GI-DS-430/218/03 - Udostępnianie przez zakład opieki zdrowotnej danych dotyczących składek na ubezpieczenie zdrowotne.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) oraz art. 141 ust. 1 ustawy z dnia 23 stycznia 2003 r. o powszechnym ubezpieczeniu w Narodowym Funduszu Zdrowia (Dz. U. Nr 45, poz. 391 z późn. zm.), po przeprowadzeniu postępowania administracyjnego na wniosek Szpitala Powiatowego - Samodzielnego Publicznego Zakładu Opieki Zdrowotnej, dotyczący nakazania Zakładowi Ubezpieczeń Społecznych udostępnienia danych osobowych osób, którym Szpital udzielił świadczeń zdrowotnych, w zakresie - czy zostały za te osoby opłacone składki na ubezpieczenie zdrowotne za dany okres,

odmawiam uwzględnienia wniosku.

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Szpitala Powiatowego - Samodzielnego Publicznego Zakładu Opieki Zdrowotnej, zwanego dalej Szpitalem, o nakazanie Zakładowi Ubezpieczeń Społecznych, zwanemu dalej ZUS, udostępnienia mu danych osobowych, dotyczących osób, którym Szpital udzielił świadczeń zdrowotnych, "a za które nie otrzymał wynagrodzenia", w zakresie, czy została za nie opłacona składka na ubezpieczenie zdrowotne za dany okres. W uzasadnieniu tego wniosku Szpital wskazał, iż "dane, o które ubiega się Szpital są niezbędne w celu dochodzenia od Funduszu lub osoby, której udzielono świadczenia roszczeń o zapłatę za udzielone świadczenia" oraz wyraził opinię, że "w niniejszej sprawie mogą znaleźć zastosowanie przepisy ustawy o ochronie danych osobowych, a w szczególności art. 23 ust. 1 pkt 3, 4 lub cyt. ustawy". Z wniosku wynikało także, że uprzednio Szpital zwrócił się do ZUS o udostępnienie przedmiotowych danych pacjentów, jednakże ZUS odmówił ich udostępnienia, powołując się na zamknięty katalog podmiotów uprawnionych do pozyskania informacji zgromadzonych na koncie ubezpieczonego, wymienionych w przepisie art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.).

W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Z przepisu art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), zwanej dalej ustawą, wynika że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w nim przesłanek. Przesłanki te odnoszą się do wszelkich form przetwarzania danych, określonych w art. 7 pkt 2 ustawy, w rym w szczególności do ich udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z przesłanek. Mając na uwadze okoliczności niniejszej sprawy, wskazać należy, że stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne m.in. gdy zezwalają na to przepisy prawa (pkt 2) oraz gdy jest do niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4).

W powołanym wyżej przepisie art. 23 ust. 1 pkt 2 ustawa odsyła zatem do przepisów szczególnych regulujących przetwarzanie danych w poszczególnych dziedzinach życia społecznego, określających kto, komu i w jakich okolicznościach może udostępniać informacje dotyczące osób fizycznych. Takie szczególne przepisy z zakresu przetwarzania danych osobowych, dotyczące osób, które korzystają ze świadczeń zdrowotnych udzielanych przez zakłady opieki zdrowotnej zawierają ustawa z dnia 23 stycznia 2003 r. o powszechnym ubezpieczeniu zdrowotnym w Narodowym Funduszu Zdrowia (Dz. U. Nr 45, poz. 391 z późn. zm.), zwana dalej ustawą o ubezpieczeniu zdrowotnym, oraz powołana wyżej ustawa o systemie ubezpieczeń społecznych.

