II SA/Wa 1466/17

II SA/Wa 1466/17 - Wyrok WSA w Warszawie
Data orzeczenia
2018-07-26
orzeczenie prawomocne
Data wpływu
2017-09-21
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Janusz Walawski /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 681/21 - Wyrok NSA z 2022-02-25
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2018 poz 1302
art. 151, 132
Ustawa z dnia 30 sierpnia 2002 r.  Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity
Dz.U. 2016 poz 922
art. 12 pkt 2, art.22, art.23 ust.1 pkt 2, art. 27 ust. 2 pkt 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Przemysław Szustakiewicz, Sędziowie WSA Danuta Kania, Janusz Walawski (spr.), Protokolant specjalista Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 12 lipca 2018 r. sprawy ze skargi B.H. i M.J. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -
Uzasadnienie
B. H. i M. J. w dniu 7 marca 2016 r. złożyli do Generalnego Inspektora Ochrony Danych Osobowych skargę na bezprawne przetwarzanie danych osobowych ich małoletniej córki A. J. przez Wojewodę [...], Państwowego Inspektora Sanitarnego w [...] oraz Z. N. i B. Z. prowadzących działalność gospodarczą pod oznaczeniem Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] ul [...], Państwowego Powiatowego Inspektora Sanitarnego w [...] ul. [...], Wojewodę [...] ul. [...].
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lipca 2017 r. nr [...], na podstawie art. 138 § 1 pkt 1 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257) - dalej "K.p.a." oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922) - dalej "ustawa o ochronie danych osobowych" utrzymał w mocy decyzję poprzedzającą z dnia [...] grudnia 2016 r. w przedmiocie przetwarzania danych osobowych B. J. oraz M. J. oraz ich małoletniej córki A. J. przez Wojewodę [...], Państwowego Inspektora Sanitarnego w [...] oraz Z. N. i B.Z. prowadzących działalność gospodarczą pod oznaczeniem Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] ul [...], Państwowego Powiatowego Inspektora Sanitarnego w [...] ul. [...], Wojewodę [...] ul. [...].
Organ w uzasadnieniu decyzji podał, że B. H. oraz M. J. (dalej: skarżący) jako osoby sprawujące prawną pieczę nad swoją małoletnią córką, nie wykonali w stosunku do niej obowiązku szczepień ochronnych.
Pismami z 2 stycznia 2013 r., 5 stycznia, 2015 r., 1 kwietnia 2015 r., 3 lipca 2015 r., 30 września 2015 r., 30 grudnia 2015 r., 30 marca 2016 r. Przychodnia skierowała do PPIS zawiadomienie o odmowie przez skarżących wykonania obowiązkowych szczepień ochronnych u ich małoletniej córki.
Przychodnia udostępniła dane osobowe skarżących oraz ich córki w zakresie imienia, nazwiska, adresu zamieszkania oraz daty urodzenia córki skarżących PPIS, w związku z nierealizowaniem obowiązku szczepień w stosunku do ich małoletniej córki. PPIS pismami z 18 marca 2013 r., 10 kwietnia 2014 r. i 12 listopada 2013 r. wezwał skarżących do wykonania obowiązku szczepień w stosunku do ich małoletniej córki.
W związku z niewykonaniem obowiązku PPIS upomnieniem z 15 marca 2016 r. wezwał skarżących do spełnienia obowiązku szczepień w stosunku do ich małoletniej córki.
PPIS przekazał pismem z dnia 8 lipca r. zgodnie z właściwością sprawę wyegzekwowania obowiązku poddania obowiązkowemu szczepieniu małoletniej córki Skarżących do Wojewody [...].
Po przeprowadzeniu postępowania administracyjnego decyzją z [...] grudnia 2016 r. (znak: [...]) Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku.
Ustalony stan faktyczny i zebrany materiał dowodowy wskazuje, iż skarżący, jako osoby sprawujące prawną pieczę nad swoją małoletnią córką, nie wykonali w stosunku do niej obowiązku szczepień ochronnych.
