II SA/Wa 1142/23

II SA/Wa 1142/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-21
orzeczenie prawomocne
Data wpływu
2023-06-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący/
Danuta Kania /sprawozdawca/
Lucyna Staniszewska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 9 ust. 1, art. 5 ust. 1 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Danuta Kania (spr.), Asesor WSA Lucyna Staniszewska, Protokolant referent stażysta Marta Stec, po rozpoznaniu na rozprawie w dniu 21 marca 2024 r. sprawy ze skargi S. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem skargi S. S.A. z siedzibą w [...] (dalej: "Spółka", "Skarżąca") jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") z dnia [...] marca 2023 r. [...], mocą której organ udzielił Spółce upomnienia za naruszenie art. 9 ust. 1 i art. 5 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO", poprzez bezpodstawne przetwarzanie, w tym udostępnianie osobom nieuprawnionym, danych osobowych M.P. (dalej: "uczestnik postępowania") w zakresie informacji o stanie jego zdrowia, tj. stanie jego szczepień przeciwko COVID-19 (brak szczepień).
W uzasadnieniu powyższej decyzji Prezes UODO wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga M.P., reprezentowanego przez profesjonalnego pełnomocnika, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez S. S.A. polegające na pozyskaniu i udostępnieniu na rzecz osób nieuprawnionych informacji o stanie jego zdrowia, tj. stanie szczepień przeciwko COVID- 19.
W treści skargi uczestnik postępowania wskazał, że w dniu [...] lipca 2021 r. wśród pracowników i współpracowników Spółki rozesłany został e-mail z linkiem do niezabezpieczonej żadnych hasłem tabeli, zawierającej wrażliwe dane o stanie jego zdrowia, tj. braku szczepień przeciwko COVID-19.
W toku postępowania administracyjnego Prezes UODO ustalił, że uczestnik postępowania współpracował ze Spółką w oparciu o umowę o świadczenie usług w okresie od dnia 28 sierpnia 2020 r. do dnia 29 października 2021 r.
W dniu [...] lipca 2021 r. do pracowników i współpracowników Spółki, w tym do uczestnika postępowania, rozesłany został e-mail z linkiem do pliku Excel zawierającym tabelkę, w której zawarto listę osób zaszczepionych w pełni przeciwko COVID-19, listę osób zaszczepionych jedną dawką szczepionki przeciwko COVID-19 i czekających na drugą dawkę, listę osób niemogących się zaszczepić z powodów zdrowotnych (ozdrowieńców, którzy nie mogą się jeszcze zaszczepić) oraz listę osób niezaszczepionych. Uczestnik postępowania został wpisany w tabeli na listę osób niezaszczepionych.
Spółka wyjaśniła, że przetwarzała dane osobowe dotyczące uczestnika postępowania wyłącznie do realizacji zawartej z nim umowy o charakterze cywilnoprawnym. Wskazała, że na żadnym etapie nie pozyskała informacji na temat stanu jego szczepień przeciwko COVID-19. Podała, że podjęła czynności wyjaśniające, w wyniku których ustaliła, że w okresie współpracy ze Spółką, uczestnik postępowania odmówił przekazania Spółce informacji o tym, czy poddał się szczepieniu przeciwko COVID-19. Odmowa udzielania tego rodzaju informacji przez uczestnika postępowania nie była kwestionowana przez Spółkę.
Spółka wyjaśniła również, że tabela, do której odnosił się link zawarty w e-mailu z dnia [...] lipca 2021 r., nie zawierała informacji na temat osób, które nie poddały się szczepieniu przeciwko COVID-19. Kolumna zatytułowana "Lista osób nie zaszczepionych" została niewłaściwie określona, ponieważ zawierała dane osób, które odmówiły udzielenia informacji na temat tego, czy poddały się szczepieniu przeciwko COVID-19. Przygotowujący tabelę pracownik Spółki wpisał do tabeli w tej kolumnie dane osób, które odmówiły udzielania tego rodzaju informacji. Spółka oświadczyła, że uczestnik postępowania nie podał informacji o statusie osoby zaszczepionej/niezaszczepionej i został określony jako osoba niezaszczepiona przez pracownika Spółki wyłącznie do celów organizacyjnych, tzw. planowania lotów.