Przepis art. 141 ust. 1 ustawy o ubezpieczeniu zdrowotnym stanowi, że Narodowy Fundusz Zdrowia jest uprawniony do uzyskiwania i przetwarzania danych osobowych osób ubezpieczonych w celu stwierdzenia obowiązku ubezpieczenia zdrowotnego (pkt 1), stwierdzenia obowiązku płacenia składki (pkt 3) oraz rozliczenia ze świadczeniodawcami (pkt 5). Ponadto, Narodowy Fundusz Zdrowia prowadzi Centralny Wykaz Ubezpieczonych w celu potwierdzenia prawa do świadczeń z ubezpieczenia zdrowotnego oraz gromadzenia danych o osobach ubezpieczonych w Narodowym Funduszu Zdrowia (art. 20 ust. 3 ustawy o powszechnym ubezpieczeniu zdrowotnym) i prowadzenie Centralnego Wykazu Ubezpieczonych należy do zakresu działania Narodowego Funduszu Zdrowia (art. 39 ust. 1 pkt 6 ustawy o powszechnym ubezpieczeniu zdrowotnym). Z przepisu art. 29 ust. 3 ustawy o ubezpieczeniu zdrowotnym wynika natomiast, że składki na ubezpieczenie zdrowotne są opłacane i ewidencjonowane w Zakładzie Ubezpieczeń Społecznych. Zakład Ubezpieczeń Społecznych i Kasa Rolniczego Ubezpieczenia Społecznego przekazują do Centrali Narodowego Funduszu Zdrowia dane o ubezpieczonych, wskazane w art. 141 ust. 2 pkt 1 - 5 i przekazanych za nich składkach na ubezpieczenie zdrowotne (art. 29 ust. 6 ustawy o ubezpieczeniu zdrowotnym). Centrala Narodowego Funduszu Zdrowia jest uprawniona do nieodpłatnego dostępu do informacji o ubezpieczonym i opłacanej przez niego składce, w zakresie niezbędnym do realizacji ubezpieczenia zdrowotnego, znajdujących się w Zakładzie Ubezpieczeń Społecznych oraz w Kasie Rolniczego Ubezpieczenia Społecznego (art. 29 ust. 7 ustawy o ubezpieczeniu zdrowotnym). Jednocześnie, do kwestii przetwarzania danych osobowych dotyczących ubezpieczania zdrowotnego odnoszą się także przepisy ustawy o systemie ubezpieczeń społecznych.

Z przepisu art. 50 ust. 3 tej ustawy wynika że dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40 - tj. informacje o wysokości należnych i wpłaconych składek na ubezpieczenie zdrowotne - mogą być udostępniane sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, komornikom sądowym oraz Komisji Nadzoru Ubezpieczeń i Funduszy Emerytalnych, z uwzględnieniem przepisów dotyczących ochrony danych osobowych. Dane, o których mowa w art. 50 ust. 3 udostępnia się także na wniosek osób fizycznych i płatników składek, których dotyczą informacje zawarte na kontach (art. 50 ust. 4 ustawy o systemie ubezpieczeń społecznych).

Z powołanych przepisów wynika zatem, że informacje o rym, czy za daną osobę opłacona została składka na ubezpieczenie zdrowotne posiadają zarówno Narodowy Fundusz Zdrowia, jak też Zakład Ubezpieczeń Społecznych. Jednakże, to Narodowy Fundusz Zdrowia jest ustawowo powołany do potwierdzania okoliczności, czy dana osoba jest objęta ubezpieczeniem zdrowotnym i opłacona została za nią składka za dany okres. W rym celu Narodowy Fundusz Zdrowia prowadzi bowiem specjalny rejestr - Centralny Wykaz Ubezpieczonych, w którym gromadzi dane osobowe, dotyczące ubezpieczenia zdrowotnego i upoważniony został do bezpłatnego pozyskiwania tych danych ze zbiorów prowadzonych przez Zakład Ubezpieczeń Społecznych. Z powołanych przepisów wynika natomiast, że Zakład Ubezpieczeń Społecznych przetwarza dane osobowe z zakresu ubezpieczenia zdrowotnego w innym celu niż stwierdzanie, czy dana osoba może korzystać ze świadczeń z tytułu ubezpieczenia zdrowotnego. Zakład Ubezpieczeń Społecznych przetwarza bowiem te dane w związku z tym, iż pobiera składki na ubezpieczenie zdrowotne. Jednocześnie, z brzmienia przepisu art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych wynika że określony jest katalog podmiotów uprawnionych do pozyskiwania danych zapisanych na koncie ubezpieczonego, który w zakresie informacji o ubezpieczonym i opłaconej za niego składce uzupełniony jest o Centralę Narodowego Funduszu Zdrowia i to z zastrzeżeniem, że uzyskanie tej informacji musi być niezbędne do realizacji ubezpieczenia zdrowotnego.

