Sprawa dotyczyła wycieku danych kobiety i jej dziecka, do którego doszło za pośrednictwem konta lekarki w systemie PUE ZUS. Kobieta zgłosiła naruszenie do prezesa UODO, wskazując, że dane ujawniono ojcu dziecka przez pracownicę przychodni. UODO ukarał lekarkę upomnieniem, uznając, że to ona – a nie przychodnia – była administratorem danych, ponieważ dostęp do systemu ZUS przysługuje wyłącznie lekarzowi.

Lekarka broniła się, że nie przetwarzała danych poszkodowanych i że w przychodni zdarzały się przypadki logowania na cudze konta w razie problemów z systemem. WSA w Warszawie uznał jednak, że to obciąża, a nie usprawiedliwia lekarza – udostępnienie danych do logowania narusza RODO.

Naczelny Sąd Administracyjny podtrzymał to stanowisko (wyrok z 2025 r., sygn. III OSK 2471/22). Sąd wskazał, że tylko lekarz ma uprawnienie do wystawiania zwolnień lekarskich i sam decyduje o sposobie przetwarzania danych pacjentów. Tym samym to on, a nie placówka medyczna, jest administratorem danych w systemie ZUS i ponosi odpowiedzialność za ich bezpieczeństwo. Udostępnienie konta innym osobom nie zwalnia z tej odpowiedzialności.

Wyrok jest prawomocny.