Spółka wskazała również, że jest przedsiębiorcą prowadzącym działalność w zakresie lotniczego przewozu towarów i osób, w tym poza granicami Rzeczpospolitej Polskiej. W lipcu 2021 r. ustawodawstwo wielu państw europejskich, w tym tych, do których Spółka realizuje loty (np. Francja i Niemcy), wymagało posiadania certyfikatu szczepień, aby dana osoba mogła zostać wpuszczona do tego kraju. W okresie pandemii Spółka starała się, na tyle na ile to było możliwe, realizować swoją bieżącą działalność, aby zapewnić pracę i utrzymanie pracownikom i współpracownikom Spółki. Ponieważ wykonywanie lotów poza granicami RP przez Spółkę wiąże się z podróżą nie tylko członków załogi samolotów, ale również mechaników, osoby te musiały spełnić kryteria umożliwiające im nie tylko wjazd do innych krajów europejskich, ale również dostęp do miejsc publicznych (lotniska, hangary itp.) oraz miejsc zakwaterowania organizowanego i opłacanego na miejscu przez Spółkę. W związku z powyższym, aby zapewnić sprawną realizację lotów, w szczególności poza granice Rzeczypospolitej Polskiej, Spółka musiała dysponować informacją, którzy spośród jej pracowników i współpracowników spełniają kryteria zaszczepienia przeciwko COVID-19. Wymagała tego organizacja pracy w Spółce, tj. takie skompletowanie załóg i mechaników, które pozwoli spełnić kryteria wynikające z przepisów obowiązujących w kraju, do którego miały odbywać się loty.
Drugą przyczyną były oczekiwania samych pracowników i współpracowników Spółki. Spółka oświadczyła, że z ww. powodów zdecydowała o zebraniu dobrowolnej informacji od pracowników i współpracowników o tym, czy zostali zaszczepieni oraz, że przekazanie tych informacji nie było obarczone żadną sankcją wobec pracowników i współpracowników, którzy odmówiliby udzielenia tych informacji.
Jako podstawę prawną pozyskania danych dotyczących szczepień przeciwko COVID-19 Spółka wskazała art. 9 lit. a, e RODO, natomiast jako podstawę dalszego przetwarzania art. 9 lit. b, h, i RODO w związku z art. 207 § 1 i 2 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2020 r., poz. 1320 ze zm.), w zakresie w jakim Spółka - jako pracodawca - ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy prowadzonym przez Spółkę, a mianowicie Spółka obowiązana jest chronić zdrowie i życie pracowników przez zapewnienie tym osobom bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki, w szczególności podejmując działania, o których mowa w art. 207 § 2 pkt 1-7 Kodeksu pracy.
Spółka wskazała, że e-mail z dnia [...] lipca 2021 r., na który powołuje się uczestnik postępowania, nie został wysłany ani na polecenie, ani za wiedzą Prezesa Zarządu Spółki, który uzyskał wiedzę o tego rodzaju korespondencji dopiero po otrzymaniu pisma organu w dniu 6 maja 2022 r. Spółka wyjaśniła, że pomysł stworzenia tabeli, do której link został zawarty w e-mailu z dnia [...] lipca 2021 r. nie pochodził ani od Prezesa zarządu Spółki, ani samego zarządu, czy też kierownictwa Spółki. Zarówno tabela, jak też informacje zawarte w ww. e-mailu pochodzą od pracownika Spółki, który zajmował się organizacją pracy mechaników samolotowych w związku z czym zebrał tego rodzaju dane w tej formie bez polecenia, czy też wiedzy Prezesa Zarządu Spółki. Spółka wskazała również, że kolumna nazwana "lista osób niezaszczepionych" została mylnie nazwana, ponieważ składała się z osób, które odmówiły udzielenia informacji na temat przyjęcia szczepienia przeciwko COVID-19.
Spółka podała również, że sam fakt wystąpienia przez uczestnika postępowania do organu z powołaniem się na e-mail z dnia [...] lipca 2021 r. świadczy o tym, że uczestnik wiedział o stworzeniu tego rodzaju listy, a mimo to nigdy nie zwrócił się do Spółki o nieumieszczanie go lub wykreślenie jego danych z tej listy.
Spółka wskazała nadto, że dane zawarte w tabeli, do której kierował link wskazany w wiadomości z dnia [...] lipca 2021 r., były dostępne dla osób, które otrzymały tego e-maila od pracownika Spółki - do dnia 10 maja 2022 r. Wszystkie osoby będące adresatami e-maila były w czasie jego wysłania (lub nadal są) pracownikami lub współpracownikami Spółki. Po otrzymaniu przez Spółkę pisma organu z dnia 6 maja 2022 r. Spółka podjęła czynności wyjaśniające i w związku z wątpliwościami podniesionymi w skardze oraz piśmie organu usunęła tabelę, o której mowa w e-mailu z dnia [...] lipca 2021 r. W celu zapobiegania podobnym zdarzeniom w przyszłości Spółka oświadczyła, że planuje przeprowadzenie szkolenia dla pracowników i współpracowników Spółki w zakresie zbierania i przetwarzania danych.
Uwzględniając powyższe Prezes UODO powołał art. 4 pkt 1 i 2 RODO wskazując, że informacje udostępniane w okresie od dnia [...] lipca 2021 r. do dnia 10 maja 2022 r. za pośrednictwem tabeli, do której link przekazano pracownikom i współpracownikom Spółki w wiadomości e-mail z dnia [...] lipca 2021 r., dotyczące stanu szczepień uczestnika postępowania przeciwko COVID-19, należy uznać za dane osobowe uczestnika postępowania. Podkreślił, że kolumna, w której zawarte zostało imię i nazwisko uczestnika postępowania została zatytułowana jako "lista osób nie zaszczepionych" i dla odbiorców wiadomości była to jednoznaczna informacja, że na tej liście wpisane są osoby, które nie są zaszczepione przeciwko COVID-19, a nie - jak twierdzi Spółka - osoby, które nie udzieliły informacji o stanie swoich szczepień przeciwko COVID-19.