Z analizy powyższych przepisów wynika zatem, że zakład opieki zdrowotnej, w tym Szpital, nie jest uprawniony do pozyskiwania bezpośrednio od Zakładu Ubezpieczeń Społecznych danych osobowych zapisanych na koncie ubezpieczonego, w zakresie czy opłacona została za niego składka na ubezpieczenie zdrowotne. Informacje w tym zakresie Szpital może uzyskać wyłącznie za pośrednictwem Narodowego Funduszu Zdrowia, który na podstawie przepisu art. 29 ust. 7 ustawy o ubezpieczeniu zdrowotnym upoważniony jest do bezpłatnego pozyskiwania od Zakładu Ubezpieczeń Zdrowotnych danych dotyczących ubezpieczenia zdrowotnego danej osoby.

Jednocześnie, w uzasadnieniu rozpatrywanego wniosku Szpital podniósł, iż dane osobowe pacjenta, w zakresie czy opłacona została za niego składka na ubezpieczenie zdrowotne, są mu "niezbędne w celu dochodzenia od Funduszu lub osoby, której udzielono świadczenia roszczeń o zapłatę za udzielone świadczenia". Stwierdzić wobec tego trzeba, że powołany przez Szpital argument nie znajduje potwierdzenia w przepisach o ubezpieczeniu zdrowotnym. Z przepisów tych wynika bowiem, że wszelkich rozliczeń z tytułu udzielonych świadczeń zdrowotnych oraz związanego z tym ustalenia okoliczności dotyczących ubezpieczenia zdrowotnego osoby, której świadczenia tego udzielono, zakład opieki zdrowotnej dokonuje z Narodowym Funduszem Zdrowia.

Sprawy dotyczące uzyskania przez zakład opieki zdrowotnej zapłaty za udzielone świadczenie zdrowotne regulują przepisy art. 71 i 72 ustawy o ubezpieczeniu zdrowotnym. Podstawą udzielania świadczeń zdrowotnych finansowanych przez Narodowy Fundusz Zdrowia jest umowa o udzielanie świadczeń zdrowotnych zawarta pomiędzy Funduszem i świadczeniodawcą (art. 72 ust. 1 ustawy o ubezpieczeniu zdrowotnym). Ubezpieczony ubiegający się o świadczenie z ubezpieczenia zdrowotnego jest obowiązany przedstawić kartę ubezpieczenia zdrowotnego (art. 71 ust. 1 ustawy o ubezpieczeniu zdrowotnym). W razie nie przedstawienia karty ubezpieczenia zdrowotnego w przepisanych terminach lub w przypadku, gdy ubezpieczony nie opłacił składki na ubezpieczenie zdrowotne przez okres dłuższy niż miesiąc, świadczenie zostaje udzielone na koszt ubezpieczonego (art. 71 ust. 4 ustawy o ubezpieczeniu zdrowotnym). W razie nie odprowadzenia składki za ubezpieczonego przez zobowiązanego płatnika przez okres dłuższy niż miesiąc Fundusz obciąża tego płatnika poniesionymi kosztami świadczeń udzielonych ubezpieczonemu (art. 71 ust. 5 ustawy o ubezpieczeniu zdrowotnym). Świadczeniodawcy działający w ramach umów z Funduszem obowiązani są do gromadzenia i przekazywania Funduszowi danych dotyczących udzielanych świadczeń zdrowotnych (art. 141 ust. 3 ustawy o ubezpieczeniu zdrowotnym). Zakres danych osobowych pacjenta gromadzony przez zakład opieki zdrowotnej określa precyzyjnie rozporządzenie Ministra Zdrowia z dnia 11 października 2001 r. w sprawie zakresu niezbędnych danych gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych danych oraz ich udostępniania kasom chorych, Prezesowi Urzędu Nadzoru Ubezpieczeń Zdrowotnych, ministrowi właściwemu do spraw zdrowia i wojewodom (Dz. U. Nr 121, poz. 1318 z późn. zm.).

