W wyniku czynności kontrolnych przeprowadzonych w 2011 r. przez Generalnego Inspektora Ochrony Danych Osobowych w jednym ze szpitali stwierdzono, że szpital ten nie sprawuje kontroli nad przechowywaniem i zabezpieczeniem zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych pacjentom szpitala Szpital twierdził, że obowiązek w tym zakresie spoczywa na lekarzach, którzy je wystawili. GIODO nie podzieli tego stanowiska.
Generalny Inspektor Ochrony Danych Osobowych podniósł, że zaświadczenie o czasowej niezdolności do pracy wystawione przez uprawnionego lekarza pacjentowi zakładu opieki zdrowotnej (pod nagłówkową pieczęcią zakładu opieki zdrowotnej), stanowi dokument medyczny indywidualny zewnętrzny wytworzony przez zakład opieki zdrowotnej. Zatem szpital, jako administrator danych osobowych pacjentów szpitala, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę danych osobowych pacjentów znajdujących się na wystawionych im zaświadczeniach lekarskich o czasowej niezdolności do pracy, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
GIODO powołał się na uzasadnienie do postanowienia z dnia 15 lutego 2000 r., w którym Trybuna Konstytucyjny stwierdził, iż: „Zarówno materiały dokumentujące historię choroby pacjenta, jak również druki zaświadczeń lekarskich należą do danych chronionych tajemnicą służbową. Zakład pracy obowiązany jest zabezpieczyć właściwy tryb postępowania związany z obiegiem, gromadzeniem i przechowywaniem tych dokumentów, aby uniemożliwić osobom nieupoważnionym zapoznawanie się z treścią informacji zawartych w tych dokumentach. Obowiązek ten dotyczy również przekazywania zaświadczeń lekarskich do właściwej jednostki organizacyjnej ZUS.
Nic w treści art. 58 ustawy nie wskazuje na to, by ustawodawca nakazywał lekarzowi zatrudnionemu w zakładzie opieki zdrowotnej osobiste wykonywanie wskazanych w tym przepisie obowiązków o charakterze organizacyjnym oraz obciążał go kosztami w tym względzie.”. W związku z tym, że opisane działania szpitala polegały na niezastosowaniu środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mających na celu zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wobec danych osobowych znajdujących się na zaświadczeniach o niezdolności do pracy wystawionych pacjentom tego szpitala, Generalny Inspektor wszczął postępowanie administracyjne w zakresie stwierdzonych uchybień.
Źródło: „Sprawozdanie Z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2011” s. 22-23
