Naczelny Sąd Administracyjny w wyroku o sygn. akt: III OSK 2471/22 jednoznacznie określił na kim spoczywa odpowiedzialność za zabezpieczenie dostępu do danych przetwarzanych w PUE ZUS. Orzeczenie NSA znacząco wpływa na sposób funkcjonowania podmiotów leczniczych oraz na odpowiedzialność lekarzy w zakresie prawidłowego zabezpieczenia dostępów do tego typu systemów.

W analizowanej przez sąd sprawie, lekarka nie była zatrudniona w placówce medycznej na podstawie umowy o pracę, lecz współpracowała z podmiotem leczniczym jako samodzielny podmiot. Postępowanie prowadzone przez NSA dotyczyło ujawnienia danych medycznych pacjentki przez tę lekarkę. Jak zostało ustalone w toku późniejszego procesu, lekarka ta bezprawnie udostępniła informacje innym osobom – członkom personelu podmiotu leczniczego z którym współpracowała, naruszając przy tym zarówno przepisy RODO, jak i krajowe regulacje dotyczące tajemnicy lekarskiej.

Naczelny Sąd Administracyjny stwierdził, że lekarz, a nie placówka medyczna, jest administratorem danych pacjentów pozyskiwanych z konta PUE ZUS. Zatem to lekarz odpowiada samodzielnie za prawidłowe przetwarzanie i zabezpieczenie zgodnie z RODO takich danych. Sąd wskazał również, że o statusie administratora decyduje rzeczywisty wpływ na cele i sposoby przetwarzania danych, a nie formalna relacja z podmiotem leczniczym. Lekarka samodzielnie podejmowała decyzje dotyczące:

• logowania się na indywidualne konto PUE ZUS,
• przeglądania i pobierania danych pacjentów,
• sposobu zabezpieczenia danych,
• udostępniania lub nieudostępniania informacji innym osobom.

Wyrok NSA wskazuje, że to lekarz jako administrator, jest zobowiązany zapewnić zgodność przetwarzania z RODO, w tym ochronę danych przed dostępem osób nieuprawnionych. W szczególności lekarze korzystający z PUE ZUS powinni chronić dane we własnym zakresie, uniemożliwiać dostęp osobom trzecim oraz liczyć się z osobistą odpowiedzialnością za naruszenia.