Powyższe, zdaniem organu, wskazuje na przetwarzanie, w tym udostępnienie, przez Spółkę danych osobowych uczestnika postępowania w zakresie informacji dotyczących stanu szczepień przeciwko COVID-19, tj. informacji o niezaszczepieniu się przeciwko COVID-19.
Dalej organ powołał art. 6 ust. 1, art. 9 ust. 2 oraz art. 5 ust. 1 lit. a RODO. Wskazał również, że zgodnie z art. 8a pkt 5 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2021 r. poz. 195 ze zm.), wprowadzonym ustawą z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m.in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. W przedmiotowej sprawie Spółka nie wykazała, aby w swoim działaniu opierała się na wytycznych Głównego Inspektora Sanitarnego oraz aby dysponowała zgodą uczestnika postępowania na przetwarzanie, w tym udostępnienie, jego danych osobowych w zakresie informacji o stanie jego szczepień przeciwko COVID-19 (art. 9 ust. 2 lit. a RODO). Zatem przetwarzanie przez Spółkę, w tym udostępnienie na rzecz pracowników i współpracowników uczestnika postępowania w okresie od dnia [...] lipca 2021 r. do dnia 10 maja 2022 r. za pośrednictwem tabeli, do której link wskazano pracownikom i współpracownikom w wiadomości e-mailowej z dnia [...] lipca 2021 r., informacji o stanie jego szczepień przeciwko COVID-19, nie znajdowało oparcia w żadnej z przesłanek wymienionych w art. 9 ust. 2 RODO.
Organ stwierdził, że w przedmiotowej sprawie administrator, tj. Spółka, nie dopełnił obowiązków, które spoczywają na nim w związku z przepisami o ochronie danych osobowych, przetwarzając, w tym udostępniając, dane osobowe uczestnika postępowania w zakresie informacji o stanie jego szczepień przeciwko COVID-19 (brak szczepień) niezgodnie z prawem, co stanowi naruszenie art. 5 ust. 1 lit. a oraz art. 9 ust. 1 RODO. Podkreślił, że Spółka - jako administrator - odpowiada za prawidłowość przetwarzania danych osobowych przez swoich pracowników i współpracowników i nie może wyzbywać się odpowiedzialności za naruszenia ochrony danych osobowych, których oni się dopuszczają. Zgodnie bowiem z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba, że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Podsumowując organ wskazał, że działając w zakresie swoich kompetencji, dokonał kontroli procesu przetwarzania danych osobowych uczestnika postępowania przez administratora (Spółkę) w zakwestionowanym zakresie. W związku z powyższym, na podstawie art. 58 ust. 2 lit. b RODO, stwierdził, że miało miejsce naruszenie polegające na bezprawnym przetwarzaniu, w tym udostępnianiu na rzecz osób nieuprawnionych, danych osobowych Skarżącego dotyczących stanu jego szczepień przeciwko COVID-19 (brak szczepień) przez Spółkę. Ustalenie to skutkowało udzieleniem Spółce upomnienia na podstawie art. 58 ust. 2 lit. b RODO.
Pismem z dnia 27 kwietnia 2023 r. S. S.A. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] marca 2023 r. zarzucając naruszenie:
- art. 9 ust. 1 lit. a, b, e, h, i RODO w związku z art. 207 § 1 i 2 Kodeksu pracy poprzez ich niezastosowanie, oraz w konsekwencji nieuwzględnienie, iż działanie Spółki znajdowało swoją podstawę prawną w powołanych wyżej przepisach, w zakresie w jakim Spółka - jako pracodawca - ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy prowadzonym przez Spółkę; w szczególności Spółka obowiązana jest chronić zdrowie i życie pracowników przez zapewnienie tym osobom bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki, w szczególności podejmując działania, o których mowa w art. 207 § 2 pkt 1-7 Kodeksu pracy; zbieranie przez Spółkę informacji dotyczących zaszczepienia przeciwko COVID-19 od pracowników i współpracowników Spółki odbywało się bez przymusu i jakichkolwiek negatywnych konsekwencji wobec osób, które odmówiłyby przekazania Spółce tego rodzaju informacji; tym samym podstawę zbierania tego rodzaju danych stanowił także art. 9 lit. a, e RODO, bowiem informacje te były przekazywane dobrowolnie, a Spółka nie otrzymała od żadnego z pracowników lub współpracowników żądania usunięcia tych informacji,
- art. 5 ust. 1 lit. a RODO poprzez jego niewłaściwe zastosowanie i w konsekwencji przyjęcie, że działanie Skarżącej prowadziło do przetwarzania danych osobowych w sposób niezgodny z tym przepisem.
