Kif RODO a prawa strony albo administratora w praktyce prawnej

Przetwarzanie danych osobowych w ramach działalności samorządów zawodowych, takich jak Krajowa Izba Fizjoterapeutów (KIF), stanowi niezwykle skomplikowany obszar na styku prawa administracyjnego, medycznego oraz ochrony danych osobowych. KIF, jako organ reprezentujący zawód zaufania publicznego, dysponuje ogromnym zasobem informacji, w tym danymi wrażliwymi oraz danymi o charakterze dyscyplinarnym czy rejestrowym. W tym kontekście kluczowe staje się precyzyjne określenie, jakie prawa przysługują osobie, której dane dotyczą, a jakie obowiązki spoczywają na KIF jako administratorze tych danych. Niniejsze opracowanie szczegółowo analizuje te zależności, wskazując na praktyczne aspekty postępowań, terminy oraz procedury składania wniosków.

Krajowa Izba Fizjoterapeutów jako administrator danych osobowych

Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO), administratorem danych osobowych jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W przypadku Krajowej Izby Fizjoterapeutów, status ten wynika bezpośrednio z przepisów ustawy o zawodzie fizjoterapeuty. KIF przetwarza dane osobowe w celu realizacji swoich zadań ustawowych, do których należy m.in. prowadzenie Krajowego Rejestru Fizjoterapeutów, przyznawanie prawa wykonywania zawodu, a także prowadzenie postępowań odpowiedzialności zawodowej. Oznacza to, że KIF jako organ administracji publicznej i samorządowej musi spełniać wszystkie wymogi nałożone na administratorów przez RODO.

Podstawą prawną przetwarzania danych przez KIF jest najczęściej art. 6 ust. 1 lit. c RODO, czyli sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, oraz art. 6 ust. 1 lit. e RODO, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego in interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. W odniesieniu do danych szczególnych kategorii, takich jak informacje o stanie zdrowia przetwarzane np. w sprawach o ustalenie zdolności do wykonywania zawodu, KIF opiera swoje działania na art. 9 ust. 2 lit. h RODO, który dopuszcza przetwarzanie do celów profilaktyki zdrowotnej, medycyny pracy czy oceny zdolności pracownika do pracy.

Prawa strony w postępowaniu przed KIF a RODO

Każda osoba, której dane są przetwarzane przez KIF, posiada szereg uprawnień gwarantowanych przez przepisy RODO. Prawa te mają na celu zapewnienie kontroli nad własnymi informacjami osobistymi, jednak ich realizacja w praktyce przed organem samorządu zawodowego może napotkać na pewne ograniczenia wynikające ze specyfiki postępowań administracyjnych i dyscyplinarnych.

Prawo dostępu do danych (art. 15 RODO)

Strona ma prawo uzyskać od KIF potwierdzenie, czy organ ten przetwarza jej dane osobowe, a jeśli tak, ma prawo do uzyskania dostępu do nich oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach czy planowanym okresie ich przechowywania. Co ważne, strona ma również prawo do otrzymania bezpłatnej kopii danych podlegających przetwarzaniu. W praktyce postępowań dyscyplinarnych prawo to może być jednak ograniczone, jeśli ujawnienie kopii danych mogłoby naruszyć prawa i wolności innych osób, np. świadków lub pacjentów, którzy zgłosili skargę na fizjoterapeutę.

Prawo do sprostowania danych (art. 16 RODO)

W przypadku, gdy dane znajdujące się w posiadaniu KIF są niekompletne lub nieprawidłowe, strona ma pełne prawo żądać ich niezwłocznego sprostowania lub uzupełnienia. Jest to szczególnie istotne w kontekście Krajowego Rejestru Fizjoterapeutów, gdzie błędy w zakresie posiadanego stopnia naukowego, specjalizacji czy miejsca zatrudnienia mogą bezpośrednio wpływać na możliwość wykonywania zawodu i wiarygodność fizjoterapeuty w oczach pacjentów oraz pracodawców.

Prawo do usunięcia danych (art. 17 RODO)

Prawo do bycia zapomnianym budzi najwięcej kontrowersji, jednak w przypadku KIF jego zastosowanie jest bardzo ograniczone. Zgodnie z art. 17 ust. 3 lit. b i g RODO, prawo do usunięcia danych nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Ponieważ KIF ma ustawowy obowiązek prowadzenia rejestrów i archiwizacji dokumentacji, fizjoterapeuta nie może skutecznie żądać usunięcia swoich danych z rejestru w okresie, w którym posiada prawo wykonywania zawodu, ani nawet po jego wygaśnięciu, jeśli przepisy nakazują dalsze przechowywanie tych akt.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Strona może żądać ograniczenia przetwarzania swoich danych m.in. w sytuacji, gdy kwestionuje ich prawidłowość – na okres pozwalający KIF na zweryfikowanie tych danych. W tym czasie organ może jedynie przechowywać dane, a ich dalsze przetwarzanie (poza przechowywaniem) jest możliwe wyłącznie za zgodą strony, w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej lub prawnej, lub z ważnych powodów interesu publicznego.