Przechodząc do kwestii przetwarzania danych osobowych skarżących i ich małoletniej córki A. J. przez Wojewodę [...], PPIS i Przychodnię Generalny Inspektor wskazał, powołując się na art. 23 ust. 1 oraz art. 27 ust. 1 ustawy o ochronie danych osobowych, że niezależnie od zgody osoby, której dane dotyczą, przetwarzanie jej danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa w przypadku przetwarzania danych zwykłych (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone jest m.in. w przypadku, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych).
Zgodnie z powyższym dane osobowe skarżących przetwarzane są przez na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, natomiast dane ich małoletniej córki na podstawie art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych.
Generalny Inspektor powołując się na przepis art. 5 ust. 1 pkt 1 ppkt b ustawy z 5 grudnia 2001 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi
(Dz. U. z 2013 r. poz. 947 ze zm.) - dalej: "u.z.z." podał, że osoby przebywające na terytorium Rzeczypospolitej Polskiej są obowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. Zgodnie z art. 5 ust. 2 u.z.z. w przypadku osoby nieposiadającej pełnej zdolności do czynności prawnych odpowiedzialność za wypełnienie obowiązków ponosi osoba, która sprawuje prawną pieczę nad osobą małoletnią lub bezradną, albo opiekun faktyczny w rozumieniu art. 3 ust. 1 pkt 1 ustawy z 6 listopada 2008 r. o Prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. 2016 r. poz. 186 ze zm.). Ponadto zgodnie z art. 5 ust. 1 pkt 4 ppkt a u.z.z. osoby przebywające na terytorium Rzeczypospolitej Polskiej są obowiązane na zasadach określonych u.z.z. do udzielania danych i informacji organom Państwowej Inspekcji Sanitarnej, Wojskowej Inspekcji Sanitarnej, Państwowej Inspekcji Sanitarnej Ministerstwa Spraw Wewnętrznych, Inspekcji Weterynaryjnej, Wojskowej Inspekcji Weterynaryjnej, Inspekcji Ochrony Środowiska, jednostkom, o których mowa w art. 30 ust. 1, oraz ośrodkom referencyjnym i instytutom badawczym - niezbędnych do prowadzenia nadzoru epidemiologicznego nad zakażeniami i chorobami zakaźnymi i zapobiegania oraz zwalczania zakażeń i chorób zakaźnych; właściwym państwowym inspektorom sanitarnym - niezbędnych do prowadzenia nadzoru epidemiologicznego nad niepożądanymi odczynami poszczepiennymi; organom Państwowej Inspekcji Sanitarnej - niezbędnych do sprawowania nadzoru nad realizacją obowiązków, o których mowa w art. 5 ust. 1 pkt 1-3 u.z.z.
Nadto powołując się na § 3 rozporządzenia zróżnicowanie zarówno dolnej, jak i górnej granicy okresu objętego obowiązkiem poddania się szczepieniom ochronnym przeciwko poszczególnym chorobom wyraźnie określa okres powstania i wygaśnięcia obowiązku poddania się szczepieniom, a nie okres wymagalności tego obowiązku.
Generalny Inspektor za nieuzasadniony uznał zarzut, jakoby obowiązek poddania się szczepieniu dotyczył jedynie osób już zakażonych. Szczepienia są bowiem działaniem prewencyjnym, a obowiązek poddania się obowiązkowym szczepieniom ochronnym wynika wprost z przepisu prawa (art. 5 ust. 1 pkt 1 lit. b i art. 17 ust. 1 u.z.z.).
Generalny Inspektor wskazał, że zgodnie z art. 17 ust. 8 u.z.z. osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień ochronnych, w tym przechowują karty uodpornienia oraz dokonują wpisów potwierdzających wykonanie szczepienia (pkt 1) i sporządzają sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu (pkt 2). Rozporządzenie wydane na podstawie art. 17 ust. 10 u.z.z. określa w załączniku nr 4 wzór sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych, zgodnie z którym w dziale drugim znajduje się wykaz osób uchylających się od szczepień ochronnych. Nadto Generalny Inspektor podał, że podstawę przekazania danych osobowych małoletniej córki skarżących PPIS, w tym danych o jej stanie zdrowia stanowi art. 17 ust. 8 pkt 2 u.z.z. w związku z art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych, natomiast w Rozporządzeniu określono kwestie organizacyjne i techniczne pozwalające usystematyzować obieg opisanych w nim dokumentów. Z uwagi na to, że Państwowy Powiatowy Inspektor Sanitarny na podstawie art. 5 pkt 3 w zw. z art. 10 ust. 1 pkt 3 u.p.i.s. w zw. z art. 5 ust. 1 pkt 4 ppkt c u.z.z. sprawuje nadzór w zakresie realizacji obowiązku poddawania się szczepieniom ochronnym, uznać należy, że NZOZ na podstawie art. 17 ust. 8 pkt 2 u.z.z. była zobligowana do poinformowania o niewypełnieniu w/w obowiązku.