W związku z powyższymi zarzutami Spółka wniosła o uchylenie zaskarżonej decyzji w całości oraz zasądzenie od organu kosztów sądowych, w tym kosztów wpisu od skargi oraz kosztów zastępstwa procesowego, według norm przepisanych.
W uzasadnieniu skargi Spółka wskazała w szczególności, że przetwarzała dane osobowe dotyczące uczestnika postępowania wyłącznie do realizacji zawartej z nim umowy cywilnoprawnej (tzw. b2b). Dane te nie obejmowały informacji na temat szczepienia przeciwko COVID-19, bowiem uczestnik odmówił udzielenia tego rodzaju informacji i w konsekwencji nie mógł zostać zaliczony do grupy pracowników/współpracowników Spółki, którzy poddali się szczepieniu. Po zebraniu informacji o zaszczepieniu przeciwko COVID-19 pracowników i współpracowników Spółki, którzy dobrowolnie udzielili Spółce tych informacji, Spółka posługiwała się tymi danymi wyłącznie w celu organizacji pracy w zakładzie pracy należącym do Spółki oraz realizacji umów cywilnoprawnych zawartych przez Spółkę ze współpracownikami Spółki. Spółka realizowała i realizuje przewozy lotnicze osób i rzeczy, w tym do krajów, do których wstęp wymaga okazania świadectwa szczepienia (np. Niemcy, czy też Francja). Skompletowanie załogi samolotu, czy też mechaników, którzy będą uczestniczyć w locie do tej grupy krajów, a następnie będą musieli mieć dostęp do miejsc publicznych (lotniska, hangary, hotele itp.) - wymagało posiadania przez Spółkę informacji, którzy pracownicy i współpracownicy Spółki poddali się szczepieniu przeciwko COVID-19. Przetwarzanie tych danych odbywało się więc na podstawie art. 9 lit. a, b, e, h, i RODO, zaś zakres danych przetwarzanych przez Spółkę obejmował dane na temat zaszczepienia danej osoby (pracownika lub współpracownika) Spółki.
Spółka wskazała nadto, że dane zawarte w tabeli, do której link znajdował się w e-mailu z dnia [...] lipca 2021 r., miały szerszy charakter, niż dane przetwarzane przez Spółkę w zakresie szczepienia danego pracownika lub współpracownika Spółki przeciwko COVID-19. Dane uczestnika postępowania tego rodzaju nie były przetwarzane przez Spółkę, ponieważ odmówił on ich udzielania. Wbrew twierdzeniu uczestnika, pomysł stworzenia tabeli, do której link został zawarty w e-mailu z dnia [...] lipca 2021 r. nie pochodził ani od Prezesa zarządu Spółki, ani samego zarządu, czy też kierownictwa Spółki. Zarówno tabela, jak też informacje zawarte w e-mailu z dnia [...] lipca 2021 r. pochodzą od pracownika Spółki, który zajmował się organizacją pracy mechaników samolotowych w związku z czym zebrał tego rodzaju dane w ww. formie bez polecenia, czy też wiedzy Prezesa zarządu Spółki. Kolumna oznaczona jako "lista osób niezaszczepionych" została mylnie nazwana, bowiem składała się z osób, które odmówiły udzielenia informacji na temat przyjęcia szczepienia przeciwko COVID-19.
Spółka podniosła, że Prezes UODO nie uwzględnił faktu, iż informacji dotyczących uczestnika postępowania w zakresie jego zaszczepienia przeciwko COVID-19 Spółka nikomu nie udostępniała. Uczestnik postępowania całkowicie świadomie nie udostępnił Spółce informacji na temat jego szczepienia przeciwko COVID-19, a zatem brak jest podstaw do stwierdzenia, że Spółka udostępniała tego rodzaju dane (nawet jeżeli przyjąć, że za udostępnianie uznałoby się - czemu Spółka stanowczo zaprzecza - stworzenie przedmiotowej tabeli, bez jakiejkolwiek wiedzy i zgody kierownictwa i zarządu Spółki). Ponadto przedmiotowa tabela nie zawiera informacji o osobach, które nie zostały zaszczepione, a wyłącznie listę osób, które odmówiły udzielenia tego rodzaju informacji. Dane zawarte w tabeli, do której link znajdował się w e-mailu z dnia [...] lipca 2021 r., były dostępne wyłącznie dla osób, które otrzymały tego e-maila od pracownika Spółki, pełniącej w Spółce funkcję Planning Engineer, tj. organizującej pracę mechaników samolotowych. Tabela, do której kierował link była dostępna dla osób posiadających ten link do dnia 10 maja 2022 r. Wszystkie osoby będące adresatami e-maila z dnia [...] lipca 2021 r. były w czasie jego wysłania (lub nadal są) pracownikami lub współpracownikami Spółki. Po otrzymaniu przez Spółkę pisma organu z dnia 6 maja 2022 r. zarząd Spółki podjął czynności wyjaśniające i w związku z wątpliwościami podniesionymi w skardze uczestnika postępowania oraz piśmie Prezesa Urzędu usunął tabelę, o której mowa w e-mailu dnia [...] lipca 2021 r. Tym samym od dnia 10 maja 2022 r. po kliknięciu na przedmiotowy link nie ma już możliwości uzyskania dostępu do tych danych. Zarząd Spółki zdecydował również o usunięciu tabeli w sposób nieodwracalny.