Obowiązki KIF jako administratora danych w praktyce

Jako administrator danych, Krajowa Izba Fizjoterapeutów musi nie tylko reagować na wnioski stron, ale również proaktywnie realizować obowiązki nałożone przez RODO. Do najważniejszych z nich należą:

  • Obowiązek informacyjny (art. 13 i 14 RODO): KIF ma obowiązek dostarczyć osobie, której dane dotyczą, szczegółowe informacje o przetwarzaniu jej danych w momencie ich pozyskiwania (np. podczas składania wniosku o przyznanie prawa wykonywania zawodu) lub w określonym terminie, jeśli dane zostały pozyskane z innego źródła.
  • Zapewnienie bezpieczeństwa danych (art. 32 RODO): Organ musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Dotyczy to w szczególności zabezpieczenia systemów teleinformatycznych prowadzących rejestry oraz fizycznego zabezpieczenia akt postępowań dyscyplinarnych.
  • Prowadzenie rejestru czynności przetwarzania (art. 30 RODO): KIF jako podmiot publiczny musi dokumentować wszystkie kategorie czynności przetwarzania realizowane w ramach swojej struktury.
  • Wyznaczenie Inspektora Ochrony Danych (IOD): Z uwagi na status podmiotu publicznego oraz przetwarzanie danych na dużą skalę (w tym danych wrażliwych), KIF ma obowiązek wyznaczenia IOD, który wspiera organ w zapewnieniu zgodności z przepisami RODO oraz stanowi punkt kontaktowy dla osób, których dane dotyczą.

Procedura składania wniosku i terminy procesowe

Aby skutecznie zrealizować swoje prawa, strona musi zainicjować odpowiednią procedurę przed KIF. Kluczowe znaczenie ma tutaj prawidłowe sformułowanie wniosku oraz zachowanie terminów przewidzianych przez prawo.

Jak prawidłowo sporządzić i złożyć wniosek?

Wniosek o realizację praw na gruncie RODO powinien być sporządzony w formie pisemnej lub elektronicznej (np. za pośrednictwem platformy ePUAP). W treści wniosku należy precyzyjnie wskazać:

  1. Dane identyfikacyjne wnioskodawcy (imię, nazwisko, numer PWZFz, PESEL), co pozwoli KIF na jednoznaczne potwierdzenie tożsamości i zapobiegnie nieuprawnionemu ujawnieniu danych.
  2. Zakres żądania (np. wniosek o wydanie kopii danych, sprostowanie danych w rejestrze).
  3. Uzasadnienie wniosku, zwłaszcza w przypadku żądania ograniczenia przetwarzania lub wniesienia sprzeciwu.

Termin na odpowiedź organu

Zgodnie z art. 12 ust. 3 RODO, KIF jako administrator ma obowiązek udzielić stronie informacji o działaniach podjętych w związku z wnioskiem bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. Termin ten ma charakter bezwzględny, jednak w szczególnie skomplikowanych przypadkach lub przy dużej liczbie wniosków może zostać przedłużony o kolejne dwa miesiące. W takiej sytuacji KIF musi poinformować stronę o przedłużeniu terminu w ciągu miesiąca od otrzymania wniosku, podając jednocześnie konkretne przyczyny opóźnienia. Brak odpowiedzi w terminie lub nieuzasadnione przedłużenie procedury stanowi naruszenie przepisów RODO i daje stronie prawo do podjęcia dalszych kroków prawnych.

Konflikt RODO a Kodeks postępowania administracyjnego w praktyce KIF

W codziennej praktyce prawnej KIF często dochodzi do kolizji przepisów RODO z Kodeksem postępowania administracyjnego (KPA). Najlepszym tego przykładem jest prawo strony do wglądu w akta sprawy (art. 73 KPA). Strona postępowania administracyjnego ma prawo przeglądać akta sprawy na każdym etapie postępowania oraz sporządzać z nich notatki, kopie lub odpisy. Z drugiej strony, akta te mogą zawierać dane osobowe osób trzecich, np. świadków, biegłych czy innych pacjentów, których ujawnienie mogłoby naruszyć ich prawo do prywatności i przepisy RODO.

W takich sytuacjach KIF jako organ musi dokonać starannego wyważenia interesów. Zgodnie z dominującą linią orzeczniczą, prawo strony do obrony i aktywnego udziału w postępowaniu (wynikające z KPA) ma charakter nadrzędny w zakresie, w jakim dane te są niezbędne do rozstrzygnięcia sprawy. Jednakże dane osób trzecich, które nie mają znaczenia dla rozstrzygnięcia, a znajdują się w aktach przypadkowo, powinny zostać zanonimizowane przed udostępnieniem akt stronie. KIF musi zatem każdorazowo oceniać zawartość akt pod kątem minimalizacji danych.