Mając na uwadze powyższe Generalny Inspektor wskazał, iż przekazanie przez NZOZ PPIS danych osobowych skarżących i ich małoletniej córki w zakresie imion, nazwisk, adresu zamieszkania oraz daty urodzenia córki skarżących oraz informacji o niepoddaniu jej szczepieniom ochronnym było celowe i adekwatne, ponieważ umożliwiło wykonywanie przez PPIS nadzoru w zakresie realizacji obowiązku szczepień ochronnych.
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2017 r. stała się przedmiotem skargi skarżących do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie w całości zaskarżonej decyzji oraz decyzji jej poprzedzającej oraz o zasądzenie na rzecz skarżących zwrotu kosztów postępowania według norm przepisanych, zaskarżonej decyzji zarzucili naruszenie następujących przepisów:
a) naruszenie art. 5 ust. 1 pkt. 4 lit. a - c, art. 17 ust. 8 pkt 2 i ust. 10 pkt. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 27 ust. 2 pkt. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i uznanie, iż przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Państwowego Powiatowego inspektora Sanitarnego w [...], Z. N. oraz B. Z. prowadzących działalność gospodarczą pod firmą Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] jest dopuszczalne, podczas gdy przepisy ustawy o zapobieganiu oraz zwalczaniu zakażeń ,i chorób zakaźnych mówię jedynie o udzielaniu danych i informacji oraz o sporządzaniu sprawozdań nie wskazując, że chodzi o tzw. sensytywne dane osobowe,
b) naruszenie art. 5 ust. 1 pkt. 4 lit. a - c, art. 17 ust. 8 pkt. 2 i ust. 10 pkt. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 27 ust. 2 pkt. 2 w zw. z art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie} i uznanie, iż na podstawie tych przepisów możliwe jest przetwarzanie przez Państwowego Powałowego Inspektora Sanitarnego w [...], Z. N. oraz B. Z. prowadzących działalność gospodarczą pod firmą Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] naszych danych osobowych w związku ze sprawowaniem przez organy inspekcji sanitarnej nadzoru nad realizacją obowiązku szczepień oraz egzekucją tego obowiązku, podczas gdy przetwarzanie danych naszej małoletniej córki odbywało się z naruszeniem art. 27 ust. 2 pkt. 2 ustawy o ochronie danych osobowych na skutek czego brak było możliwości przetwarzania naszych danych osobowych, gdyż automatycznie prowadziło to do ujawnienia informacji o stanie zdrowa naszej małoletniej córki,
c) naruszenie art. 5 ust. 1 pkt. 1 lit. b i pkt. 4 lit a - c, art. 17 ust 8 pkt. 2 i ust. 10 pkt. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 3 § 1, art. 2 § 1 pkt. 10. art. 1a pkt. 13, art. 5 § 1 pkt 2, art. 6 § 1, art. 15 § 1 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji w zw. z art. 27 ust. 2 pkt. 2 w ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i uznanie, iż przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Państwowego Powiatowego Inspektora Sanitarnego w [...] jest dopuszczalne, podczas gdy przepisy ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych mówią jedynie o udzielaniu danych i informacji oraz o sporządzaniu sprawozdań nie wskazując, że chodzi o tzw. sensytywne dane osobowe,
d) naruszenie art. 5 ust. 1 pkt. 1 lit. b i pkt. 4 lit. a - c, art. 17 ust. 8 pkt. 2 i ust. 10 pkt. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 3 § 1, art. 2 § 1 pkt. 10, art. 1a pkt. 13, art. 5 § 1 pkt 2, art. 6 § 1, art. 15 § 1 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji w zw. z art. 27 ust. 2 pkt. 2 w zw. z art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i usianie, iż na podstawę tych przepisów możliwe jest przetwarzanie przez Państwowego Powiatowego inspektora Sanitarnego w [...] naszych danych osobowych, podczas gdy przetwarzanie danych naszej małoletniej córki odbywało się z naruszeniem art. 27 ust. 2 pkt. 2 ustawy o ochronie danych osobowych na skutek czego brak było możliwości przetwarzania naszych danych osobowych, gdyż automatycznie prowadziło to do ujawnienia informacji o stanie zdrowia naszej małoletniej córki,