Spółka podkreśliła, że uczestnik postępowania nigdy nie zwracał się do Spółki o usunięcie jakichkolwiek dotyczących go danych osobowych, a w szczególności w zakresie informacji na temat jego zaszczepienia przeciwko COVID-19. Uczestnik postępowania dysponował linkiem do tabeli zawartym w e-mailu z dnia [...] lipca 2021 r., co oznacza, że posiadał wiedzę o stworzeniu i treści tego rodzaju tabeli, a mimo to nigdy nie zwracał się do Spółki o nieumieszczanie go na tej liście, ani o usunięcie jego danych z tej listy. W konsekwencji należy stwierdzić, iż skoro uczestnik postępowania dysponował linkiem do tabeli zawartym w e-mailu z dnia [...] lipca 2021 r., to posiadał wiedzę na temat tego, że jego imię i nazwisko zostało umieszczone w tej tabeli. Mimo to, nigdy nie zwracał się do Spółki o nieumieszczanie jego danych na ww. liście, ani o usunięcie jego danych z tej listy.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko zawarte w zaskarżonej decyzji.
Odnosząc się do twierdzeń Spółki o braku świadomości o procesach przetwarzania danych, których jest administratorem, podejmowanych przez pracownika Spółki, ponownie wskazał, że za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora danych osobowych, odpowiada sam administrator (Spółka), zgodnie z art. 24 w związku z art. 4 ust. 7 RODO. Spółka odpowiada za prawidłowość przetwarzania danych osobowych przez swoich pracowników i współpracowników oraz nie może wyzbywać się odpowiedzialności za naruszenia ochrony danych osobowych, których oni się dopuszczają. Zgodnie bowiem z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych - przetwarzają je wyłącznie na polecenie administratora, chyba, że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Nadto organ wskazał, że wbrew twierdzeniom Spółki ze zgromadzonego materiału dowodowego nie wynika, aby dysponowała ona zgodą uczestnika postępowania na przetwarzanie jego danych osobowych dotyczących stanu jego zdrowia (szczepień przeciwko COVID-19) zgodnie z art. 9 ust. 2 lit. a RODO, ani aby informacja ta była powszechnie udostępniona przez uczestnika postępowania i pozyskana przez Spółkę zgodnie z art. 9 ust. 2 lit. e RODO. Spółka nie wykazała również, aby w swoim działaniu opierała się na wytycznych GIS, nadto za podstawę do przetwarzania danych osobowych uczestnika w zakresie informacji o stanie jego zdrowia nie można uznać również art. 207 § 1 i 2 Kodeksu pracy. Z przepisu tego nie wynika bowiem, aby pracodawca był zobowiązany do realizacji obowiązku wynikającego z treści tego przepisu kontrolując stan szczepień pracowników (przeciwko COVID-19), jak również, aby stan szczepień pracownika przeciwko COVID-19 był warunkiem oceny zdolności pracownika do pracy. Z wyjaśnień Spółki nie wynika również, aby przetwarzanie danych było podyktowane interesem publicznym. Stan szczepień osób przeciwko COVID-19 pozostaje bez wpływu na konieczność zapewnienia środków ochrony osobistej zapobiegających rozprzestrzenianiu się wirusa SARS-Cov-19. A zatem przetwarzanie, w tym udostępnienie przez Spółkę informacji o stanie szczepień uczestnika postępowania przeciwko COVID-19 na rzecz pracowników i współpracowników w ww. okresie za pośrednictwem tabeli, do której link wskazano pracownikom i współpracownikom w wiadomości e-mailowej z dnia [...] lipca 2021 r. - nie znajdowało oparcia w żadnej z przesłanek wymienionych w art. 9 ust. 2 RODO. Skutkowało to naruszeniem art. 5 ust. 1 lit. a oraz art. 9 ust. 1 RODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492 ze zm.), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem zaskarżona decyzja Prezesa UODO z dnia [...] marca 2023 r. nie narusza prawa. Trafne jest bowiem stanowisko organu, zgodnie z którym administrator danych osobowych - S. S.A. - nie dopełnił obowiązków wynikających z przepisów o ochronie danych osobowych z tego mianowicie powodu, że przetwarzał, w tym udostępniał, dane osobowe Skarżącego w zakresie informacji o stanie jego szczepień przeciwko COVID-19 (brak szczepień) niezgodnie z prawem, na skutek czego dopuścił się naruszenia art. 5 ust. 1 lit. a oraz art. 9 ust. 1 RODO.