Z powołanych przepisów wynika zatem, że jeszcze przed udzieleniem świadczenia zdrowotnego Szpital powinien odebrać od pacjenta informację, czy jest on objęty powszechnym ubezpieczeniem zdrowotnym. Po udzieleniu świadczenia Szpital występuje natomiast do Narodowego Funduszu Zdrowia o zapłatę za udzielone świadczenie, który powinien sprawdzić w prowadzonym przez siebie Centralnym Wykazie Ubezpieczonych, czy za daną osobę była opłacona składka na ubezpieczenie zdrowotne. Jeżeli Narodowy Fundusz Zdrowia ewentualnie odmawia Szpitalowi zwrotu kosztów udzielonego świadczenia ze względu na to, że za osobę, której udzielono świadczenia nie była opłacona składka na ubezpieczenie zdrowotne, to Szpital albo powinien zakwestionować zasadność takiej odmowy i zwrócić się, aby Narodowy Fundusz Zdrowia skorzystał z trybu art. 29 ust. 7 ustawy o ubezpieczeniu zdrowotnym NFZ, tj. sprawdził, czy również według informacji zawartych w zbiorach prowadzonych przez ZUS lub KRUS osoba ta jest nie ubezpieczona albo - uznając zasadność odmowy - powinien wystąpić o zwrot kosztów bezpośrednio do ubezpieczonego. Ponadto, Szpital może również wystąpić do Narodowego Funduszu Zdrowia aby obciążył kosztami udzielonego świadczenia zdrowotnego płatnika składek, stosownie do przepisów art. 71 ust. 4 i 5 ustawy o ubezpieczeniu zdrowotnym.

W świetle powyższego, stwierdzić trzeba, że przepisy prawa nie dopuszczają możliwości występowania przez zakłady opieki zdrowotnej do Zakładu Ubezpieczeń Społecznych z wnioskiem o udzielenie informacji o tym, czy za daną osobę, której udzielono świadczenia zdrowotnego opłacona była składka na ubezpieczenie zdrowotne za dany okres. W konsekwencji, ZUS zasadnie odmówił Szpitalowi udostępniania danych osobowych w tym zakresie.

Wniosek Szpitala o nakazanie ZUS udostępnienia przedmiotowych danych osobowych nie może być uwzględniony nie tylko na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, ale również na podstawie art. 23 ust. 1 pkt 4 tej ustawy.

Z powołanego już wyżej przepisu art. 23 ust. 1 pkt 4 ustawy o ochronie danych osobowych wynika że przetwarzanie danych osobowych jest dopuszczalne, o ile występują łącznie trzy okoliczności. Przetwarzanie danych powinno zatem następować w interesie publicznym, zadania publiczne, dla wykonania których przetwarzane są dane osobowe, powinny być określone prawem oraz przetwarzanie danych, powinno być niezbędne dla realizacji tych zadań. Przyjmuje się przy tym, że przetwarzanie danych odpowiada kryterium "niezbędności" wówczas, gdy rezygnacja z przetwarzania uniemożliwia lub w znacznym stopniu utrudnia wykonywanie zadań publicznych (tak też J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2002, s. 371 - 372).