e) naruszenie art. 5 ust. 1 pkt. 1 lit. b i pkt. 4 lit. a - c, art. 17 ust. 8 pkt. 2 i ust. 10 pkt. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 3 § 1, art. 20 § 1 pkt. 3 i 4, art. 32, art. 122 § 1 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji i art. 5 pkt. 3, art. 10 ust. 1 pkt. 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej w zw. z art. 27 ust. 2 pkt. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i uznanie, iż przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Wojewodę [...] jest dopuszczalne, podczas gdy przepisy ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych mówią jedynie o udzielaniu danych i informacji oraz o sporządzaniu sprawozdań nie wskazując, że chodzi o tzw. sensytywne dane osobowe,
f) naruszenie art 5 ust. 1 pkt 1lit. b i pkt 4 lit. a-c, art. 17 ust. 8 pkt 2 i ust. 10 pkt 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. art. 3 § 1, art. 20 § 1 pkt 3 i 4, art. 32, art. 122 § 1 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji i art. 5 pkt 3, art. 10 ust. 1pkt 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej w zw. z art. 27 ust. 2 pkt 2 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i uznanie, iż na podstawie tych przepisów możliwe jest przetwarzanie przez Wojewodę [...] naszych danych osobowych, podczas gdy przetwarzanie danych naszej małoletniej córki odbywało się z naruszeniem art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych na skutek czego brak było możliwości przetwarzania naszych danych osobowych, gdyż automatycznie prowadziło to do ujawnienia informacji o stanie zdrowia naszej małoletniej córki,
g) naruszenie art 17 ust. 8 pkt. 2 i ust. 10 pkt. 8 ustawy zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z § 13 rozporządzenia w zw. z załącznikiem nr 4 rozporządzenia i z art. 27 ust. 2 pkt. 2 ustawy o ochronie danych osobowych poprzez ich błędną wykładnię (ewentualnie niewłaściwe zastosowanie) i uznanie, iż:
- przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Wojewodę [...], Państwowego Powiatowego inspektora Sanitarnego w [...], Z. N. oraz B. Z. prowadzących działalność gospodarczą pod firmą Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A s.c. w [...] jest dopuszczalne, podczas gdy przepis ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych mówi jedynie o sporządzaniu kwartalnych sprawozdań nie wskazując, że co mają one zawierać a w szczególności, że mają się z nich znajdować tzw. sensytywne dane osobowe,
- przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Wojewodę [...], Państwowego Powiatowego inspektora Sanitarnego w [...], Z. N. oraz 8. Z. prowadzących działalność gospodarczą pod firmą Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] jest dopuszczalne, podczas gdy przepis ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych sensytywnych, gdy zezwala na to przepis szczególny innej ustawy a nie rozporządzenia,
h) naruszenie art 17 ust. 8 pkt. 2 i ust. 10 pkt. 8 ustawy zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych w zw. z art. 87 ust. 1 i art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. w zw. z § 13 rozporządzenia w zw. z załącznikiem nr 4 rozporządzenia i z art. 27 ust. 2 pkt. 2 ustawy o ochronie danych osobowych poprzez ich niewłaściwe zastosowanie (ewentualnie ich błędną wykładnię) i przyjęcie, że przetwarzanie tzw. wrażliwych danych osobowych naszej córki przez Wojewodę [...], Państwowego Powiatowego Inspektora Sanitarnego w [...], Z. N. oraz B. Z. prowadzących działalność gospodarczą pod firmą Niepubliczny Zakład Opieki Zdrowotnej Przychodnia A. s.c. w [...] jest dopuszczalne na podstawie załącznika nr 4 rozporządzenia, podczas gdy nie może być on podstawą do nakładania obowiązków na obywateli jako wyłączony z katalogu powszechnie obowiązujących źródeł prawa na terenie Rzeczypospolitej Polskiej.