Pojęcia "dane osobowe" oraz "przetwarzanie" danych osobowych, zdefiniowane zostały w art. 4 RODO, który w pkt 1 stanowi, że "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
"Przetwarzanie" danych, zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Uwzględniając powyższe przepisy Sąd podziela stanowisko organu, że informacja dotycząca stanu szczepień Skarżącego przeciwko COVID-19, udostępniona przez Spółkę - w okresie od [...] lipca 2021 r. do 10 maja 2022 r. - za pośrednictwem tabeli, do której link przekazano pracownikom i współpracownikom Spółki w wiadomości mailowej z dnia [...] lipca 2021 r. - stanowi dane osobowe uczestnika postępowania w rozumieniu art. 4 pkt 1 RODO. Tabela ta, jak wynika z akt administracyjnych sprawy (k. 14), zawiera kolumnę oznaczoną nagłówkiem "lista osób nie zaszczepionych", zaś w kolumnie tej pod pozycją 2 zawarte zostało imię i nazwisko uczestnika postępowania. Zatem ww. "lista" stanowiąca część opisanej tabeli, obejmowała dane osób, które nie są zaszczepione przeciwko COVID-19.
Spółka argumentowała, że przetwarza dane osobowe uczestnika postępowania wyłącznie w zakresie niezbędnym do realizacji umowy o charakterze cywilnoprawnym. Dane te nie obejmowały informacji na temat szczepienia przeciwko COVID-19, bowiem uczestnik odmówił udzielenia tego rodzaju informacji (nie udostępnił Spółce informacji na temat jego szczepienia przeciw COVID-19). Podnosiła również, że tabela, do której link znajdował się w wiadomości mailowej z dnia [...] lipca 2021 r., nie zawierała informacji o osobach, które nie zostały zaszczepione, a wyłącznie listę osób, które odmówiły udzielenia tego rodzaju informacji.
Powyższe argumenty pozostają, zdaniem Sądu, bez istotnego znaczenia dla stanowiska organu przyjętego w zaskarżonej decyzji. Organ bowiem nie oceniał, czy i ewentualnie z jakich powodów uczestnik postępowania udzielił (nie udzielił) odpowiedzi na pytanie pracownika Spółki dotyczące stanu szczepień, lecz to, czy Spółka przetwarzała dane osobowe uczestnika na podstawie którejkolwiek z przesłanek legalizujących ten proces, a określonych w art. 6 ust. 1 bądź art. 9 ust. 1 RODO. Ocena ta doprowadziła organ do trafnego wniosku, że Spółka udostępniła ww. tabelę ("listę osób nie zaszczepionych") zawierającą imię i nazwisko uczestnika postępowania. Dla odbiorców danych z tej tabeli (wszystkich pracowników i współpracowników Spółki) wynikała jednoznaczna informacja, że uczestnik postępowania jest osobą niezaszczepioną przeciwko COVID-19.
Spółka podnosiła również, że tabelę (zawierającą ww. informacje odnośnie stanu szczepień przeciwko COVID-19) sporządził pracownik Spółki, zaś ani zarząd Spółki, ani jej kierownictwo, nie mieli wiedzy o podjęciu przez pracownika takich działań. Pracownik ten, zajmujący się organizacją pracy mechaników samolotowych, mylnie oznaczył kolumnę tabeli jako "listę osób nie zaszczepionych" w sytuacji, gdy zawierała ona listę osób, które odmówiły udzielenia informacji na temat przyjęcia szczepienia przeciwko COVID-19.
W tym względzie odwołać się należy do art. 4 pkt 7 RODO, który zawiera definicję pojęcia "administrator" danych osobowych stanowiąc, że pojęcie to oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (...). Wskazać również należy na art. 24 RODO, który określa obowiązki administratora danych osobowych i stanowi, że - uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze - administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (ust. 1). Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (ust. 2).
Powyższy przepis ma charakter klauzuli generalnej określającej podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania z wymogami RODO. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 RODO, tj. zasady zgodności z prawem, rzetelności i przejrzystości (lit. a), ograniczenia celu (lit. b), minimalizacji danych (lit. c), prawidłowości (lit. d), ograniczenia przechowywania (lit. e), integralności i poufności (lit. f), a także o realizację zasady rozliczalności nakładającej na administratora odpowiedzialność za przestrzeganie ww. zasad przetwarzania i zobowiązanie do zapewnienia możliwości wykazania zgodności (art. 5 ust. 2 RODO).
Uwzględniając powyższe regulacje Sąd podziela stanowisko organu, zgodnie z którym to administrator danych osobowych (Spółka) jest odpowiedzialny za procesy przetwarzania danych podejmowane przez pracownika. W konsekwencji to również administrator odpowiada za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora - nawet jeśli nie miał wiedzy o podejmowanych przez pracowników czynnościach. Spółka jako administrator odpowiada za prawidłowość przetwarzania danych osobowych przez swoich pracowników i współpracowników oraz nie może wyzbywać się odpowiedzialności za naruszenia ochrony danych osobowych, których oni się dopuszczają. Zgodnie bowiem z art. 29 RODO podmiot przetwarzający (tj. osoba lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora - art. 4 pkt 8 RODO) oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego, przy czym z akt kontrolowanego postępowania nie wynika, aby taka sytuacja (wymóg określony prawem Unii lub prawem państwa członkowskiego) miała miejsce w niniejszej sprawie.