W świetle powyższego, mając na uwadze przepisy ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz. U. Nr 91, poz. 408 z późn. zm.) stwierdzić trzeba, że niewątpliwie zadania z zakresu udzielania świadczeń zdrowotnych, jakie wykonują zakłady opieki zdrowotnej, w tym szpitale, realizowane są dla dobra publicznego, niemniej z okoliczności niniejszej sprawy wynika, że pozyskanie przez Szpital od Zakładu Ubezpieczeń Społecznych danych osobowych, w zakresie czy za daną osobę, której udzielił świadczenia opłacona została składka na ubezpieczenie zdrowotne, nie jest mu niezbędne do realizacji tego świadczenia w tym uzyskania refundacji jego kosztów. Jak już bowiem wyżej wskazano, dane osobowe, których dotyczy wniosek Szpitala przetwarzane są przez Narodowy Fundusz Zdrowia w Centralnym Wykazie Ubezpieczonych, a ponadto, w odniesieniu do danych osób, które nie są ubezpieczone, Centrala Narodowego Funduszu Zdrowia uprawniona jest do bezpłatnego pozyskiwania informacji w tym zakresie od Zakładu Ubezpieczeń Społecznych.

Na konieczność badania przesłanki "niezbędności" w sprawach, które dotyczą udostępnienia danych osobowych ze zbiorów Zakładu Ubezpieczeń Społecznych zwrócił uwagę Naczelny Sąd Administracyjny. W szczególności, z wyr. Naczelnego Sądu Administracyjnego z dnia 21 marca 2002 r. (sygn. akt II S.A. 1854/01) wynika że w określonych sytuacjach podmioty realizujące zadania publiczne uprawnione są do występowania, na podstawie art. 23 ust. 1 pkt 4 ustawy o ochronie danych osobowych, do Zakładu Ubezpieczeń Społecznych o udzielenie informacji, dotyczących osób ubezpieczonych, niemniej "żądane informacje powinny być niezbędne do prowadzenia działalności". Zakład Ubezpieczeń Społecznych nie jest bowiem instytucją ustawowo zobligowaną do udzielania przedmiotowych informacji na każde żądanie i wniosek w tym zakresie powinien wskazywać na brak prawnej możliwości pozyskania ich z innych źródeł.

Ponadto, wbrew stanowisku prezentowanemu przez Szpital we wniosku, pozyskanie przez niego od ZUS danych osobowych osób, którym udzielił świadczeń zdrowotnych nie jest uzasadnione również w świetle pozostałych przesłanek przetwarzania danych osobowych, określonych w przepisach art. 23 ust. 1 pkt 3 i 5 ustawy o ochronie danych osobowych.

Zgodnie z przepisem art. 23 ust. 1 pkt 3 ustawy, przetwarzanie danych jest dopuszczalne, gdy jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy. Wobec powyższego, skoro wniosek Szpitala dotyczy danych osobowych osoby, której udzielił świadczenia, to niewątpliwie analizowana przesłanka nie jest spełniona. Osoba, której dane dotyczą nie jest bowiem związana ze Szpitalem żadną umową, a jedynie w ramach umowy zawartej z Narodowym Funduszem Zdrowia Szpital wykonał na rzecz tej osoby świadczenie zdrowotne.

Ponadto, do okoliczności niniejszej sprawy nie znajduje również zastosowania przepis art. 23 ust. 1 pkt 5 ustawy, stosownie do którego, przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Przy czym, zgodnie z art. 23 ust. 1 pkt 5 ustawy, za prawnie usprawiedliwiony cel, o którym w art. 23 ust. pkt 5 ustawy, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1) oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2).

W odniesieniu do powołanego przepisu oraz w nawiązaniu do przedstawionego już wyżej stanowiska Generalnego Inspektora, stwierdzić trzeba, że niewątpliwie Szpital przetwarza wszelkie dane osobowe pacjentów dla prawnie usprawiedliwionych celów, niemniej dane, dotyczących opłacenia składki na ubezpieczenie zdrowotne nie są mu niezbędne dla realizacji świadczenia zdrowotnego i uzyskania refundacji jego kosztów. Dane te przetwarzane są bowiem przez Narodowy Fundusz Zdrowia w sposób, który szczegółowo uregulowany jest przepisami prawa.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.