Skarżący wnieśli również o dopuszczenie dowodu z pisma Generalnego Inspektora Ochrony Danych Osobowych do Głównego Inspektora Sanitarnego oraz Ministra Zdrowia o nr [...] z dnia [...] października 2016 r. na okoliczność uznania przez GIODO, iż podane w zaskarżonej decyzji przepisy ustawy o ochronie danych osobowych nie stanowią w istocie podstawy prawnej do przetwarzania danych osobowych ich córki.
W odpowiedzi na skargę Generalny Inspektor Ochrony danych Osobowych wniósł ojej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2016 r., poz.1066), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. W świetle powyżej określonych kryteriów skarga podlega oddaleniu, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych odpowiada prawu.
Na wstępie zaznaczyć należy, iż zadaniem ustawy o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest bezwzględny zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Przepis art. 1 ust. 2 ww. ustawy stanowi, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.
Zgodnie natomiast z treścią art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przetwarzanie danych osobowych w powyższym rozumieniu może być uznane za zgodne z prawem wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek przetwarzania danych. Przesłanki te odnośnie zwykłych danych osobowych określone zostały w art. 23 ust. 1, a odnośnie tzw. wrażliwych danych osobowych w art. 27 ust. 2 powołanej ustawy o ochronie danych osobowych. Zadaniem GIODO jest zatem dokonanie każdorazowo oceny, czy u podstaw badanego procesu przetwarzania danych osobowych leżała przesłanka legalizująca ten proces.
W niniejszej sprawie powodem odmowy uwzględnienia wniosku skarżących skierowanego do GIODO w sprawie niezgodnego z prawem przetwarzania ich danych osobowych oraz ich małoletniej córki przez Wojewodę [...], PPIS i Przychodnię było stwierdzenie przez organ, że w sprawie wystąpiły przesłanki legalizujące przetwarzanie danych osobowych, wymienione w art. 23 ust. 1 pkt 2 u.o.d.o. wobec skarżących, zaś w stosunku do ich córki na podstawie art. 27 ust. 2 pkt 2 ww. ustawy.
Przepis art. 23 ust. 1 pkt 2 u.o.d.o. stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast w myśl art. 27 ust.1 i ust. 2 pkt 2 u.o.d.o. zabrania się przetwarzanie danych (...) o stanie zdrowia, jednakże przetwarzanie tych danych jest dopuszczalne, jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.
W sprawie niniejszej jest okolicznością niesporną, że skarżący jako osoby sprawujące prawną pieczę nad małoletnią córką, nie wykonali w stosunku do niej obowiązku szczepień ochronnych.
Przychodnia siedmiokrotnie zawiadamiała PPIS o odmowie wykonania przez skarżących obowiązkowych szczepień ochronnych małoletniej córki syna i udostępniła dane osobowe skarżących oraz ich córki w zakresie imienia, nazwiska, adresu zamieszkania oraz daty urodzenia syna.
PPIS pismami z dnia 18 marca 2013 r., 10 kwietnia 2013 r. i 12 listopada 2013 r. wezwał skarżących do wykonania szczepień w stosunku do ich córki. Wobec niewykonania przez skarżących szczepień ochronnych w stosunku do córki PPIS przekazał 8 lipca 2014 r. sprawę do Wojewody [...] w celu wyegzekwowania obowiązku poddania córki skarżących obowiązkowemu szczepieniu ochronnemu.