Dopuszczalność przetwarzania danych osobowych określają przesłanki wymienione w art. 6 ust. 1 i art. 9 ust. 2 RODO w zależności od tego, czy przetwarzaniu mają być poddane dane zwykłe, czy też dane wrażliwe (szczególne kategorie danych, w tym dane dotyczące zdrowia). Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO jest zamknięty. Przesłanki te mają charakter autonomiczny co oznacza, że dla uznania procesu przetwarzania danych osobowych za zgodny z prawem, niezbędne jest spełnienie przez administratora danych choćby jednej z tych przesłanek.
Z przepisu art. 9 ust. 2 RODO wynika, że zakaz przetwarzania danych osobowych wrażliwych określony w ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z następujących warunków: a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Uwzględniając powyższe stwierdzić należy, że w sprawie niniejszej nie wystąpiła żadna z przesłanek legalizujących przetwarzanie danych osobowych, powołanych przez organ w toku postępowania administracyjnego, a następnie w skardze do Sądu.
Przede wszystkim nie sposób przyjąć na podstawie akt administracyjnych sprawy, że Spółka dysponowała zgodą uczestnika postępowania na przetwarzanie jego danych osobowych dotyczących zdrowia (stanu szczepień przeciwko COVID-19) w rozumieniu art. 9 ust. 2 lit. a RODO. Nie sposób również przyjąć, choćby z racji na fakt wniesienia skargi do organu ochrony danych osobowych oraz argumentację tam przedstawioną, aby ww. informacja dotycząca zdrowia uczestnika postępowania była w sposób oczywisty upubliczniona przez samego uczestnika i pozyskana przez Spółkę zgodnie z art. 9 ust. 2 lit. e RODO.
Dla powyższej oceny bez istotnego znaczenia pozostaje argumentacja podnoszona przez Spółkę, że uczestnik postępowania nie udzielił Spółce informacji na temat stanu zaszczepienia przeciwko COVID-19, ani też (do czasu wniesienia skargi do Prezesa UODO) nie zwracał się o usunięcie jakichkolwiek danych osobowych dotyczących jego osoby, w szczególności danych dotyczących stanu zaszczepienia, pomimo tego, że posiadał wiedzę, iż jego imię i nazwisko zostało umieszczone w rzeczonej tabeli. Argumentacja ta nie wpływa w żaden sposób na dokonaną przez organ ocenę legalności przetwarzania danych osobowych uczestnika postępowania w okolicznościach faktycznych niniejszej sprawy. Brak wyraźnej, jednoznacznej zgody na przetwarzanie danych, oraz brak upublicznienia ww. danych osobowych wyklucza spełnienie przesłanek legalizujących przetwarzanie danych określonych w ww. przepisach. Wskazać dodatkowo należy, że - jak podnosiła sama Spółka - po otrzymaniu pisma organu z dnia 6 maja 2022 r. Zarząd Spółki podjął czynności wyjaśniające i w rezultacie w sposób nieodwracalny usunął tabelę, o której mowa w mailu z dnia [...] lipca 2021 r. W konsekwencji, od dnia 10 maja 2022 r., nie było już możliwości uzyskania dostępu do danych zamieszczonych w tabeli. Powyższe potwierdza, iż Spółka nie dysponowała zgodą uczestnika postępowania na przetwarzanie jego danych osobowych w ww. zakresie, ani też nie przyjmowała, że dane te zostały przez niego upublicznione.
Biorąc pod uwagę zarzuty skargi wskazać również należy, że zgodnie z art. 8a pkt 5 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2021r. poz. 195 ze zm.), wprowadzonym art. 17 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m.in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. Z akt sprawy nie wynika jednak, aby działania Spółki w zakresie przetwarzania danych osobowych uczestnika postępowania w opisany wyżej sposób były oparte na wytycznych GIS zawartych w decyzji, o której mowa w ww. przepisie.
Brak jest również podstaw do uznania, że przetwarzanie danych uczestnika znajdowało oparcie w art. 207 § 1 i 2 Kodeks pracy. W myśl ww. przepisów pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. Na zakres odpowiedzialności pracodawcy nie wpływają obowiązki pracowników w dziedzinie bezpieczeństwa i higieny pracy oraz powierzenie wykonywania zadań służby bezpieczeństwa i higieny pracy specjalistom spoza zakładu pracy, o których mowa w art. 23711 § 2 (art. 207 § 1). Pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. W szczególności pracodawca jest obowiązany: 1) organizować pracę w sposób zapewniający bezpieczne i higieniczne warunki pracy; 2) zapewniać przestrzeganie w zakładzie pracy przepisów oraz zasad bezpieczeństwa i higieny pracy, wydawać polecenia usunięcia uchybień w tym zakresie oraz kontrolować wykonanie tych poleceń; 3) reagować na potrzeby w zakresie zapewnienia bezpieczeństwa i higieny pracy oraz dostosowywać środki podejmowane w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy; 4) zapewnić rozwój spójnej polityki zapobiegającej wypadkom przy pracy i chorobom zawodowym uwzględniającej zagadnienia techniczne, organizację pracy, warunki pracy, stosunki społeczne oraz wpływ czynników środowiska pracy; 5) uwzględniać ochronę zdrowia młodocianych, pracownic w ciąży lub karmiących dziecko piersią oraz pracowników niepełnosprawnych w ramach podejmowanych działań profilaktycznych; 6) zapewniać wykonanie nakazów, wystąpień, decyzji i zarządzeń wydawanych przez organy nadzoru nad warunkami pracy; 7) zapewniać wykonanie zaleceń społecznego inspektora pracy (art. 207 § 2).
