopada 2017 r.

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

USTAWA z dnia 17 października 2008 r. o zmianie ustawy o służbie medycyny pracy

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Umowa powierzenia przetwarzania danych osobowych do umowy nr (wzór)

PROCEDURA PRZYJMOWANIA I ROZPATRYWANIA SKARG I WNIOSKÓW W ZESPOLE OPIEKI ZDROWOTNEJ W BUSKU-ZDROJU

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (*dane podmiotu który umowę zawiera) (*dane podmiotu który umowę zawiera)

Pani Małgorzata Syczewska Dyrektor Instytutu Pomnik Centrum Zdrowia Dziecka w Warszawie al. Dzieci Polskich Warszawa

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

WZÓR CZĘŚĆ I WNIOSEK DO DYREKTORA ODDZIAŁU WOJEWÓDZKIEGO NARODOWEGO FUNDUSZU ZDROWIA

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

ODPOWIEDŹ NA PYTANIE PRAWNE

Dane osobowe w data center

DECYZJA. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Ewa Kulesza -Ą ( Warszawa, 30 kwietnia 2004 r. GI- DEC-DIS-105/04/208

Podstawy prawa administracyjnego (PPA) - kodeks i postępowanie - Kodeksowe zasady ogólne (i wybrane inne) Zestaw 5

REGULAMIN PRZYJMOWANIA I ROZPATRYWANIA SKARG I WNIOSKÓW W SAMODZIELNYM PUBLICZNYM ZAKŁADZIE OPIEKI ZDROWOTNEJ W LISZKACH

ZAŁĄCZNIK NR 7 DO UMOWY NR [***] O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia danych osobowych. zawarta dnia. roku pomiędzy: reprezentowaną przez Burmistrza Gminy Stęszew Włodzimierza Pinczaka.

W Y S T Ą P I E N I E P O K O N T R O L N E

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ODWOŁANIE. Wrocław, dnia r. Waldemar Wietrzykowski ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~ ~~~~~~ Wrocław

4. O zakresie i terminie kontroli organ kontroli zawiadamia pisemnie kontrolowanego. 5. Kontrola jest prowadzona przez co najmniej dwie osoby.

(dotyczy przetwarzania danych osobowych przez zakład ubezpieczeń) DECYZJA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

UMOWA RAMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. roku pomiędzy: (zwana dalej Umową )

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

REGULAMIN UDZIELANIA GWARANCJI PRZEZ INTERRISK TOWARZYSTWO UBEZPIECZEŃ SPÓŁKA AKCYJNA VIENNA INSURANCE GROUP. Postanowienia ogólne

KORZYSTANIA PORTALU. udostępnianego przez Powiatowy Zespół Zakładów Opieki Zdrowotnej. Postanowienia ogólne

(*dane podmiotu który umowę zawiera)

D E C Y Z J A. Uzasadnienie

zawarta dnia.. pomiędzy: (*dane podmiotu który umowę zawiera)

Umowa o powierzanie przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy:

PROJEKT UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

w Warszawie Sąd Najwyższy RP Skarżący: Fundacja [...] SKARGA na postanowienie Pierwszego Prezesa Sądu Najwyższego RP

Północno-Wschodni Klaster Edukacji Cyfrowej

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, 22/12/02008r. RZECZPOSPOLITA POLSKA Rzecznik Praw Obywatelskich RPO I-07/MK

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

w przedmiotowym zakresie, w przypadku korzystania z nich przez jedno z rodziców. Temu celowi służy projektowane brzmienie 13 ust.

WOJEWÓDZKI SZPITAL IM. FRYDERYKA CHOPINA W RZESZOWIE UL. CHOPINA 2, RZESZÓW SZCZEGÓŁOWE WARUNKI KONKURSU OFERT

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

DECYZJA. Uzasadnienie

UMOWA POWIERZENIA PRZETWARZANIA DANYCH TARNOWSKIE GÓRY. Nazwa firmy. imię. nazwisko NIP REGON. Kod pocztowy. miejscowość.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

PROCEDURA W SPRAWIE SZCZEGÓŁOWEGO TRYBU POSTĘPOWANIA POWYPADKOWEGO PRACOWNIKÓW SZKOŁY PODSTAWOWEJ NR 50 WE WROCŁAWIU

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

W Projekcie umowy stanowiącym załącznik nr 3 do SIWZ, 8 ust. 1 przyjmuje brzmienie:

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274 dot. [ ] D E C Y Z J A Na podstawie art. 104 1 i art. 105 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w związku z art. 31 ust. 1 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Szpital Wojewódzki w T., I. Nakazuję Szpitalowi Wojewódzkiemu w T. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1. Zabezpieczenie dokumentacji medycznej (historii chorób pacjentów) przechowywanej w pomieszczeniu zajmowanym przez sekretarki medyczne na Oddziale [ ], na otwartej półce, przed możliwością jej udostępnienia osobom nieupoważnionym, zabrania przez osobę nieuprawnioną, przetwarzania z naruszeniem ustawy oraz zmiany, utraty, uszkodzenia lub zniszczenia, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 2. Zabezpieczenie dokumentacji medycznej pacjentów przechowywanej w pomieszczeniach [ ] przed jej zniszczeniem lub uszkodzeniem poprzez zainstalowanie czujek przeciwpożarowych w ww. pomieszczeniach, w terminie 60 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. ul. Stawki 2 00-193 Warszawa 1 tel. 860-70-97 fax 860-70-86 www.giodo.gov.pl

3. Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mających na celu zabezpieczenie danych osobowych pacjentów Szpitala znajdujących się na zaświadczeniach o niezdolności do pracy przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, w terminie 60 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umarzam. U z a s a d n i e n i e Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w Szpitalu Wojewódzkim w T., zwanym dalej również Szpitalem, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych sygn. akt [ ], tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej również ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej również rozporządzeniem. W toku kontroli odebrano od pracowników Szpitala ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Dyrektora Szpitala. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Szpital, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1. Niezawarciu umowy powierzenia przetwarzania danych z S. s.c., jako podmiotem zajmującym się niszczeniem dokumentacji medycznej wytworzonej przez Szpital (art. 31 ust. 1 ustawy). 2. Przechowywaniu dokumentacji medycznej (historii chorób pacjentów) w pomieszczeniu zajmowanym przez [ ] na Oddziale [ ] w sposób stwarzający niebezpieczeństwo udostępnienia tych danych osobom nieupoważnionym, zabrania przez osobę nieuprawnioną, przetwarzania z naruszeniem ustawy oraz zmiany, utraty, uszkodzenia lub zniszczenia (art. 36 ust. 1 ustawy). 3. Niezabezpieczeniu dokumentacji medycznej pacjentów przechowywanej w pomieszczeniach [ ] do następujących Specjalistycznych Poradni Konsultacyjnych Szpitala [ ] przed możliwością dostępu do niej przez osoby nieupoważnione, tj. personel sprzątający (art. 36 ust. 1 ustawy).

4. Niezabezpieczeniu dokumentacji medycznej pacjentów przechowywanej w pomieszczeniach [ ] jej zniszczeniem lub uszkodzeniem z uwagi na to, iż w ww. pomieszczeniu nie zainstalowano czujek przeciwpożarowych (art. 36 ust. 1 ustawy). 5. Niezastosowaniu środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mających na celu zabezpieczenie danych osobowych pacjentów Szpitala znajdujących się na zaświadczeniach o niezdolności do pracy przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy). W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. W piśmie zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie [ ], Szpital został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Szpitala w piśmie z dnia [ ] grudnia 2011 r., złożył wyjaśnienia, w których poinformował m.in. że: 1. W dniu [ ] września 2011 r. Szpital zawarł umowę z S. zajmującą się niszczeniem dokumentów niearchiwalnych. 2. Podjęto decyzję o przeprowadzeniu postępowania na zakup, dostawę i montaż systemu alarmowego celem uzupełnienia obecnie funkcjonującego systemu ostrzegania. Rozstrzygnięto postępowanie na zakup i instalację czujek ruchu oraz czujek przeciwpożarowych w pomieszczeniach [..] oraz pomieszczeniach [ ]. Czujki te zostaną zainstalowane do końca 2011 r. Ponadto w styczniu 2012 r. system ostrzegania zostanie uzupełniony o czujki alarmowe w dodatkowych pomieszczeniach wskazanych po wewnętrznej analizie. 3. W zakresie zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych zgodnie z art. 58 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa Szpital uważa, że obowiązek ich przechowywania i właściwego zabezpieczenia spoczywa na lekarzach wystawiających te zaświadczenia, nie zaś na podmiocie leczniczym, w którym lekarz wystawił to zaświadczenie. Powyższe Szpital wywodzi z przepisów ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa.

