Pani Katarzyna jest pracownicą urzędu gminy. Miała ostatnio trochę rodzinnych kłopotów, popadła w depresję. Postanowiła skorzystać z pomocy psychiatry. Ten zapowiedział dłuższe leczenie, ale na początek, dla pozbierania się, wystawił jej zwolnienie lekarskie. – Jakież było moje zdziwienie, gdy okazało się, że już wszyscy o tym wiedzą. Ktoś założył na Facebooku profil z „wieściami z gminy” i tam wypisuje, co mu ślina na język przyniesie na temat gminnych stosunków międzyludzkich. Tam też znalazła się informacja, że „leczę się na głowę” i jestem na zwolnieniu „wystawionym przez lekarza psychiatrę” – pisze pani Katarzyna. Nasza czytelniczka jest oburzona. Cała strona tryska jadem i obraża wiele osób. Ale w jaki sposób ktoś dowiedział się o jej zwolnieniu, które powinno być objęte tajemnicą? Jak ma się zachować w tej sytuacji? Gdzie szukać pomocy? Do kogo się zwrócić.
Ponieważ w opisanej sprawie mogło dojść do popełnienia przestępstwa, a nawet przestępstw (niewłaściwego zabezpieczenia danych osobowych, naruszenia dóbr osobistych, zniesławienia lub zniewagi), w pierwszej kolejności należałoby zawiadomić organy ścigania, np. policję lub prokuraturę – wyjaśnia Małgorzata Kałużyńska-Jasak, dyrektor Zespołu Rzecznika Prasowego Głównego Inspektora Ochrony Danych Osobowych. – To one bowiem są uprawnione do podjęcia działań mających na celu ustalenie, w jaki sposób informacje dotyczące urzędniczki dostały się w ręce osób niepowołanych i kto za to odpowiada (placówka medyczna, pracodawca czy może inny podmiot lub osoba). To one są też władne ustalić, kto jest odpowiedzialny za ich upublicznianie w sieci. Organy ścigania są bowiem jedynymi właściwymi do ścigania przestępstw i to do nich, a następnie do sądów karnych, należy decyzja o zastosowaniu odpowiednich przepisów w związku z dokonaniem prawnej kwalifikacji czynu przestępczego.
Informacje o tym, że urzędniczka korzystała z porad psychiatry i że wystawił on jej zwolnienie lekarskie, należą do danych szczególnie chronionych w rozumieniu ustawy o ochronie danych osobowych, których przetwarzanie jest dopuszczalne po spełnieniu bardzo rygorystycznych warunków. Podmioty nimi dysponujące muszą je chronić, tak jak wszystkie dane osobowe, m.in. przed udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną. Zobowiązuje je do tego ustawa o ochronie danych osobowych, a placówki opieki zdrowotnej – dodatkowo – przepisy sektorowe. Regulują one m.in. kwestię zabezpieczenia dokumentacji medycznej oraz ustanawiają tajemnicę lekarską, tym samym gwarantują pacjentom prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, informacji z nimi związanych, a uzyskanych w związku z wykonywaniem tego zawodu. W przypadku naruszenia tych praw, niezależnie od innych działań, można wnieść skargę do rzecznika praw pacjenta.
Również generalny inspektor ochrony danych osobowych mógłby ocenić legalność przetwarzania, a więc m.in. zabezpieczania, pozyskania i upubliczniania danych osobowych urzędniczki, o ile wpłynęłaby do niego skarga w tej sprawie. Wymagałoby to jednak przeprowadzenia postępowania w celu ustalenia wszystkich okoliczności sprawy.
Upublicznienie w internecie danych wraz z dyskredytującymi opiniami może być z kolei rozpatrywane w kontekście naruszenia dóbr osobistych, które są chronione przepisami kodeksu cywilnego.
Podstawa prawna
Art. 18–19, art. 27 ust. 1, art. 35 ust. 1, art. 49–51 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (t.j. Dz.U. z 2014 r. poz. 1182). Art. 23–24 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz.U. z 2014 r. poz. 121).

PORADA EKSPERTA

Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego Głównego Inspektora Ochrony Danych Osobowych

Ewentualnych roszczeń z tytułu naruszenia dóbr osobistych, poza obroną swoich praw na drodze karnej z oskarżenia prywatnego, a więc z pomocą organów ścigania, można również dochodzić na drodze sądowej. O tym bowiem, czy w określonym przypadku do takiego naruszenia doszło, orzekają sądy powszechne w trybie przewidzianym w kodeksie postępowania cywilnego.
Jednak osoba, która chce złożyć pozew o naruszenie jej dóbr osobistych, musi znać imię i nazwisko oraz adres osoby, która jej zdaniem tego naruszenia dokonała, czyli dane pozwanego. Jeśli nimi nie dysponuje, może wystąpić o ich udostępnienie do administratora portalu. W razie odmowy – może złożyć skargę do generalnego inspektora ochrony danych osobowych, który – biorąc pod uwagę okoliczności danego przypadku – może nakazać ich udostępnienie. Niejednokrotnie zresztą już tak postępował. Przy czym w każdym przypadku musi starannie rozważyć racje stron oraz zasadność żądania.
Czytelniczka może także, korzystając z uprawnień przewidzianych przepisami ustawy o świadczeniu usług drogą elektroniczną, podjąć samodzielne działania mające doprowadzić do usunięcia obraźliwych informacji z sieci. W tym celu w pierwszej kolejności powinna, zabezpieczywszy wszystkie dowody w sprawie, zwrócić się do założyciela profilu na Facebooku z wnioskiem o usunięcie wpisów. Jeśli to nie pomoże, powinna go skierować do administratora portalu.
Podmiot prowadzący portal internetowy jest bowiem zobowiązany do uwzględnienia żądania usunięcia danych osobowych wyrażonego przez osobę, której dane dotyczą (opinii na jej temat), jeżeli uwiarygodni ona ich bezprawny charakter lub sąd cywilny orzeknie, iż w związku z przetwarzaniem danych na portalu internetowym zostały naruszone jej dobra osobiste.
Zważywszy jednak, że w tym przypadku administratorem portalu jest Facebook, dochodzenie przez czytelniczkę przysługujących jej praw może być utrudnione, zaś kompetencje GIODO w stosunku do tego serwisu są – w obecnym stanie prawnym – ograniczone.
Unia Europejska od dawna stoi na stanowisku, że w przypadku serwisów internetowych kierujących swoje usługi do osób z terytorium UE i działających na terytorium UE ewentualne spory powinny być rozstrzygane na podstawie prawa unijnego w sądach na obszarze UE. Nie oznacza to jednak, że zawsze będą rozpatrywane w kraju zamieszkania zainteresowanej osoby. Do tej pory przyjmowano, że najistotniejsze jest to, gdzie ma siedzibę administrator serwisu i gdzie zlokalizowane są urządzenia służące do pozyskiwania danych. Europejskie przedstawicielstwo Facebooka znajduje się zaś w Irlandii. Stąd przyjmuje się, że właściwy do rozpatrywania skarg na ten portal jest organ ds. ochrony danych osobowych z Irlandii. Zatem obecnie to bezpośrednio do niego można je składać. Można też zwrócić się o pomoc do GIODO, który ściśle współpracuje ze swoim irlandzkim odpowiednikiem.