Powyższy przepis wskazuje na odpowiedzialność pracodawcy za stan bezpieczeństwa i higieny pracy w zakładzie pracy oraz na obowiązek pracodawcy ochrony zdrowia i życia pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Z przepisu tego nie wynika jednak, aby warunkiem realizacji ww. obowiązków przez pracodawcę (Spółkę) było przetwarzanie (udostępnienie) danych osobowych pracowników (w tym uczestnika postępowania) na temat stanu ich szczepień (przeciwko COVID-19) w opisany wyżej sposób, tj. w formie imiennej tabeli, do której odnosił się link zawarty w e-mailu z dnia [...] lipca 2021 r.
Spółka, odwołując się do art. 207 § 1 i 2 Kodeksu pracy, wskazała na potrzebę wykonywania lotów poza granicami Rzeczypospolitej Polskiej w okresie pandemii oraz zapewnienie zatrudnienia prawnikom i współpracownikom Spółki w tym czasie m.in. poprzez kompletowanie załóg i mechaników w taki sposób, aby spełnić kryteria wynikające z przepisów obowiązujących w kraju, do którego miały odbywać się loty, w tym kryteria dotyczące dostępu do miejsc publicznych (lotniska, hangary itp.). Ponownie jednak wskazać należy, że dla osiągnięcia tychże celów nie zachodziła konieczność udostępnienia ww. danych osobowych uczestnika postępowania dotyczących zdrowia (w opisanej wyżej formie). Innymi słowy dla osiągnięcia tychże celów, jakkolwiek istotnych z punktu widzenia interesów tak pracodawcy, jak i pracowników, nie było niezbędne przetwarzanie danych uczestnika postępowania w określony wyżej sposób. Nie sposób również przyjąć, aby stan szczepień uczestnika postępowania przeciwko COVID-19 był warunkiem oceny jego zdolności do pracy. Nie zachodziła zatem przesłanka legalizująca przetwarzanie danych, określona w art. 9 ust. 2 lit. e RODO.
Nie sposób również przyjąć, że przetwarzanie ww. danych uczestnika postępowania dotyczących zdrowia było podyktowane interesem publicznym z tego choćby powodu, że stan szczepień osób przeciwko COVID-19 pozostaje bez wpływu na konieczność zapewnienia środków ochrony osobistej zapobiegających rozprzestrzenianiu się wirusa. Nie można zatem zgodzić się z argumentacją Spółki, że przetwarzanie danych uczestnika postępowania było uzasadnione w świetle art. 9 ust. 2 lit. i RODO.
Podsumowując stwierdzić należy, że żadna z wymienionych przez Spółkę przesłanek art. 9 ust. 2 RODO nie wystąpiła w kontrolowanej sprawie. Przetwarzanie danych uczestnika postępowania o stanie jego szczepień przeciwko COVID-19 - poprzez udostępnienie na rzecz pracowników i współpracowników w okresie od dnia [...] lipca 2021 r. do dnia 10 maja 2022 r. za pośrednictwem tabeli, do której link wskazano w wiadomości e-mailowej z dnia [...] lipca 2021 r. - nie znajdowało oparcia w art. 9 ust. 2 RODO. Oznacza to, że Spółka nie dopełniła obowiązków, które spoczywają na niej jako administratorze w związku z przepisami o ochronie danych osobowych, co - jak trafnie przyjął organ - stanowiło naruszenie art. 5 ust. 1 lit. a RODO oraz art. 9 ust. 1 RODO.
W kwestii podjętego rozstrzygnięcia wskazać należy, że Prezes UODO - na mocy art. 58 ust. 2 RODO - wyposażony jest w uprawnienia naprawcze o charakterze władczym, kierowane do administratora lub podmiotu przetwarzającego, do których należy m.in. udzielanie upomnień (lit. b). Upomnienie może być stosowane - jak wyjaśniono w motywie 148 preambuły RODO - w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, przy czym w każdym przypadku organ bierze pod uwagę okoliczności indywidualnej sprawy. Korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu.
Uwzględniając powyższe Sąd stwierdza, że organ, udzielając Spółce upomnienia za wykazane uchybienia przepisom RODO, nie naruszył prawa. Zastosowany wobec Spółki instrument jest adekwatny do wagi stwierdzonych naruszeń obowiązków administratora danych.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.