Ponadto do ww. pisma załączono, jako dowody mające potwierdzić przesłane wyjaśnienia: kserokopię umowy zawartej w dniu [...] września 2011 r. pomiędzy Szpitalem Wojewódzkim w T. a S., kserokopię pisma Dyrektora Szpitala z dnia [ ] września 2011 r., znak: [ ], kserokopię polecenia służbowego Kierownika Działu [ ] z dnia [ ] września 2011 r., kserokopię pisma Kierownika Działu [ ] z dnia [ ] września 2011 r. znak: [ ]. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje: Zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W toku kontroli ustalono, że w pomieszczeniu zajmowanym przez [ ] na Oddziale [ ], na otwartej półce, przechowywana jest dokumentacja medyczna [ ]. W ww. pomieszczeniu są obsługiwani pacjenci Szpitala. Mając na uwadze powyższe należy stwierdzić, iż zastosowane w wyżej opisanym przypadku środki techniczne i organizacyjne nie są wystarczające dla zapewnienia ochrony danych osobowych pacjentów, odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną z uwagi na to, iż przechowywanie dokumentacji medycznej zawierającej dane osobowe pacjentów na otwartych półkach w pomieszczeniu, w którym są przyjmowani pacjenci Szpitala, stwarza niebezpieczeństwo udostępnienia tych danych osobom nieupoważnionym, zabrania przez osobę nieuprawnioną, przetwarzania z naruszeniem ustawy oraz zmiany, utraty, uszkodzenia lub zniszczenia. W toku kontroli ustalono, że w pomieszczeniu [ ], na odkrytych regałach, przechowywane są [ ] umieszczone w kopertach. W ww. pomieszczeniu nie zainstalowano czujek przeciwpożarowych. Ponadto w toku kontroli ustalono, że w pomieszczeniu [ ], na otwartych regałach w tekturowych pudełkach, przechowywane są [ ]. W ww. pomieszczeniu brak jest czujek przeciwpożarowych. Mając na uwadze powyższe należy wskazać, iż brak czujek przeciwpożarowych w ww. pomieszczeniach powoduje, iż przechowywane w nich dane osobowe pacjentów Szpitala nie są w wystarczający sposób zabezpieczone przed ich uszkodzeniem lub zniszczeniem. W piśmie z dnia [ ] grudnia 2011 r. Dyrektor Szpitala złożył wyjaśnienia, w których poinformował m.in. że rozstrzygnięto postępowanie na zakup i instalację czujek ruchu oraz czujek przeciwpożarowych w pomieszczeniach [ ] oraz w pomieszczeniach [ ] oraz, że czujki te zostaną

zainstalowane do końca 2011 r. Szpital nie poinformował jednak, czy powyższe zamierzenie zostało zrealizowane. Zatem, nie można uznać, iż przywrócono stan zgodny z prawem w powyższym zakresie. W toku kontroli ustalono ponadto, że Szpital nie przechowuje i nie zabezpiecza [ ], bowiem uważa, iż obowiązek przechowywania i właściwego zabezpieczenia [ ] spoczywa na lekarzach [ ]. Z ustaleń kontroli wynika, że [ ] przechowują lekarze, a Szpital w żaden sposób nie ingeruje w sposób przechowywania i zabezpieczenia [...]. W piśmie z dnia [ ] grudnia 2011 r., stanowiącym odpowiedź na zawiadomienie wszczęciu postępowania administracyjnego, Dyrektor Szpitala wyjaśnił, iż w zakresie [ ] wystawionych zgodnie z art. 58 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2010 r. Nr 77, poz. 512 ze zm.) Szpital uważa, że obowiązek ich przechowywania i właściwego zabezpieczenia spoczywa na lekarzach [ ], nie zaś na podmiocie leczniczym, w którym lekarz wystawił to zaświadczenie. Szpital wywodzi powyższe stanowisko z art. 54 ust. 1, art. 55 ust 2 i ust. 6, art. 56 ust. 1 i art. 58 ust. 1 pkt 1 i pkt 3 ww. ustawy. W związku z powyższym należy wskazać, iż zgodnie z art. 55 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa, zaświadczenie lekarskie o czasowej niezdolności do pracy z powodu choroby lub pobytu w stacjonarnym zakładzie opieki zdrowotnej, konieczności osobistego sprawowania przez ubezpieczonego opieki nad chorym członkiem rodziny, zwane dalej zaświadczeniem lekarskim, jest wystawiane na odpowiednim druku, według wzoru określonego w przepisach wydanych na podstawie art. 59 ust. 14 ww. ustawy. Wzór zaświadczenia lekarskiego (ZUS ZLA) określa załącznik nr 1 do rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu wystawiania zaświadczeń lekarskich, wzoru zaświadczenia lekarskiego i zaświadczenia lekarskiego wydanego w wyniku kontroli lekarza orzecznika Zakładu Ubezpieczeń Społecznych (Dz. U. z 1999 r. Nr 65, poz. 741 z późn. zm.). W myśl art. 54 ust. 1 ww. ustawy, do wystawiania zaświadczeń lekarskich, o których mowa w art. 55, Zakład Ubezpieczeń Społecznych upoważnia lekarza, lekarza dentystę, felczera i starszego felczera po złożeniu przez niego pisemnego oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z przepisów ustawy. Zgodnie z art. 55 ust. 3 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa, zaświadczenie lekarskie jest poufne. Natomiast w myśl art. 58 ust. 1 przedmiotowej ustawy, zaświadczenie lekarskie wystawia się z dwiema