W świetle ustaleń, poczynionych w toku postępowania wyjaśniającego, GIODO nie miał podstaw do kwestionowania legalności przetwarzania przez NZOZ, PPIS i Przychodnię danych osobowych skarżących i ich małoletniej córki w oparciu o przepisy art. 5 ust. 1 pkt 1b w zw. z pkt 4c oraz ust. 2 w zw. z art. 17 ust. 1 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi. Zgodnie ze wskazanymi normami osoby przebywające na terytoriom Rzeczypospolitej Polskiej są obowiązane na zasadach określonych w ustawie do poddania się szczepieniom ochronnym (art. 5 ust. 1 pkt 1b), udzielania danych i informacji organom Państwowej Inspekcji Sanitarnej niezbędnych do sprawowania nadzoru nad realizacją obowiązków, o których mowa w pkt 1 - 3 (pkt 4c), w przypadku osoby nieposiadającej pełnej zdolności do czynności prawnych odpowiedzialność za wypełnienie obowiązków, o których mowa w ust. 1, ponosi osoba, która sprawuje prawną pieczę nad osobą małoletnią lub bezradną albo opiekun faktyczny w rozumieniu art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z2016 r. poz. 186, 823, 960, 1070) (ust. 2). Oznacza to, że obowiązek poddania się obowiązkowym szczepieniom ochronnym wynika z mocy ustawy, nie ma zatem podstawy prawnej do konkretyzacji w innej formie. Potwierdza to również art. 17 ust. 1 powołanej ustawy, który stanowi, że osoby określone na podstawie ust. 10 pkt 2, są obowiązane do poddania się szczepieniom ochronnym przeciw chorobom zakaźnym określonym na podstawie art. 10 ust. 1, zwanym dalej "obowiązkowymi szczepieniami ochronnymi" (art. 17 ust. 1). Wykonanie tego obowiązku z mocy prawa zabezpieczone jest przymusem administracyjnym. Według art. 36 ust. 1 powołanej ustawy wobec osoby, która nie poddaje się obowiązkowi szczepienia, może być zastosowany środek przymusu bezpośredniego polegający na przytrzymywaniu, unieruchomieniu lub przymusowym podaniu leków. Zgodnie zaś z art. 3 § 1 w zw. z art. 2 § 1 pkt 10 ustawy o postępowaniu egzekucyjnym w administracji egzekucję administracyjną stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu.
Nadto z art. 17 ust. 8 u.z.z. pkt 1 i 2 osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną, w tym przechowują karty uodpornienia oraz dokonują wpisów potwierdzających wykonanie szczepienia (pkt 1), sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu (pkt 2). Natomiast rozporządzenie Ministra Zdrowia z dnia 18 sierpnia 2011 w sprawie obowiązkowych szczepień ochronnych w załączniku nr 4 określiło wzór sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych, do którego dołącza się wykaz osób uchylających się od tych szczepień. Trafnie zatem GIODO uznało, że art. 17 ust. 8 pkt 2 u.z.z. w zw. z art. 27 ust. 2 pkt 2 u.o.d.o. stanowi podstawę do przekazania danych osobowych małoletniej córki skarżących, w tym danych o jego stanie zdrowia. Przychodnia na podstawie wskazanych przepisów była zobowiązana do przekazania danych małoletniej córki skarżących z uwagi na niepoddanie jej szczepieniom ochronnym PPIS, bowiem organ ten sprawuje nadzór w zakresie realizacji tego obowiązku. Tym samym przekazanie przez Przychodnię do PPIS danych osobowych skarżących i ich córki oraz informacji o niepoddaniu jej szczepieniom ochronnym było celowe i adekwatne. Działanie to wyczerpywało przesłankę określoną w art. 23 ust. 1 pkt 2 u.o.d.o. (skarżący) i art. 27 ust. 2 pkt 2 u.o.d.o. (małoletni) oraz było zgodnie z art. 26 ust. 1 u.o.d.o.
Odnoszą się do zarzutów skargi Sąd stwierdza, że są one nieuprawnione, bowiem organ nie naruszył określonych w skardze przepisów.
Organ zarówno w zaskarżonej jak i utrzymanej nią w mocy decyzji przedstawił stanowisko dlaczego nie jest możliwe uwzględnienie wniosku skarżących. Tym samym skoro zaskarżona decyzja odpowiada prawu, to nie było potrzeby usunięcia jej z obrotu prawnego
Mając na uwadze powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 i art. 132 P.p.s.a., oddalił skargę.