Praktyczny przykład: Procedura sprostowania danych w Krajowym Rejestrze Fizjoterapeutów

Aby lepiej zobrazować funkcjonowanie tych przepisów w praktyce, warto przeanalizować następujący przykład. Fizjoterapeutka, pani Anna, uzyskała stopień doktora nauk o kulturze fizycznej oraz ukończyła specjalizację z fizjoterapii. Po otrzymaniu stosownych dokumentów zauważyła, że w Krajowym Rejestrze Fizjoterapeutów prowadzonym przez KIF jej profil nie został zaktualizowany, a jako wykształcenie wciąż widnieje jedynie tytuł magistra. Pani Anna postanowiła złożyć wniosek o sprostowanie danych na podstawie art. 16 RODO.

Krok 1: Pani Anna sporządza pisemny wniosek, w którym powołuje się na art. 16 RODO oraz załącza uwierzytelnione kopie dyplomu doktorskiego oraz certyfikatu uzyskania specjalizacji. Wniosek wysyła listem poleconym na adres KIF.

Krok 2: KIF otrzymuje wniosek. Inspektor Ochrony Danych weryfikuje tożsamość wnioskodawczyni oraz kompletność załączonych dokumentów. Organ stwierdza, że dane w rejestrze rzeczywiście są nieaktualne.

Krok 3: KIF dokonuje aktualizacji wpisu w Krajowym Rejestrze Fizjoterapeutów. Następuje to w terminie 14 dni od otrzymania wniosku (a więc z zachowaniem ustawowego terminu jednego miesiąca).

Krok 4: Organ wysyła do pani Anny oficjalne pismo potwierdzające dokonanie sprostowania danych w rejestrze, kończąc tym samym procedurę wnioskową.

Najczęstsze błędy i ryzyka w relacji strona – KIF

W praktyce prawnej można zidentyfikować kilka powtarzających się błędów, które popełniają zarówno strony składające wnioski, jak i sam organ jako administrator:

  • Brak precyzyjnego określenia żądania przez stronę: Składanie ogólnych pism z żądaniem "uporządkowania moich danych" bez wskazania konkretnych artykułów RODO lub konkretnych rejestrów, co wydłuża czas procedowania sprawy.
  • Niedopełnienie obowiązku weryfikacji tożsamości przez KIF: Udostępnianie danych osobowych lub kopii akt osobie podającej się za stronę bez uprzedniego zweryfikowania jej tożsamości (np. poprzez brak żądania podpisu kwalifikowanego lub profilu zaufanego przy wnioskach elektronicznych), co stanowi bezpośrednie naruszenie bezpieczeństwa danych.
  • Ignorowanie terminów przez organ: Przetrzymywanie wniosków o sprostowanie lub dostęp do danych powyżej jednego miesiąca bez formalnego powiadomienia o przedłużeniu terminu i podania przyczyn opóźnienia.
  • Brak anonimizacji danych osób trzecich: Udostępnianie pełnych akt postępowań dyscyplinarnych stronom bez uprzedniego usunięcia danych wrażliwych osób postronnych, co może skutkować odpowiedzialnością odszkodowawczą.

Skutki prawne naruszenia przepisów RODO przez KIF

Niedopełnienie przez Krajową Izbę Fizjoterapeutów obowiązków wynikających z RODO lub bezprawne ograniczenie praw strony niesie za sobą poważne konsekwencje prawne. Strona, której prawa zostały naruszone, dysponuje dwoma głównymi ścieżkami prawnymi:

Pierwszą z nich jest skarga do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na podstawie art. 77 RODO. Prezes UODO po przeprowadzeniu postępowania może nakazać KIF dostosowanie operacji przetwarzania do przepisów rozporządzenia, np. poprzez nakazanie sprostowania danych lub udostępnienia kopii akt. Choć na podmioty sektora publicznego (do których w tym kontekście zalicza się samorządy zawodowe) nakładane są ograniczone kary finansowe, to jednak decyzja PUODO stwierdzająca naruszenie jest poważnym ciosem wizerunkowym dla Izby i może stanowić podstawę do dalszych roszczeń.

Drugą ścieżką jest powództwo cywilne o odszkodowanie przed sądem powszechnym na podstawie art. 79 i 82 RODO. Jeśli strona wykaże, że na skutek niezgodnego z prawem przetwarzania jej danych przez KIF (np. ujawnienia danych wrażliwych lub bezprawnego opóźnienia w sprostowaniu rejestru, co uniemożliwiło podjęcie pracy) poniosła szkodę majątkową lub niemajątkową (krzywdę), może żądać od KIF stosownego zadośćuczynienia finansowego.

Podsumowanie i rekomendacje dla stron i administratora

Prawidłowe stosowanie przepisów RODO w relacjach z Krajową Izbą Fizjoterapeutów wymaga od obu stron staranności i znajomości procedur. Dla fizjoterapeutów i stron postępowań kluczowe jest formułowanie jasnych, dobrze uzasadnionych wniosków oraz monitorowanie terminów ich realizacji. Dla KIF jako administratora priorytetem powinno być rzetelne wywiązywanie się z obowiązku informacyjnego, dbałość o bezpieczeństwo przetwarzanych danych wrażliwych oraz sprawne i terminowe procedowanie wniosków o realizację praw. Zrównoważenie uprawnień procesowych wynikających z KPA z wymogami ochrony danych osobowych na gruncie RODO to fundament rzetelnego i bezpiecznego postępowania przed organami samorządu zawodowego.