kopiami, oryginał zaświadczenia lekarskiego wystawiający zaświadczenie przesyła, w ciągu 7 dni od dnia wystawienia zaświadczenia, bezpośrednio do terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych, pierwszą kopię zaświadczenia lekarskiego otrzymuje ubezpieczony, drugą kopię wystawiający zaświadczenie przechowuje przez okres 3 lat. Zgodnie z 2 ust. 2 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2010 r. Nr 252, poz. 1697), dokumentacja medyczna indywidualna obejmuje m.in. dokumentację indywidualną wewnętrzną, tj. przeznaczoną na potrzeby podmiotu udzielającego świadczeń zdrowotnych oraz dokumentację indywidualną zewnętrzną, tj. przeznaczoną na potrzeby pacjenta korzystającego ze świadczeń zdrowotnych udzielonych przez podmiot. Zaświadczenie, zgodnie z 2 ust. 4 pkt 3 ww. rozporządzenia, stanowi dokumentację indywidualną zewnętrzną. Ponadto w myśl 2 ust. 5 ww. rozporządzenia, w dokumentacji indywidualnej wewnętrznej dokonuje się wpisu o wydaniu dokumentacji indywidualnej zewnętrznej lub załącza jej kopie. Mając na uwadze ww. przepisy należy wskazać, iż zaświadczenie o czasowej niezdolności do pracy wystawione przez uprawnionego lekarza stanowi dokument medyczny indywidualny zewnętrzny. Zaświadczenie o czasowej niezdolności do pracy wystawione przez uprawnionego lekarza pacjentowi zakładu opieki zdrowotnej (pod nagłówkową pieczęcią zakładu opieki zdrowotnej), stanowi dokument medyczny indywidualny zewnętrzny wytworzony przez zakład opieki zdrowotnej. W związku z powyższym, zakład opieki zdrowotnej, jako administrator danych osobowych pacjentów korzystających z udzielanych przez ten zakład świadczeń zdrowotnych, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę danych osobowych znajdujących się na wystawionych pacjentom zaświadczeniach lekarskich o czasowej niezdolności do pracy, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Mając na uwadze powyższe należy stwierdzić, że Szpital, jako administrator danych osobowych pacjentów Szpitala, nie podejmując żadnych działań mających na celu prawidłowe zabezpieczenie zaświadczeń lekarskich o czasowej niezdolności do pracy, nie zastosował środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mających na celu zabezpieczenie danych osobowych pacjentów Szpitala znajdujących się na zaświadczeniach o niezdolności do pracy przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

