Czy przeglądanie przez lekarza danych o stanie zdrowia osoby, która nie jest i nie była pacjentem i nigdy nie wyraziła na to zgody, jest zakazane? Czy przeglądanie danych osobowych jest ich przetwarzaniem? Jeśli osoba, która uzyskała wgląd w bazę, nie skopiowała i nie udostępniła nikomu żadnych informacji? (nieprawomocny wyrok SR w Toruniu z 23 czerwca 2022 r., II K 1544/21).
Orzeczenie dotyczyło lekarki (ginekolożki), która parę razy zalogowała się do serwisu internetowego — przy użyciu numer PESEL pewnego mężczyzny — gdzie sprawdzała dane zgromadzone na jego profilu (m.in. o stanie zdrowia i zwolnieniach lekarskich). Mężczyzna nigdy nie był pacjentem lekarki, nie udzielał także zgody na wgląd w jego dane osobowe, zatem niezdrowe ciekawstwo zakwalifikowano jako przestępstwo przetwarzania danych osobowych bez uprawnienia.
Oskarżona przyznała, że czasem zdarzało się jej przeglądać dane różnych osób, które nie są jej pacjentami — jednak wyłącznie w celach szkoleniowych, aby nauczyć się korzystać z systemu. Po uzyskaniu wglądu w dane nie gromadziła ich i nie utrwalała, nie rozpowszechniała i nie udostępniała osobom trzecim — jej zdaniem nie doszło zatem do przetwarzania danych osobowych.
(Pozostawione w uzasadnieniu okruszki pozwalają przypuszczać, że chodzi o platformę PUE ZUS lub coś w ten deseń.)
art. 107 ustawy o ochronie danych osobowych
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Sąd stwierdził, że zgodnie z definicją przetwarzaniem danych osobowych jest m.in. ich „przeglądanie” — zaś przetwarzanie danych osobowych przez osobę nieuprawnioną stanowi przestępstwo. Dane zgromadzone w serwisie niewątpliwie stanowią dane osobowe, przeto uzyskanie przez lekarza wglądu w dane osoby nie będącej jej pacjentem, która nigdy nie wyraziła na to zgody, jest przestępstwem. Jednakże w ocenie sądu całość okoliczności sprawy — w szczególności to, że lekarka nie udostępniła nikomu danych pokrzywdzonego, nie modyfikowała ich, zatem jej działanie właściwie nie spowodowało żadnej szkody — pozwoliły na skorzystanie z dobrodziejstw warunkowego umorzenia postępowania karnego ze względu na nieznaczność społecznej szkodliwości czynu.
Tytułem komentarza: sąd cały czas mówił, że przeglądanie przez lekarza danych o stanie zdrowia oznacza przetwarzanie danych wrażliwych — ale z niejasnych przyczyn w kwalifikacji czynu pojawia się art. 107 ust. 1 uodo, a nie jego ust. 2.