W tym miejscu warto również zwrócić uwagę na uzasadnienie Trybunału Konstytucyjnego do postanowienia z dnia 29 listopada 1999 r., sygn. T. 28/99, wydanego po wstępnym rozpoznaniu wniosku Ogólnopolskiego Związku Zawodowego Lekarzy w sprawie stwierdzenia niezgodności art. 58 ust. 1 pkt 1 i 3 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. Nr 60, poz. 636) z art. 32 ust. 1 i 2 Konstytucji RP oraz uzasadnienie Trybunału Konstytucyjnego do postanowienia z dnia 15 lutego 2000 r., sygn. T. 28/99, wydanego po rozpoznaniu zażalenia Ogólnopolskiego Związku Zawodowego Lekarzy na ww. postanowienie z uwagi na to, iż w uzasadnieniach tych Trybunał Konstytucyjny wypowiedział się na temat obowiązków w zakresie wystawiania i przechowywania zaświadczeń lekarskich o czasowej niezdolności do pracy, jak również przekazywania ich do ZUS. Ogólnopolski Związek Zawodowy Lekarzy wystąpił do Trybunału Konstytucyjnego o stwierdzenie niezgodności art. 58 ust. 1 pkt 1 i 3 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa z art. 32 ust. 1 i 2 Konstytucji RP podnosząc, że zaskarżony przepis zobowiązuje lekarzy, zatrudnionych na podstawie umowy o pracę, do ponoszenia wydatków związanych bezpośrednio z pracą wykonywaną na rzecz pracodawcy (wystawianiem zaświadczeń lekarskich, ich przechowywaniem przez okres 3 lat i wysyłaniem do Zakładu Ubezpieczeń Społecznych kopii zwolnień lekarskich). Wnioskodawca wskazał, że wystawianie druków ZUS ZLA nie jest świadczeniem zdrowotnym i w związku z tym nie jest opłacane przez zakłady opieki zdrowotnej. Uzasadniając postanowienia wydane w przedmiotowej sprawie Trybunał Konstytucyjny stwierdził, iż wbrew twierdzeniu wnioskodawcy, zaskarżony art. 58 ust. 1 pkt 1 i pkt 3 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa nie nakłada na lekarza zatrudnionego w jednostce organizacyjnej służby zdrowia obowiązku osobistego wysyłania do ZUS-u wystawionego zaświadczenia lekarskiego, ani do osobistego przechowywania kopii wystawionych zaświadczeń przez okres 3 lat, a co za tym idzie, z zakwestionowanego przepisu nie wynika, aby lekarz był zobowiązany do osobistego ponoszenia wydatków związanych z wysyłką i archiwizacją wystawianych zaświadczeń. Trybunał podkreślił, że sporządzenie i wystawienie zaświadczenia lekarskiego o czasowej niezdolności do pracy z powodu choroby lub pobytu w stacjonarnym zakładzie opieki zdrowotnej jest integralnie związane z procesem badania, leczenia lub porady lekarskiej. W związku z powyższym odrębne wynagrodzenie z tego tytułu lekarzowi nie może się należeć. Wskazał ponadto, iż lekarze zatrudnieni w zakładach opieki zdrowotnej lub innych jednostkach organizacyjnych służby zdrowia, wykonują swoją pracę na ryzyko pracodawcy. Wysyłanie wystawionych zaświadczeń oraz ich przechowywanie należą do czynności o

charakterze organizacyjnym, a te należą do obowiązków pracodawcy. Natomiast lekarz osobiście odpowiada za treść zaświadczenia i osobiście je podpisuje gwarantując jego prawdziwość i zgodność ze stanem faktycznym. W uzasadnieniu do postanowienia z dnia 15 lutego 2000 r., sygn. T. 28/99, Trybunał Konstytucyjny stwierdził, iż Zarówno materiały dokumentujące historię choroby pacjenta, jak również druki zaświadczeń lekarskich należą do danych chronionych tajemnicą służbową. Zakład pracy obowiązany jest zabezpieczyć właściwy tryb postępowania związany z obiegiem, gromadzeniem i przechowywaniem tych dokumentów, aby uniemożliwić osobom nieupoważnionym zapoznawanie się z treścią informacji zawartych w tych dokumentach. Obowiązek ten dotyczy również przekazywania zaświadczeń lekarskich do właściwej jednostki organizacyjnej ZUS. Nic w treści art. 58 ustawy nie wskazuje na to, by ustawodawca nakazywał lekarzowi zatrudnionemu w zakładzie opieki zdrowotnej osobiste wykonywanie wskazanych w tym przepisie obowiązków o charakterze organizacyjnym oraz obciążał go kosztami w tym względzie.. Jednocześnie, na podstawie złożonych przez Dyrektora Szpitala pisemnych wyjaśnień oraz przedstawionych pozostałych dowodów należy stwierdzić, że pozostałe uchybienia w procesie przetwarzania danych osobowych stanowiące przedmiot postępowania zostały usunięte, tj.: 1. Szpital zawarł umowę powierzenia przetwarzania danych, o której mowa w art. 31 ust. 1 ustawy z podmiotem zajmującym się niszczeniem dokumentacji medycznej wytworzonej przez Szpital, tj. z S. s.c. 2. Szpital zastosował środki organizacyjne mające na celu zabezpieczenie dokumentacji medycznej pacjentów przechowywanej w pomieszczeniach rejestracji do następujących Specjalistycznych Poradni Konsultacyjnych Szpitala [ ] przed możliwością dostępu do niej przez osoby nieupoważnione, tj. personel sprzątający. Stosownie do art. 105 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 1 k.p.a. jest bezprzedmiotowość postępowania z jakiejkolwiek przyczyny, czyli z przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. S.A./Sz1029/97). Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji. Jednocześnie informuję, iż w razie niewykonania decyzji w terminie, zostanie wobec podmiotu zobowiązanego do jej wykonania wszczęte postępowanie egzekucyjne na podstawie przepisów ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954 z późn. zm.).

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres