II SA/Wa 1500/23

II SA/Wa 1500/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-12
orzeczenie nieprawomocne
Data wpływu
2023-07-31
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /sprawozdawca/
Ewa Marcinkowska /przewodniczący/
Lucyna Staniszewska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2023 poz 775
art. 9, art. 10
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.)
Dz.U. 2019 poz 1781
art. 7
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Danuta Kania (spr.), Asesor WSA Lucyna Staniszewska, po rozpoznaniu w trybie uproszczonym w dniu 12 marca 2024 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem skargi [...] Spółka z o.o. z siedzibą w [...] (dalej: "Spółka", "strona skarżąca") jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") z dnia [...] maja 2023 r. nr [...], mocą której organ, działając na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775), dalej: "k.p.a." w związku z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), art. 6 ust. 1 i art. 58 ust. 2 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO", nakazał Spółce spełnienie żądania A.K. (dalej: "uczestnik postępowania"), wynikającego z prawa przysługującego mu na mocy art. 17 ust. 1 RODO, poprzez usunięcie dotyczących go danych osobowych w zakresie: imienia, nazwiska, numeru PWZ, numeru NIP, adresu miejsca wykonywania działalności oraz numeru telefonu, przetwarzanych za pośrednictwem strony internetowej dostępnej pod adresem URL: [...].
W uzasadnieniu decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga A.K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę, polegające na udostępnieniu jego danych osobowych na rzecz osób trzecich bez podstawy prawnej oraz odmowie spełnienia żądania usunięcia jego danych osobowych z portalu internetowego "[...]", dostępnego pod adresem URL: [...].
Organ ustalił, że Spółka przetwarza dane osobowe uczestnika postępowania na podstawie art. 6 ust. 1 lit. f RODO. Przetwarzanie polega na publikacji danych na stronie internetowej www. [...].pl umożliwiających wyszukiwanie miejsc, w których udzielane są świadczenia w ramach publicznego systemu opieki zdrowotnej. Źródłem danych był serwis ogólnodostępnego Rejestru Praktyk Zawodowych, prowadzonego przez Centrum [...], CEiDG (Centralna Ewidencja i Informacja o Działalności Gospodarczej) oraz NFZ w zakresie imienia, nazwiska, numeru PWZ, NIP, zdobytych specjalizacji, informacji o placówkach udzielanych świadczeń zdrowotnych oraz adresu e-mail.
Na stronie internetowej dostępnej pod adresem URL: https:// [...] zawarto informację, że Spółka przetwarza dane osobowe świadczeniodawców/lekarzy w oparciu o uzasadniony interes, tj. interes gospodarczy jakim jest prowadzenie portalu w ramach działalności informacyjnej Spółki i zwiększenie ilości odwiedzin strony oraz interes społeczny, polegający na rozpowszechnianiu informacji o usługach świadczonych przez podmioty świadczące usługi w ramach publicznej służby zdrowia, finansowanej ze środków NFZ. Informacje takie obejmują dane identyfikacyjne, dane kontaktowe, dane adresowe, informacje o specjalizacji.
Pod adresem URL: https:// [...] Spółka aktualnie udostępnia dane osobowe uczestnika postępowania w zakresie imienia, nazwiska, numeru PWZ, numeru NIP, adresu miejsca wykonywania działalności oraz numeru telefonu.
Spółka w wiadomości e-mail z dnia 4 stycznia 2023 r. przekazała uczestnikowi postępowania klauzulę informacyjną dotyczącą publikowania informacji o jego praktyce lekarskiej pod ww. adresem URL. Uczestnik w wiadomości e-mail z dnia 5 listopada 2022 r. wniósł do Spółki żądanie niezwłocznego usunięcia dotyczących go danych z portalu [...].pl. Uczestnik zwracał się z żądaniem usunięcia danych również w dniu 2 stycznia 2023 r.
W dniu 7 listopada 2022 r. Spółka przekazała uczestnikowi postępowania informację gdzie znaleźć opis skutecznej procedury zgłoszenia sprzeciwu wobec przetwarzania wraz z adresem URL: https:// [...]. Pod wskazanym adresem URL Spółka informuje o możliwości złożenia sprzeciwu wobec przetwarzania danych osobowych, jeżeli osoba, której dane dotyczą, uważa, że jej szczególnie uzasadniony interes sprzeciwia się takiemu przetwarzaniu. Spółka wyjaśniła, że sprzeciw taki musi być uzasadniony, a w jego treści musi zostać opisane na czym polega interes osoby, której dane dotyczą w usunięciu danych osobowych i dlaczego uważa ona, że tenże interes jest nadrzędny wobec interesu Spółki.
Spółka, w toku korespondencji z uczestnikiem postępowania (pismo z dnia 24 stycznia 2023 r.) podniosła, że ponownie wykonała test równowagi. Spółka oświadczyła cyt.: "Przedstawione okoliczności nie zmieniły wyniku wcześniejszej analizy. Rozpatrując prośbę o usunięcie danych osobowych bierzemy pod uwagę przedstawioną szczególną sytuację oraz prawa innych osób. W tej sprawie uznaliśmy, że prawa użytkowników serwisów (do wolności wypowiedzi i informacji) są nadrzędne wobec prawa do żądania usunięcia informacji o prowadzonej praktyce. W związku z tym podjęliśmy decyzję o nieusuwaniu przetwarzanych danych".
Spółka świadczy usługi informacyjne dotyczące zakładów opieki zdrowotnej, świadczeniodawców, lekarzy oraz innych podmiotów związanych z usługami medycznymi, w tym usługi w zakresie: informowania o ww. podmiotach, w szczególności: o nazwie, adresie, zakresie świadczonych usług, godzinach pracy i lokalizacji; rozpowszechniania tekstów informacyjnych w szczególności o tematyce związanej z ochroną zdrowia, organizacją medycyny, zasadami świadczenia usług medycznych i podobnych; wyrażania przez usługobiorców publicznych opinii o podmiotach oraz o tekstach określonych powyżej. Usługobiorcą może być każda osoba fizyczna. Spółka świadczy usługi na rzecz usługobiorców bez ich konieczności rejestracji w serwisie internetowym (§ 2 ust. 1 - 3 Regulaminu serwisu internetowego "[...].pl"- https:// [...]).
Usługobiorcy mogą w serwisie internetowym https:// [...].pl/ wyrażać publiczne opinie o działalności podmiotów oraz o opublikowanych artykułach. Wypowiedzi usługobiorców są powszechnie dostępne w Serwisie. Inni usługobiorcy mogą komentować wypowiedzi usługobiorcy. Spółka nie sprawdza treści pochodzących od usługobiorców przed ich rozpowszechnieniem, ani też po rozpowszechnieniu. Spółka nie zapewnia, że publikowane opinie dotyczące produktów lub usług, pochodzą od osób, które faktycznie z nich korzystały (§ 7 ust. 1-3 i 5 ww. Regulaminu).
Uwzględniając powyższe Prezes UODO wskazał, że przepisy RODO określają obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w art. 6 ust. 1. W przedmiotowej sprawie Spółka wskazała, iż przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. f RODO w celu realizacji swojego interesu gospodarczego (przyciągnięcie jak największej ilości podmiotów na stronę portalu [...].pl) oraz społecznego (umożliwienie świadczeniobiorcom uzyskania jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia). Jak wyjaśniła Spółka interes gospodarczy polega na tym, że pacjenci poszukujący dostępu do lekarza chętniej skorzystają ze strony, która zawiera więcej danych dotyczących świadczeniodawców oraz prezentuje opinie pacjentów na ich temat. Pacjenci będą chętniej wracać do takiej strony i korzystać z funkcji opiniowania świadczeniodawców, co dalej przyczyni się do wzrostu atrakcyjności tej strony internetowej. Interes społeczny zaś polega na tym, że serwis prowadzony przez Spółkę służy jako baza opinii na temat świadczeniodawców, z której mogą korzystać pacjenci szukający dostępu do usług medycznych. Ma to wpłynąć pozytywnie zarówno na szybkość dostępu do leczenia, jak i na jakość usług z uwagi na możliwość wystawiania komentarzy u świadczeniodawcy, z którego usług się korzystało.
Organ stwierdził, że interes ekonomiczno-gospodarczy stanowi prawnie uzasadniony interes. Zaznaczył przy tym, że Spółka przedstawiła jedynie sposób realizacji tego interesu ("prowadzenie portalu w ramach działalności informacyjnej administratora i zwiększenie ilości odwiedzin strony") nie wyjaśniając na czym interes ten miałby polegać. Przedstawione przez Spółkę wyjaśnienia w toku postępowania, jak również test równowagi, nie dostarczyły organowi informacji na temat korzyści, jakie osiąga Spółka w związku z prowadzeniem portalu www.[...].pl. Zatem, w ocenie organu, Spółka nie wykazała istnienia jej ekonomiczno-gospodarczego interesu.
Organ ocenił, że społeczny interes świadczeniobiorców, polegający na umożliwieniu im uzyskania jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia, stanowi prawnie uzasadniony interes.
W tym względzie organ wskazał na treść art. 19 Międzynarodowego Paktu Praw Obywatelskich i Politycznych otwartego do podpisu w Nowym Jorku w dniu 19 grudnia 1966 r. (Dz. U. z 1977 r. Nr 38, poz. 167) oraz do art. 10 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności sporządzonej w Rzymie w dniu 4 listopada 1950 r. (Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.). Odwołał się również do poglądów Europejskiego Trybunału Praw Człowieka (sprawa Prager i Oberschlick przeciwko Austrii, skarga nr 11662/85) oraz do orzecznictwa Trybunału Konstytucyjnego (wyrok z dnia 12 maja 2008 r., sygn. akt SK 43/05). Zauważył, że zakres art. 10 Konwencji odnosi się nie tylko do debaty publicznej, czy politycznej, ale także do krytyki sposobu leczenia i działalności lekarzy. Wskazał przy tym na orzeczenie Trybunału Sprawiedliwości Unii Europejskiej, który w wyroku "Bergens Tidende" i inni przeciwko Norwegii z dnia 2 maja 2000 r. (Izba [Sekcja] III, skarga nr 26132/95), stwierdził, że: "artykuły dotyczyły ważnych aspektów zdrowia ludzkiego i jako takie wzbudzały publiczne zainteresowanie. Trybunał nie mógł zgodzić się z opinią władz, iż skargi kilku pacjentek na konkretnego chirurga należały do sfery prywatnych relacji pacjent-lekarz, niemających znaczenia dla ogółu. (...) Istniał więc problem ochrony konsumenta społecznie ważny w skali krajowej i lokalnej. (...) Artykuły zawierały głównie omówienia relacji wielu byłych pacjentek dr. R. Sądy krajowe uznały, że krytyka w nich zawarta była w dużym stopniu usprawiedliwiona. Orzekły równocześnie, że miała ona poważny, negatywny wpływ na zawodową reputację chirurga. (...) W tych okolicznościach Trybunał nie mógł uznać, iż niewątpliwy interes dr. R. ochrony zawodowej reputacji miał większe znaczenie niż ważny publiczny interes zapewnienia prasie swobody przekazywania informacji o sprawach wzbudzających ogólne zainteresowanie. Racje przedstawione przez władze (Królestwa Norwegii) - chociaż istotne - nie wykazały, iż zarzucona ingerencja była konieczna w demokratycznym społeczeństwie. Brak było rozsądnej proporcji między ograniczeniami swobody wypowiedzi, do których doszło na skutek wyroku Sądu Najwyższego, i celem (tj. ochroną dobrego imienia lekarza). Nastąpiło naruszenie art. 10 Konwencji (jednogłośnie)".
Uwzględniając powyższe organ zwrócił jednak uwagę, że zgodnie z art. 6 ust. 1 lit. f RODO wyłączone z zalegalizowanych podstaw przetwarzania są sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionych interesów administratora danych mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Wskazał, że zgodnie z art. 14 ust. 1 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2022 r., poz. 633 ze zm.) podmiot wykonujący działalność leczniczą podaje do wiadomości publicznej informacje o zakresie i rodzajach udzielanych świadczeń zdrowotnych. Treść i forma tych informacji nie mogą mieć cech reklamy. Z kolei art. 8 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2022 r., poz. 1731 ze zm.) stanowi, że lekarz, który uzyskał prawo wykonywania zawodu, podlega wpisowi do rejestru prowadzonego przez właściwą okręgową radę lekarską. Zgodnie natomiast z art. 86 RODO, dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Organ powołał się również na stanowisko judykatury, gdzie wskazano, że tylko rejestr prowadzony przez właściwą okręgową izbę lekarską pełni zarówno funkcję informacyjną, jak też ochronną (por. wyrok WSA w Warszawie z dnia 29 stycznia 2014 r., sygn. akt II SA/Wa 1819/13).
Organ podkreślił przy tym, że tworzenie i utrzymywanie rejestrów zarządzanych przez organy publiczne działające na podstawie obowiązujących przepisów, jest czymś zupełnie innym aniżeli wykorzystanie danych pochodzących z publicznych rejestrów przez podmioty prywatne. Udostępniane bowiem w ten sposób (na prywatnych portalach) dane osób fizycznych może nadawać im inne, niż pierwotne znaczenie i w ten sposób powodować negatywne konsekwencje dla osoby, której dane
dotyczą. Jawność rejestru nie upoważnia do przetwarzania danych osobowych w nim zawartych w dowolnych celach i bez legitymowania się odpowiednią podstawą prawną dla takiego przetwarzania.
Organ wskazał, że portal, na którym Spółka przetwarza dane A.K,, nie ma charakteru pro publico bono, jest to portal komercyjny. Przyjęcie poglądu, że dane zawarte w rejestrach publicznych mogłyby być w nieograniczony sposób wykorzystywane bez woli osób w nich ujętych w celu tworzenia baz danych przez podmiot prywatny realizujący aktywność komercyjną w Internecie, prowadziłoby w istotny sposób do wykluczenia możliwości ochrony osób, których dane w tych rejestrach figurują, spod regulacji przewidzianych w przepisach szeroko pojętego zakresu prawnego dotyczącego przetwarzania danych osobowych osób fizycznych. Zatem w obecnym stanie prawnym możliwość przetwarzania danych osobowych uczestnika postępowania przez Spółkę na ww. portalu, z uwagi na ujawnione w publicznych rejestrach jego dane osobowe, nie znajduje uzasadnienia. Prawo do ponownego wykorzystywania podlega bowiem ograniczeniu ze względu na tajemnicę przedsiębiorstwa lub prywatność osoby fizycznej, w tym ochronę danych osobowych (art. 86 RODO).
Dalej organ wskazał, że podejmując rozstrzygnięcie w sprawie miał na względzie przeprowadzony przez Spółkę test oceny wagi interesów, który wykazał, że jej prawnie uzasadniony interes w publikacji danych osobowych uczestnika postępowania na portalu internetowym https:// [...].pl/ był nadrzędny wobec interesu uczestnika, jakim była ochrona jego danych osobowych. Organ podkreślił, że kluczowe znaczenie z punktu widzenia oceny stosunku sił pomiędzy uczestnikiem postępowania, będącym "podmiotem" w rozumieniu Regulaminu, ale też przede wszystkim osobą fizyczną, a "usługobiorcami" serwisu publikującymi opinie i komentarze na jego temat, mają postanowienia zawarte w § 2 ust. 3 Regulaminu, zgodnie z którym Spółka świadczy usługi na rzecz usługobiorców bez ich konieczności rejestracji w serwisie internetowym. Istotne znaczenie na również postanowienie § 6 ust. 1 Regulaminu, zgodnie z którym Spółka nie ponosi odpowiedzialności za działania i zaniechania usługobiorców. W szczególności Spółka nie ponosi odpowiedzialności za naruszenie dóbr osobistych bądź praw autorskich osób trzecich przez usługobiorców. Przepis § 6 ust. 2 Regulaminu stanowi, że Spółka nie ponosi odpowiedzialności za działania i zaniechania osób trzecich podjętych pod wpływem opinii i komentarzy rozpowszechnianych przez usługobiorców w serwisie. Ponadto Spółka nie ponosi odpowiedzialności za treść oraz dane pochodzące od usługobiorców, a także za treści oraz dane rozpowszechnione w komentarzach do wpisów (§ 6 ust. 3 Regulaminu). Zgodnie zaś z § 7 ust. 3 Regulaminu, Spółka nie sprawdza treści pochodzących od usługobiorców przed ich rozpowszechnieniem, ani też po rozpowszechnieniu. Z powyższego można wyprowadzić wniosek, że uczestnik postępowania nie ma zapewnionej możliwości ustosunkowania się do komentarzy, dotyczących jego osoby oraz oceny świadczonych przez niego usług medycznych dodawanych przez osoby trzecie, będące użytkownikami serwisu internetowego https:// [...].pl.
Organ podkreślił, iż fakt, że dane udostępniane na stronie internetowej dotyczą
wyłącznie życia zawodowego uczestnika postępowania, nie oznacza, że uczestnik pozbawiony jest ochrony. Wskazał przy tym na treść art. 30 i art. 47 Konstytucji RP oraz art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o Funkcjonowaniu Unii Europejskiej.
Organ powołał również art. 51 ust. 4 Konstytucji RP. Zaznaczył przy tym, że samo poinformowanie przez administratora danych o uprawnieniach korekcyjnych względem zebranych danych - bez ustalenia, czy korekta ta jest faktycznie możliwa - nie stanowi o zgodności z prawem przetwarzania danych. Stanowi jedynie o wypełnieniu obowiązku informacyjnego wobec osoby, której dane są przetwarzane. Podkreślił, że uczestnik postępowania, wobec spoczywającego na nim, jako lekarzu, obowiązku zachowania w tajemnicy informacji związanych z leczeniem, a uzyskanych w związku z wykonywaniem zawodu, w pewnych przypadkach (kiedy jedyna możliwość wykazania niepoprawności swoich danych osobowych prowadziłaby do naruszenia tajemnicy lekarskiej) jest pozbawiony rzeczywistej możliwości wykazania Spółce merytorycznej niepoprawności tychże danych (w tym informacji na swój temat jako lekarza), przedstawionych w opinii na stronie internetowej serwisu.
Zdaniem organu, w niniejszym postępowaniu Spółka nie wykazała niezbędności (potrzeby) przetwarzania danych osobowych uczestnika postępowania, zawartych na ww. portalu internetowym. Wskazany przez Spółkę cel przetwarzania danych uczestnika, polegający na umożliwieniu świadczeniobiorcom uzyskania jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia, ma charakter jednostronny i stanowi realne zagrożenie podstawowych praw i wolności uczestnika postępowania. Spółka, publikując dane uczestnika na ww. portalu internetowym, zapewnia niezalogowanym użytkownikom tego portalu swobodny dostęp do publikowania własnych komentarzy oraz dodawania ocen, odnoszących się do jakości usług medycznych, świadczonych przez uczestnika. Jednakże Spółka nie zapewniła uczestnikowi postępowania możliwości ustosunkowania się do zamieszczonych komentarzy dotyczących jego osoby oraz oceny komentarzy dotyczących jakości świadczonych przez niego usług medycznych. Spółka nie weryfikuje również w żaden sposób prawdziwości i rzetelności publikowanych w serwisie opinii. W ocenie organu, powyższa dysproporcja sił stanowi wysokie ryzyko naruszenia interesów oraz podstawowych praw i wolności uczestnika postępowania. W tym stanie faktycznym interes uczestnika, jakim jest zapewnienie ochrony jego danych osobowych przez administratora (Spółkę), znacznie przewyższa interes Spółki, jakim jest publikacja danych osobowych uczestnika na portalu internetowym https:// [...].pl.
Na stronie https:// [...] Spółka wskazuje, że: "Osoby trzecie mają możliwość publikować w portalu opinie na temat usług konkretnego świadczeniodawcy/lekarza" oraz że: "Komentarze są moderowane lub usuwane również po otrzymaniu wiarygodnej wiadomości wskazującej treści i uzasadniającej ich bezprawny charakter. Należy mieć na uwadze, że samo zgłoszenie żądania, nawet jeżeli żądanie jest w Państwa ocenie uzasadnione, nie zobowiązuje administratora do automatycznego usunięcia opinii z Portalu". Powyższe stanowisko, zdaniem organu, stanowi ingerencję w prawa osób prowadzących m.in. działalność gospodarczą związaną z medycyną poprzez autoryzację komentarzy przez Spółkę.
Uwzględniając powyższe organ stwierdził, że ustalony w sprawie stan faktyczny oraz prawny wykazał, że udostępnienie danych uczestnika postępowania, które w bezpośredni sposób pozwalały na jego identyfikację - jako lekarza świadczącego usługi medyczne osobom trzecim, będącym usługobiorcami portalu internetowego - stanowiło naruszenie ochrony danych osobowych uczestnika przez Spółkę. Organ nie zgodził się z argumentacją Spółki dotyczącą wolności wypowiedzi oraz prawa do oceny. Zdaniem organu działalność portalu https:// [...].pl/ nie opiera się na ocenie usług, lecz na ocenie i wyrażaniu opinii o konkretnych osobach. Tym samym wszelkie przypisane tym osobom informacje stanowią ich dane osobowe, które administrator jest obowiązany przetwarzać zgodnie z prawem, co przy braku przesłanek z art. 6 ust. 1 RODO oznacza, że Spółka nie jest uprawniona do przetwarzania tych danych osobowych. Tym samym cała działalność Spółki, która stoi na stanowisku, że nie odpowiada za treści publikowane na stronie internetowej https://[...].pl/, stoi w sprzeczności z przepisami RODO.
Organ zaznaczył, że to na administratorze danych (którym w tej sprawie jest Spółka) spoczywa obowiązek wykazania ich przetwarzania zgodnie z prawem. Spółka nie spełniła przesłanek wskazanych w art. 6 ust. 1 lit. f RODO uprawniających ją do przetwarzania danych uczestnika postępowania. Jednocześnie Spółka nie wykazała, a organ nie stwierdził, zaistnienia innej spośród przesłanek wymienionych w art. 6 ust. 1 RODO, w oparciu o którą Spółka mogłaby w sposób zgodny z prawem przetwarzać dane osobowe uczestnika w zakresie imienia, nazwiska, numeru PWZ, numeru NIP, adresu miejsca wykonywania działalności oraz numeru telefonu - przetwarzanych za pośrednictwem strony internetowej: https:// [...] .
Organ zaznaczył, że w dniu 5 listopada 2022 r. Spółka otrzymała od uczestnika postępowania żądanie usunięcia jego danych osobowych przetwarzanych za pośrednictwem ww. strony internetowej. W związku z tym, wobec treści art. 17 ust. 1 lit. d RODO, Spółka powinna była usunąć dane osobowe Skarżącego, czego nie uczyniła. Korzystając zatem ze swoich uprawnień naprawczych (art. 58 ust. 2 lit. c RODO) organ uznał za zasadne nakazanie Spółce spełnienia żądania uczestnika postępowania wynikającego z prawa przysługującego mu na mocy art. 17 ust. 1 RODO, w sposób określony w sentencji decyzji.
Pismem z dnia 20 czerwca 2023 r. [...] Spółka z o.o. w [...] wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] maja 2023 r. zarzucając naruszenie przepisów postępowania, tj.:
1) art. 7, art. 77 § 1 k.p.a. oraz art. 8 i art. 9 k.p.a. związku z art. 7 ust. 1 u.o.d.o. poprzez jednostronne, nieobiektywne i niewyczerpujące zebranie materiału dowodowego sprawy, tj.:
a) zaniechanie wezwania administratora danych do przedstawienia dodatkowych wyjaśnień i dowodów na potwierdzenie okoliczności, które organ uznawał za niedostatecznie wykazane, np. niewykazania na czym uzasadniony interes administratora ma polegać, podczas gdy w ocenie Spółki powszechnie znanym i niewymagającym dowodu był fakt, że portale informacyjne z dużą ilością odwiedzin są atrakcyjne dla kontrahentów np. reklamodawców,
b) wybiorczą, jednostronną analizę regulaminu portalu www.[...].pl i nieustalenie, że:
- Regulamin zabrania publikowania treści bezprawnych, naruszających godność lub inne dobra osobiste (§ 5 pkt 1 ppkt 2 oraz pkt 2 ppkt 3),
- Regulamin umożliwia publikowanie wypowiedzi przez wszystkich użytkowników strony, w tym również przez osoby opiniowane (§ 2 pkt 2 Regulaminu),
- w Regulaminie przewidziano, że administrator zablokuje opinię, jeżeli uzyska "wiarygodną lub urzędową" informację o bezprawnym charakterze wpisu (§ 7 pkt 4 w związku z § 6 pkt 4 Regulaminu),
- Regulamin umożliwia złożenie reklamacji w razie uznania, że sposób świadczenia usługi elektronicznej jest niewłaściwy, w tym gdy ma zastrzeżenia do jakości usług lub działalności Serwisu (§ 9 pkt 1 Regulaminu),
- W zakładce "pomoc dla świadczeniodawcy" w punkcie pn. "Nie podobają mi się opinie
umieszczone pod moją przychodnią. Czy możecie je skasować?" administrator szczegółowo opisał, jak doprowadzić do usunięcia opinii,
podczas gdy ciężar dowodzenia w postępowaniu administracyjnym spoczywa co do zasady na organie administracji, a stronie nie powinno być zarzucane dopiero na etapie wydania decyzji - zwłaszcza w jednoinstancyjnym postępowaniu, jakim jest postępowanie przed Prezesem UODO - że nie wykazała istotnych dla rozstrzygnięcia okoliczności,
c) nieustalenie, jakie są techniczne możliwości identyfikacji osób opiniujących (w tym również za pośrednictwem opinii biegłego, jeżeli organ uznałby taką konieczność - art. 84 k.p.a.), co w ocenie administratora ma podstawowe znaczenie, bowiem identyfikacja taka co do zasady jest możliwa i pozwala na doprowadzenie do ochrony naruszonych interesów przy użyciu innych, dedykowanych środków prawnych takich jak powództwo związane z naruszeniem dóbr osobistych lub wszczęcie postępowania w przedmiocie zniesławienia, a co stanowi wystarczające zabezpieczenie interesów osób opiniowanych,
2) art. 77 § 4 k.p.a. w związku z art. 77 § 1 k.p.a., art. 80 k.p.a. oraz art. 8 i art. 9 k.p.a. w związku z art. 7 u.o.d.o. poprzez przyjęcie, że administrator nie wykazał swojego uzasadnionego interesu, podczas gdy wywody Spółki oparte były w tym zakresie na faktach powszechnie znanych, których wykazywanie jest zbędne, a jeżeli organ uważał te wyjaśnienia za niepełne powinien był to wyrazić i wezwać Spółkę do udzielenia dodatkowych wyjaśnień,
3) art. 84 k.p.a. poprzez nieprzeprowadzenie dowodu z opinii biegłego z zakresu funkcjonowania komercyjnych stron internetowych, zasad ich prowadzenia w celu uzyskania większej ilości odwiedzin i wpływu liczby odwiedzin, wpływu zaufania użytkowników do konkretnej strony na zainteresowanie potencjalnych reklamodawców lub innych podmiotów, których zainteresowanie stroną może mieć wymierny efekt dla twórcy strony, np. firm oferujących pakiety medyczne lub możliwość umawiania się na wizyty bezpośrednio ze strony, a które to okoliczności organ uznał za niewykazane,
4) art. 80 k.p.a. w związku z art. 7 u.o.d.o. mające istotny wpływ na wynik sprawy poprzez błędną ocenę materiału dowodowego sprawy i uznanie, że:
a) działalność administratora "stoi w sprzeczności z przepisami rozporządzenia 2016/679", bowiem działalność Serwisu "nie opiera się na ocenie usług, lecz na ocenie i wyrażaniu opinii o konkretnych osobach" (s. 12 uzasadnienia), podczas gdy wniosek taki jest sprzeczny z zasadami logiki, ponadto odnosi się do działalności administratora w całości, wykraczając poza ramy wyznaczone skargą A.K.,
b) administrator nie zapewnił podmiotom opiniowanym możliwości ustosunkowania się (na tej samej zasadzie co osoba dodająca komentarz) na zamieszczone komentarze dotyczące jej osoby oraz oceny jakości świadczonych przez nią usług medycznych - podczas gdy administrator nikomu nie oferuje logowanego dostępu, natomiast każdy, również uczestnik postępowania, może skorzystać z możliwości publikowania opinii i na tej samej zasadzie możliwe jest ustosunkowanie się do tejże opinii,
c) administrator przyjmuje, że dane pochodzące z publicznych rejestrów mogą być przetwarzane w sposób nieograniczony bez woli tych osób, w celach komercyjnych, podczas gdy administrator tak w żadnym momencie nie twierdził, co więcej - treść Regulaminu jak i korespondencji z uczestnikiem postępowania dowodzi, że administrator uznaje wolę osób, których dane są publikowane na jego stronie, wyważając te interesy każdorazowo w odniesieniu do konkretnych zgłoszeń,
d) administrator nie weryfikuje "w żaden sposób" publikowanych treści, mimo że z treści Regulaminu i zakładki "Pomoc dla świadczeniodawcy" w Serwisie wynika wniosek przeciwny,
e) administrator zmierza do wykluczenia możliwości ochrony osób, których dane dotyczą (s. 9 decyzji), podczas gdy administrator w żadnym momencie tak nie twierdził,
f) uznanie, że osoby opiniowane, w tym uczestnik postępowania, pozbawiony jest rzeczywistej możliwości wykazania administratorowi niepoprawności swoich danych, jako że może to prowadzić do naruszenia tajemnicy zawodowej, podczas gdy takie wywody są kompletnie oderwane od realiów niniejszej sprawy, a jednocześnie nawet w sytuacji, gdy opinia dotyczy sposobu leczenia, osoby opiniowane w dalszym ciągu dysponują szeregiem środków prawnych w postępowaniu cywilnym lub karnym do ochrony swojego dobrego imienia,
g) cel przetwarzania jest jednostronny i realnie zagraża podstawowym prawom i wolnościom osób opiniowanych (s. 11 decyzji), co wynikać ma z (błędnego) stwierdzenia, że administrator umożliwia swobodne komentowanie przy jednoczesnym braku możliwości ustosunkowania się przez opiniowanego do treści opinii, podczas gdy z treści zgromadzonego materiału dowodowego, w tym Regulaminu i wyjaśnień administratora, wynika wniosek przeciwny,
h) administrator nie wykazał niezbędności (potrzeby) przetwarzania danych uczestnika postępowania, podczas gdy administrator przedstawił organowi wszelkie żądane informacje, odpowiadając szczegółowo na zadane przez organ pytania,
5) art. 107 § 3 k.p.a. w związku z art. 8 k.p.a. oraz z art. 7 ust. 1 u.o.d.o. poprzez sporządzenie nieprawidłowego, chaotycznego i wewnętrznie sprzecznego uzasadnienia, w którym postawione wnioski nie wynikają z wywodów uzasadnienia, tj.:
- niewskazanie, z jakich względów organ uznał, że nie wykazano niezbędności przetwarzania administratora - dlaczego stwierdzenie, że administrator tworzy Serwis jako bazę danych w celach komercyjnych, jest w ocenie Organu niewystarczające,
- dlaczego - konkretnie - w ocenie organu interes administratora jest jednostronny i stanowić miałby "realne zagrożenie dla praw i wolności" uczestnika postępowania,
- dlaczego - konkretnie - w ocenie organu udostępnianie danych osób w sposób, w jaki robi to administrator może nadawać im inne, niż pierwotne, znaczenie i w ten sposób powodować negatywne konsekwencje dla osoby, z którego to twierdzenia nie sposób wywnioskować, jak w tej sprawie danym osobowym nadano odmienne znaczenie i w jaki sposób powoduje to negatywne konsekwencje dla uczestnika postępowania.
Powyższe naruszenia, zdaniem Spółki, skutkowały przyjęciem, że zachodzą przesłanki do uwzględnienia żądania usunięcia wszystkich danych osobowych uczestnika postępowania i w konsekwencji do błędnego zastosowania art. 58 ust. 2 lit. c RODO.
Nadto Spółka zarzuciła naruszenie prawa materialnego, tj.:
1) art. 31 ust. 3 w związku z art. 2, art. 7, art. 22, art. 32 ust. 1 i 2, art. 51 ust. 1 Konstytucji RP w związku z art. 57 ust. 1 pkt f RODO w związku z art. 58 ust. 2 pkt c RODO, art. 79 RODO oraz art. 31 ust. 1 u.o.d.o. poprzez błędną ich wykładnię - a w przypadku przepisów Konstytucji poprzez pomięcie ich w tymże procesie wykładni - co doprowadziło do błędnego przyjęcia, że rolą organu w postępowaniu ze skargi na naruszenie ochrony danych osobowych jest szeroko pojęta ochrona praw i wolności osób, których dane dotyczą, w tym jej konstytucyjnego prawa do prywatności, podczas gdy działania organu:
- wykraczają poza jego kompetencje przyznane w RODO i ustawie o ochronie danych osobowych, kreując dodatkowe ograniczenia i wymogi dla administratora jako przedsiębiorcy, jak i innych osób w podobnych sytuacjach, niewynikające z przepisów, na które powołuje się organ (naruszenie zasad z art. 2, art. 7, art. 22 Konstytucji RP),
- prowadzą do jednostronnego prowadzenia postępowania w imię ochrony prywatności jednostki, nie w celu rzetelnej weryfikacji procesu przetwarzania, a w celu ochrony praw i wolności jednostki, co narusza zasadę równości wobec prawa, zwłaszcza wobec faktu, że kontrola procesu przetwarzania odbywa się w postępowaniu administracyjnym, w którym organ powinien pełnić rolę obiektywnego, bezstronnego i nieuprzedzonego podmiotu, nie zaś rzecznika praw jednej ze stron,
- prowadzą do błędnego wniosku, że prawo do prywatności stanowi najwyżej cenioną wartość, wyższą niż swoboda działalności gospodarczej oraz wolność wypowiedzi i dostępu do informacji,
2) art. 54 ust. 1 i 2 Konstytucji RP w związku z art. 17 ust. 3a w związku z art. 17 ust. 1 pkt d RODO poprzez ich niezastosowanie oraz:
a) pominięcie faktu, że usuwanie negatywnych komentarzy - względnie usuwanie wszystkich danych w następstwie publikacji negatywnej opinii - prowadzi do cenzury prewencyjnej środków społecznego przekazu jakim jest sieć Internet, gdyż wnioski z zaskarżonej decyzji prowadzą do przyjęcia, że nawet bez ustalenia, czy rzeczywiście doszło do naruszenia praw jednostki, dane należy bezwzględnie usuwać na jej żądanie, gdy wchodzi w grę jakiekolwiek - choćby uzasadnione i zgodne z prawem - naruszenie jej prywatności,
b) poprzez ich niezastosowanie i pominięcie faktu, że wymóg zachowania wolności słowa i prawa dostępu do informacji w analizowanym procesie przetwarzania uzasadniały odmowę uwzględnienia żądania usunięcia danych uczestnika postępowania,
3) art. 86 ust. 1 RODO poprzez błędną jego wykładnię, która prowadzi do wniosku, że przetwarzanie danych osób w sposób, taki jak administrator, co do zasady jest niezgodne z prawem, bo dotyka w niedookreślony sposób prywatności osoby opiniowanej (o ile w ogóle można mówić o prywatności osoby fizycznej w sferze publicznej działalności zawodowej), podczas gdy prawidłowa wykładnia tego przepisu powinna prowadzić do przyjęcia, że ponowne wykorzystanie danych jest co do zasady
dopuszczalne pod warunkiem "pogodzenia" (ang. reconcile) tego przetwarzania z prawem do prywatności np. poprzez zapewnienie środków ochrony praw jednostki,
4) art. 6 ust. 1 lit. f RODO oraz art. 5 ust. 1 lit. b RODO poprzez błędną wykładnię pojęcia "interesu" i "celowości" przetwarzania i uznanie, że "prowadzenie portalu w ramach działalności informacyjnej administratora i zwiększenie ilości odwiedzin strony" nie informuje, na czym polega interes administratora, choć twierdzenie takie, poparte wiedzą znaną powszechnie, w sposób oczywisty wskazuje, w czym ów interes administrator upatruje,
5) art. 21 ust. 1 RODO poprzez jego niezastosowanie podczas gdy żądanie uczestnika postępowania stanowiło sprzeciw, który nie spełniał wymogów powołanego przepisu, tj. nie wskazywał przyczyn związanych z jego szczególną sytuacją, które miałyby wykluczać dalsze przetwarzanie jego danych w oparciu o uzasadniony interes administratora.
Zdaniem Spółki, skutkiem naruszeń przepisów prawa materialnego było błędne przyjęcie, że przetwarzanie danych uczestnika postępowania przez administratora - po zgłoszeniu żądania usunięcia danych - nie mogło zostać oparte na przesłance uzasadnionego interesu administratora skoro w niedookreślony sposób dotykało prywatności tej osoby. Skutkiem ww. naruszeń było również nieustalenie, że w sprawie występowały negatywne przestanki pozwalające na odmowę uwzględnienia przez administratora żądania usunięcia danych.
W związku z powyższym Spółka wniosła o:
- przeprowadzenie na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), dalej: "p.p.s.a.", dowodu z dokumentu - Regulaminu Serwisu (§ 5 pkt 1 ppkt 2, § 5 pkt 2 ppkt 3, § 2 pkt 2, § 7 pkt 4 w związku z § 6 pkt 4, § 9 pkt 1 Regulaminu) oraz zrzutów ekranu zakładki "Pomoc dla świadczeniodawcy" w zakresie odpowiedzi na pytanie jak doprowadzić do usunięcia opinii i zrzutu ekranu ukazującego możliwość dodawania opinii - na okoliczność możliwości wystawiania opinii w Serwisie również przez podmioty opiniowane, możliwości doprowadzenia do usunięcia opinii w drodze zgłoszenia lub reklamacji, możliwości doprowadzenia do zablokowania opinii; okoliczności te nie zostały bowiem należycie i prawidłowo przez organ zbadane, a stanowiły podstawę do wydania niekorzystnej dla administratora decyzji,
- uchylenie zaskarżonej decyzji w całości (art. 145 § 1 pkt a p.p.s.a.), z jednoczesnym wskazaniem sposobu załatwienia sprawy zgodnie z art. 145a § 1 p.p.s.a.,
- rozstrzygnięcie o kosztach, w tym kosztach zastępstwa radcy prawnego, według norm przepisanych.
W motywach skargi Spółka podniosła w szczególności, że organ zapoznał się z Regulaminem Serwisu w sposób wybiórczy. Skupił się na wywodzeniu, że administrator, deklarując ograniczenie swojej odpowiedzialności za wpisy osób trzecich (§ 6 Regulaminu) i nie moderując każdej opinii przed jej zamieszczeniem, prewencyjnie, naraża na ryzyko prywatność opiniowanych osób. Gdyby jednakże organ przeprowadził dowód z treści Regulaminu Serwisu również we wskazanym wyżej zakresie, musiałby dojść do odmiennych wniosków, a mianowicie, że: również podmioty opiniowane mogą zamieszczać opinie w Serwisie, w tym w odpowiedzi na inne opinie; każdy kto uważa że prezentowane wpisy są bezprawne lub naruszają dobra osobiste, może to zgłosić, pod warunkiem że informacja ta będzie "urzędowa lub wiarygodna"; administrator wyjaśnia w zakładce "pomoc dla świadczeniodawcy" co zrobić, aby doprowadzić do usunięcia opinii. Administrator informuje również, że "bezdyskusyjnie usuwamy np. opinie wulgarne albo będące nie na temat". Nie jest zatem prawdą, że administrator nie weryfikuje w żaden sposób publikowanych komentarzy, jednakże weryfikacja taka - co wydaje się być oczywiste - wymaga zgłoszenia i co najmniej uprawdopodobnienia, że kwestionowany wpis jest bezprawny. Zdaniem Spółki, gdyby organ przeanalizował ww. zapisy Regulaminu, byłby zmuszony dojść do innych wniosków, niż te, stanowiące podstawę zaskarżonej decyzji.
Spółka podniosła również, że w wielu wątkach uzasadnienia zaskarżonej decyzji organ bardzo krytycznie i nieobiektywnie odnosi się do przetwarzania danych przez administratora w Serwisie (s. 12 decyzji). Organ posługuje się ogólnikowymi twierdzeniami, które nie pozwalają na ustalenie, w czym tkwi nieprawidłowość przetwarzania danych w Serwisie. Spółka nie wie, jaki stan faktyczny i jaką ocenę prawną ostatecznie organ przyjął, a także jak ocenia proces przetwarzania danych uczestnika postępowania, bowiem w tak podstawowych kwestiach organ przeczy sam sobie.
Ponadto, zdaniem Spółki, organ nie wskazał, dlaczego uznał interes administratora za niewykazany, czego konkretnie brakowało, aby interes ów wykazać. Samo stwierdzenie, że administrator zidentyfikował cel i sposób przetwarzania nie powoduje, że administrator jest w stanie wywnioskować, jakich wyjaśnień konkretnie organowi zabrakło. Organ ogólnikowo stwierdził, że interes administratora jest jednostronny i stanowi realne zagrożenie podstawowych praw i wolności uczestnika postępowania - bez sprecyzowania, o jakie prawa i wolności chodzi i w jaki sposób zagrożenie to miałoby występować. Organ nie wyjaśnił, na czym ma polegać jednostronność interesu administratora i dlaczego w ocenie organu wyklucza to możliwość przetwarzania, zwłaszcza, że interes ten co do zasady jest jednostronny i nie dyskwalifikuje to samo w sobie tego interesu jako podstawy do przetwarzania w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO. Organ uznał, że udostępnianie danych osobowych w sposób, jaki czyni to administrator, może nadawać im inne niż pierwotne znaczenie i w ten sposób powodować negatywne konsekwencje dla osoby. Jednakże z takiego ogólnikowego i niejasnego stwierdzenia administrator nie jest w stanie wywnioskować, co konkretnie - zwłaszcza w kontekście stanu faktycznego analizowanej sprawy - organ przez to rozumie, jakie konkretnie zagrożenia widzi. Rzeczą oczywistą jest, że prowadzenie Serwisu, w którym osoby trzecie publikują opinię o usługach podmiotów medycznych, musi wiązać się w niektórych przypadkach z konsekwencją, jaką jest możliwość wystawienia negatywnej opinii. Nie zmienia to jednak faktu, że przetwarzanie takie jest zgodne z prawem, co wynika z powołanych przez organ fragmentów orzecznictwa i piśmiennictwa.
Spółka podniosła, że sposób prowadzenia postępowania przez organ nasuwa przypuszczenie, że organ akceptuje, a wręcz dąży do automatycznego usuwania treści publikowanych w sieci społecznego przekazu (Internetu) nawet przed wystąpieniem naruszenia praw i wolności, co narusza zakaz prewencyjnej cenzury takich treści. Przetwarzanie w Serwisie opiera się na założeniu, że publikacji podlegają wpisy, których rozpowszechnianie jest realizacją prawa z art. 54 Konstytucji RP i zarówno sam administrator jak i potencjalni pacjenci są żywotnie zainteresowani informacjami i opiniami innych osób przy wyborze specjalisty. Czasami opinie te są niekorzystne, jednakże istnieją środki ochrony praw opiniowanych osób, z żądaniem "ukrycia" opinii na czas trwania postępowania np. karnego lub cywilnego włącznie. Organ nie bierze pod uwagę, że reżim ochrony danych osobowych miał zapewnić ich bezpieczeństwo i poufność przy jednoczesnym zapewnieniu wolności słowa i swobodnego przepływu informacji. Prawa osoby, której dane dotyczą, nie powinny służyć jako narzędzie do cenzurowania, przeczy to idei jaka towarzyszyła regulacji prawa ochrony danych osobowych. Przetwarzanie danych w ramach wolności wypowiedzi i swobody przepływu informacji stanowi negatywną przesłankę uwzględniania żądania usunięcia danych uczestnika postępowania wobec treści art. 17 ust. 3 w związku z art. 17 ust. 1 pkt c RODO, którą to okoliczność organ całkowicie pominął.
Spółka podkreśliła, że korzyść administratora z ruchu na stronie i opłat z reklam pokrywa się ze społecznym oczekiwaniem dostępu do informacji o podmiotach leczniczych i lekarzach, w tym również do opinii na ich temat. Interes ten jest na tyle ważny, że nie przekreśla go nawet sytuacja, w której dobre imię podmiotu leczniczego, czy lekarza, będzie naruszone i część pacjentów zniechęci się pod wpływem negatywnych opinii. Możliwość moderacji opinii, ustosunkowania się do opinii w Portalu oraz obrony dóbr osobistych na rożnych ścieżkach – zapewnia, w ocenie administratora, wystarczające gwarancje praw osoby, której dane dotyczą, co znajduje potwierdzenie m.in. w wyrokach TK i TSUE, na które powoływał się organ. Gdyby przyjąć wykładnię pojęcia "uzasadnionego interesu" ustaloną przez organ w niniejszej sprawie, to uznać by należało, że administrator powinien automatycznie usuwać dane zawsze, gdy podmiot danych wystąpi z żądaniem usunięcia, nawet bez żadnego merytorycznego uzasadnienia lub bez merytorycznego i konkretnego wskazania realnych ryzyk, jakie wiążą się z danym przetwarzaniem. Taka zaś wykładnia przekreśla ideę prowadzonej działalności gospodarczej administratora, wykluczając swobodę wyrażania opinii i wolność słowa.
Spółka zaznaczyła przy tym, że zaskarżona decyzja nie odnosi się do treści opublikowanych o uczestniku postępowania opinii, co powoduje, że ocena interesów i ich wyważenie nie odnosiły się do realnego naruszenia praw i wolności tej osoby, lecz do samej hipotetycznej możliwości ich naruszenia w przyszłości.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi. Podtrzymał stanowisko jak w zaskarżonej decyzji wskazując na bezzasadność podniesionych w skardze zarzutów.
W piśmie procesowym z dnia 21 sierpnia 2023 r. A.K. podtrzymał stanowisko prezentowane w toku postępowania administracyjnego.
Wskazał, że fakt powoływania się przez Spółkę na korzyści społeczne wynikające z publikowania na portalu ocen i opinii na temat danego lekarza stanowi wraz nieznajomości prawa, w szczególności ustawy z dnia 2 grudnia 2009 r. o izbach lekarskich (Dz. U. 2021 r., poz. 1342 ze zm.). Z ustawy tej wynika, że nadzór nad działalnością lekarzy prowadzą odpowiednie jednostki, w tym izby i sądy lekarskie, które analizują zgodność z prawem oraz profesjonalizm działań i zachowań lekarzy, a nie przypadkowe osoby "wystawiając gwiazdki" na portalach internetowych.
Zaznaczył również, że Spółka, dokonując analizy interesów, nie jest bezstronna, działa de facto we własnym interesie, przedkładając własne korzyści nad prawa osób, których dane publikuje. Nie można zatem uznać, że chęć zysku Spółki jest równorzędna celowi zapewnienia wolności wypowiedzi lub oceny danego lekarza oraz płynących z tego korzyści społecznych.
Podsumowując uczestnik postępowania wniósł o to, aby "Sąd zarządził bardziej dotkliwe środki penalizujące zachowania Spółki i zobligował Prezesa UODO do wnikliwej analizy praktyk ww.".
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Na wstępie Sąd zauważa, ze zgodnie z art. 106 § 3 p.p.s.a. sąd administracyjny może z urzędu lub na wniosek stron przeprowadzić dowód uzupełniający z dokumentów, jeśli jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie. Postępowanie dowodowe przed sądem administracyjnym dotyczy dokumentów, które nie stanowią akt sprawy, ma jedynie charakter uzupełniający i jest dopuszczalne w takim zakresie, w jakim jest to niezbędne do dokonania oceny zgodności z prawem zaskarżonego działania lub bezczynności organu administracji. Uwzględniając powyższe Sąd orzekający nie stwierdził podstaw do przeprowadzenia dowodu z dokumentów załączonych do skargi. Zważył bowiem, że zarówno Regulamin Serwisu internetowego [...].pl, jak i wydruk ze strony internetowej Spółki zakładki "Pomoc dla świadczeniodawcy" są częścią akt administracyjnych (k. 21 i nast. akt admin.) i jako takie stanowią podstawę wyrokowania przez Sąd zgodnie z art. 133 § 1 p.p.s.a.
Podnieść należy, że zgodnie z art. 5 ust. 1 lit a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zgodność przetwarzania (w tym udostępniania) z prawem danych osobowych jest uwarunkowana wystąpieniem jednej z przesłanek legalizujących proces przetwarzania danych osobowych, o których mowa w art. 6 ust. 1 RODO. W świetle powołanego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Główna oś sporu w niniejszej sprawie dotyczy tego czy Spółka, która pozyskała wymienione w sentencji decyzji dane osobowe uczestnika postępowania (lekarza udzielającego świadczeń w ramach systemu publicznej opieki zdrowotnej) z ogólnopolskiego Rejestru Praktyk Zawodowych prowadzonego przez Centrum e-Zdrowie, Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Narodowego Funduszu Zdrowia - uprawniona była do przetwarzania tychże danych na prowadzonym przez nią ogólnodostępnym portalu [...].pl, w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO. W toku postępowania przed organem, jako cel publikacji (przetwarzania) danych na ww. portalu Spółka określiła jako "informowanie jak najszerszego kręgu potencjalnych świadczeniobiorców o usługach świadczonych w ramach publicznej opieki zdrowotnej". Wskazała również, że "stworzenie wiarygodnego informatora wymaga przetwarzania kompletnych danych o lekarzach" (k. 6 akt admin.).
W związku z powyższym wskazać należy, że tworzenie powołanych wyżej rejestrów publicznych regulowane jest odpowiednimi aktami prawnymi, które stanowią podstawę do przetwarzania danych w zakresie w nich wskazanym. Rejestry takie tworzone są przez uprawnione organy państwowe, z których to rejestrów mogą korzystać inne podmioty. Rejestr praktyk zawodowych lekarzy stanowi część elektronicznego Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL), uregulowanego przepisami Działu IV ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2023 r. poz. 991 ze zm.). Zamieszczenie danych osobowych lekarzy w tego rodzaju rejestrze nie oznacza jednak, że inne podmioty korzystając z danych osobowych zawartych w tych rejestrach są wolne od poszanowania praw osób, których dane taki rejestr zawiera, tylko z uwagi na fakt, że dane te zostały w takim rejestrze upublicznione. Ponadto, co istotne, tylko taki publiczny rejestr pełni zarówno funkcję informacyjną, jak też ochronną (por. Wyrok WSA w Warszawie z dnia 4 lutego 2019 r. II SA/Wa 1129/18, z dnia 2 sierpnia 2018 r., sygn. akt II SA/Wa 1997/17, publ. CBOSA).
Podkreślenia też wymaga, że prowadzony przez Spółkę portal [...].pl nie jest wyłącznie prostym powtórzeniem treści Rejestru Praktyk Zawodowych prowadzonego przez Centrum e-zdrowie, CEDiG i NFZ. Użytkownicy tego portalu mogą bowiem zamieszczać komentarze przy wpisach dotyczących poszczególnych lekarzy, co prowadzi do stworzenia swoistego "rankingu" lekarzy. Zatem Spółka nie wykorzystywała danych osobowych uczestnika podstępowania wyłącznie w celu świadczenia na rzecz użytkowników serwisu internetowego usług informacyjnych w zakresie danych ogólnodostępnych w rejestrach (każdy lekarz posiadający prawo wykonywania zawodu podlega wpisowi do rejestru prowadzonego przez właściwą okręgowa radę lekarską - art. 8 ust. 1 ustawy o zawodach lekarza i lekarza dentysty), lecz w głównej mierze w celu wyrażania przez użytkowników (usługobiorców) opinii o samym lekarzu, jakości świadczonej usługi, zaangażowaniu, wiedzy z zakresu zdobytej specjalności (k. 27-28 akt admin.). Wskazuje na to jednoznacznie z treści § 2 Regulaminu serwisu internetowego "[...].pl", zgodnie z którym usługodawca świadczy usługi informacyjne dotyczące zakładów opieki zdrowotnej świadczeniodawców, lekarzy oraz innych podmiotów związanych z usługami medycznymi (dalej zwanych: "Podmiotami), w szczególności: usługi w zakresie wyrażania przez usługobiorców publicznych opinii o podmiotach oraz o tekstach określonych w pkt 2 (k. 22 - 23 akt admin.).
Zgodnie z art. 4 pkt 1 RODO "dane osobowe" to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przepis art. 30 Konstytucji RP stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Przepis art. 47 Konstytucji RP zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, a także dobrego imienia.
Z treści motywu 14 RODO wynika, że "ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych - niezależnie od ich obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej". Z kolei motyw 26 RODO wskazuje, że "Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (...)".
W konsekwencji stwierdzić należy, że trafne jest stanowisko organu, zgodnie z którym dane osób fizycznych, będących przedsiębiorcami, w tym dane dotyczące prowadzonej przez te osoby działalności gospodarczej (dane dotyczące sfery zawodowej), stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania przepisów tego aktu. W konsekwencji stwierdzić też należy, że to na administratorze danych (którym w tej sprawie jest Spółka) spoczywał obowiązek wykazania przetwarzania danych osobowych uczestnika postępowania (w zakresie imienia, nazwiska, numeru PWZ, numeru NIP, adresu miejsca wykonywania działalności oraz numeru telefonu) zgodnie z prawem.
Spółka jako podstawę przetwarzania danych osobowych uczestnika postępowania wskazała art. 6 ust. 1 lit. f RODO. Wskazana przesłanka stanowi przejaw uznania przez ustawodawcę unijnego, że mogą wystąpić przypadki, gdy administrator nie może powołać się na zgodę podmiotu danych, obowiązek prawny ciążący na administratorze czy też realizację umowy, a mimo to powinien mieć możliwość przetwarzania danych z uwagi na "prawnie uzasadniony interes". Przyjmuje się, że prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji, gdy przepisy te nie regulują dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do realizacji którego przetwarzanie danych jest potrzebne. Prawnie uzasadniony interes stanowi odpowiednik używanego wcześniej przez polskiego prawodawcę określenia prawnie usprawiedliwionego celu, i mimo pewnych wątpliwości należy przyjąć, że pojęcia te są równoważne (v. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 (...) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", WKP 2022).
Trafnie organ zauważa w zaskarżonej decyzji, co czyni nieuzasadnionym zarzut skargi dotyczący błędnej wykładni ww. przepisu, że prawnie uzasadniony interes nie powinien być rozumiany wąsko, jedynie jako interes wprost wynikający z przepisu prawa (przyznającego podmiotowi określone uprawnienie). Pojęcie to należy interpretować szerzej, jako różnego rodzaju interes, który znajduje swoje uzasadnienie w przepisach. Może być to zatem interes faktyczny, gospodarczy lub prawny, ale taki, który jest zgodny z prawem. Prawodawca unijny w motywie 47 i 49 RODO, jako przykłady tego typu interesów wskazał: marketing bezpośredni, zapobieganie oszustwom, czy zapewnienie bezpieczeństwa usług oferowanych lub udostępnianych poprzez sieci i systemy.
W motywie 47 RODO wskazuje się, że "podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania".
Zdaniem Sądu w niniejszej sprawie Spółka nie wykazała, że legitymuje się tak rozumianym "prawnie uzasadnionym interesem". Z wyjaśnień udzielonych przez Spółkę w toku postępowania (k. 6 akt admin.) nie wynika, aby między nią a uczestnikiem postępowania istniały jakiekolwiek powiązania. Uczestnik postępowania nie jest klientem Spółki, nie działał też na rzecz Spółki. Z akt sprawy nie wynika, aby miał on inne, rozsądne przesłanki aby spodziewać się, że jego dane osobowe mogą być przetwarzane przez Spółkę.
Jako prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO Spółka wskazywała interes ekonomiczno-gospodarczy - prowadzenie portalu w ramach działalności informacyjnej Spółki i zwiększenie odwiedzin strony internetowej [...].pl (k. 24 akt admin.) oraz społeczny - umożliwienie usługobiorcom jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia. Odnosząc się do powyższego Sąd podziela stanowisko organu, że w wyjaśnieniach Spółki dotyczących interesu ekonomiczno-gospodarczego brak jest informacji odnośnie korzyści jakie osiąga ona w związku z prowadzeniem działalności gospodarczej. Wyjaśnienia Spółki dotyczą jedynie sposobu realizacji tego interesu.
W tym miejscu Sąd stwierdza, że nieuzasadnione są zarzuty skargi dotyczące naruszenia art. 7, art. 77 § 1 w związku z art. 8 i art. 9 k.p.a. oraz w związku z art. 7 u.o.d.o., polegające na tym, że organ nie wezwał Spółki do przedstawienia dodatkowych wyjaśnień i dowodów w zakresie wskazanym powyżej. Z akt sprawy wynika, że na podstawie art. 58 ust. 1 RODO, organ zwrócił się Spółki o złożenie wyjaśnień oraz o przedłożenie dowodów na ich potwierdzenie. Wskazuje na to wezwanie z dnia 20 stycznia 2023 r. (k. 5 akt admin.), w którym organ zwrócił się do Spółki zarówno o ustosunkowanie się do treści skargi uczestnika postępowania, jak i o złożenie wyjaśnień w odniesieniu do poszczególnych zagadnień wymienionych w wezwaniu, w tym na jakiej podstawie prawnej, w jaki celu oraz w jakim zakresie Spółka przetwarza dane osobowe uczestnika postępowania. Organ pozostawił Spółce pełną swobodę w zakresie udzielenia odpowiedzi na wezwanie, nie ograniczając jej w żaden sposób prawa do przedstawienia wszelkich okoliczności dotyczących skargi. Sposób udzielenia odpowiedzi i zakres przekazanych przez Spółkę wyjaśnień (k. 6 akt admin.), które następnie zostały przez organ należycie rozpatrzone, nie może skutkować uznaniem, że organ dopuścił się naruszenia ww. przepisów postępowania i to w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.). Organ rozstrzygając sprawę poddaną jego ocenie oparł się na wyjaśnieniach oraz dowodach przekazanych przez uczestnika postępowania oraz Spółkę, a także materiałach udostępnianych przez Spółkę na jej stronie internetowej. Ustalony przez organ stan faktyczny sprawy był wystarczający do podjęcia rozstrzygnięcia w sprawie. Podniesienie przez Spółkę dodatkowych okoliczności w sprawie (dotyczących komercyjnego charakteru prowadzonej działalności) dopiero na etapie postępowania sądowego, pomimo skierowania ww. wezwania przez organ oraz zapewnienia Spółce czynnego udziału w postępowaniu zgodnie z art. 10 k.p.a. (k. 11 akt admin.), nie może prowadzić do zakwestionowania stanu faktycznego ustalonego przez organ. Jak trafnie wskazał organ w odpowiedzi na skargę, nie można zaakceptować sytuacji, w której Spółka dopiero na etapie skargi do Sądu określa i identyfikuje cele przetwarzania danych osobowych uczestnika postępowania i okoliczności uzasadniające legalność ich przetwarzania. Cele te oraz podstawy przetwarzania, aby mogły być uznane za zgodne z przepisami RODO, muszą być identyfikowalne w trakcie przetwarzania danych na podstawie tworzonych dokumentów (np. regulaminów) i uwzględniane przy analizie ryzyka, tak, aby administrator mógł się na nie powołać i wykazać ich istnienie najpóźniej na etapie pozyskiwania danych, a nie dopiero w toku postępowania przed organem nadzorczym czy też przed Sądem. Wynika to z zasady rozliczalności, określonej w art. 5 ust. 2 RODO, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie zasad wymienionych w ust. 1 (zgodności z prawem, rzetelności i przejrzystości; ograniczenia celu; minimalizacji danych; prawidłowości i aktualności; ograniczenia przechowywania; integralności i poufności). Wynika to również ze spoczywającego na administratorze obowiązku współpracy z organem ochrony danych osobowych i przekazywania wszystkich informacji niezbędnych do realizacji jego zadań (art. 31 RODO).
Jak trafnie ustalił organ, odwołując się do poglądów ETPCz oraz Trybunału Konstytucyjnego, wskazany przez Spółkę społeczny interes usługobiorców, polegający na umożliwieniu im uzyskania jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia - stanowi prawnie uzasadniony interes. Prawidłowo również stwierdził, że w okolicznościach niniejszej sprawy przetwarzanie danych osobowych uczestnika postępowania (w formule przewidzianej w Regulaminie Serwisu [...].pl) nie jest niezbędne do celów wynikających z prawnie uzasadnionego interesu Spółki, a ponadto, że interes uczestnika postępowania, jakim jest zapewnienie ochrony jego danych osobowych, przewyższa interes Spółki jakim jest publikowanie danych osobowych uczestnika na portalu [...].pl.
Podkreślenia wymaga, że przesłanka dopuszczalności przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO nie ma charakteru bezwarunkowego - jest skonstruowana jako mechanizm ważenia interesów. Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub strony trzeciej), a na drugiej - wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej.
Taka właśnie sytuacja zaistniała w kontrolowanej sprawie. Spółka koncentrując się na realizacji własnych celów związanych z prowadzoną działalnością gospodarczą błędnie przyjęła, iż jest legitymowana do przetwarzania danych osoby wykonującej zawód zaufania publicznego. Słusznie zatem organ ochrony danych osobowych zwrócił uwagę na konieczność uwzględnienia interesu uczestnika postępowania, a w konsekwencji nakazania Spółce spełnienia jego żądania (art. 17 ust. 1 lit. d RODO) w zakresie usunięcia jego danych osobowych przetwarzanych za pośrednictwem, ww. strony internetowej.
Uczestnik postępowania, jako lekarz udzielający świadczeń w ramach publicznej opieki zdrowotnej, wykonuje zawód zaufania publicznego. Wykonywanie zawodu publicznego nie pozbawia takiej osoby ochrony jej praw obywatelskich. Zgodnie z art. 47 Konstytucji RP każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Podstawowe znaczenie w tym zakresie mają właśnie przepisy o ochronie danych osobowych, gdyż dotyczą one sfery ochrony prywatności określonej osoby w zakresie przetwarzania informacji o niej (por. wyroki NSA: z dnia 18 listopada 2009 r., sygn. akt I OSK 667/09, z dnia 28 stycznia 2008 r. sygn. akt I OSK1365/06; publ. CBOSA). Celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (wyrok NSA z dnia 30 marca 2006 r., sygn. akt I OSK 628/05, publ. LEX nr 198299; uchwała w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05; publ. CBOSA).
W sprawie niniejszej ważny jest kontekst celu przetwarzania danych osobowych osoby wykonującej zawód zaufania publicznego. Jak już wyżej podniesiono, Spółka nie wykorzystywała danych osobowych uczestnika podstępowania jedynie w celu informowania użytkowników serwisu internetowego o osobie lekarza w zakresie informacji ogólnodostępnych w rejestrach, lecz w głównej mierze w celu wyrażania przez użytkowników opinii o lekarzu.
Prawidłowo w tym względzie organ odwołał się do postanowień Regulaminu serwisu internetowego "[...].pl" (k. 22 - 23 akt admin.) akcentując asymetrię stosunku sił pomiędzy uczestnikiem postępowania, a usługobiorcami serwisu publikującymi opinie i komentarze na jego temat, bez konieczności ich rejestracji w Serwisie. Kluczowe w tym zakresie pozostają powołane w części sprawozdawczej uzasadnienia zapisy § 6 i § 7 Regulaminu. Trafnie również organ wywiódł, że w świetle postanowień Regulaminu lekarz ("podmiot", "świadczeniodawca" w rozumieniu § 2 Regulaminu) nie ma realnej możliwości ustosunkowania się do wyrażanych opinii i dodawanych komentarzy "na tych samych zasadach" co komentujący ("usługobiorcy"), tak z uwagi na brak adekwatnych regulacji przewidzianych w Regulaminie, które zapewniałyby efektywną "równość" w tym zakresie, jak i ze względu na związanie tajemnicą zawodową. Już sama idea i formuła działalności prowadzonego przez Spółkę portalu internetowego opiera się na postawieniu jednej osoby w roli oceniającego, a drugiej, jako ocenianego. Przyjęcie takiego rozwiązania wprost świadczy o braku równości pomiędzy ww. podmiotami i prowadzi do zniekształcenia korzystania z prawa do wolności wypowiedzi i informacji.
Bez istotnego wpływu na tę ocenę pozostają zarzuty skargi, iż organ nie rozważył pozostałych zapisów Regulaminu (usługobiorcą może być każda osoba fizyczna - § 2 ust. 2; każdy usługobiorca korzystający z usług świadczonych w serwisie powinien: przestrzegać obowiązujących przepisów prawa (...); szanować godność oraz dobra osobiste osób trzecich - § 5 ust. 1; usługobiorca nie może dostarczać, rozpowszechniać lub przechowywać w Serwisie treści bezprawnych (...) bądź treści naruszających dobre obyczaje - § 5 ust. 2; usługodawca może uniemożliwić dostęp do danych (opinii) rozpowszechnianych przez usługobiorcę, jeżeli poweźmie urzędową lub wiarygodną informację o bezprawnym charakterze tych danych - § 7 pkt 4 w związku z § 6 pkt 4; każdy usługobiorca ma prawo wniesienia reklamacji w razie uznania, że sposób świadczenia usługi elektronicznej jest niewłaściwy, w tym gdy ma zastrzeżenia do jakości usług lub działalności Serwisu - § 9 pkt 1) oraz treści zakładki "pomoc dla świadczeniodawcy" w punkcie "Nie podobają mi się opinie umieszczone pod moją przychodnią. Czy możecie je skasować?", gdzie wskazano m.in., jakie elementy powinno zawierać zgłoszenie usunięcia opinii, m.in. "szczegółowe uzasadnienie odnoszące się do komentarzy, a nawet poszczególnych zdań" (k. 25 akt admin.).
Zapisy te, mające charakter generalny i pozorny, nie zapewniają należytej ochrony podmiotowi danych (świadczeniodawcy) - w niniejszej sprawie lekarzowi zobowiązanemu do zachowania tajemnicy zawodowej, którego nie można przecież utożsamiać z "usługobiorcą" (§ 2 ust. 2 i kolejne ww. postanowienia Regulaminu dotyczą przecież usługobiorców). Co istotne, o fakcie posługiwania się danymi osobowymi przez Spółkę, a także o komentarzach i ocenach (pozytywnych bądź negatywnych) zainteresowany lekarz może nie mieć wiedzy lub powziąć wiedzę w dłuższej perspektywie czasowej. W związku z tym możliwość ustosunkowania się do opublikowanych opinii "w drodze kolejnego wpisu" - jak podnosi Spółka w skardze - jest w praktyce iluzoryczna i w istocie nieskuteczna. W tej sytuacji dobra osobiste lekarza jak: cześć, wizerunek (art. 23 Kodeksu cywilnego) - pojmowane powszechnie jako dobre imię, reputacja zawodowa - mogą doznać poważnego uszczerbku, zaś lekarz nie ma realnej możliwości ich prawnej ochrony. Wskazywana przez Spółkę możliwość dochodzenia przez lekarza praw przed sądem cywilnym poprzez składanie pozwu o naruszenie dóbr osobistych, jako okoliczność, która miałaby uzasadniać zgodność z prawem przetwarzania danych osobowych, nie stanowi wystarczającego zabezpieczenia interesów lekarza. Oczywistym jest, że publiczne udostępnianie informacji potencjalnie naruszających dobra osobiste osiąga swój efekt już w chwili publikacji takich treści, zaś proces ewentualnej odbudowy "szkód na wizerunku" jest długotrwały i stanowiłby dodatkowe utrudnienia dla osoby poszkodowanej.
Odnosząc się w tym miejscu do zarzutu skargi, iż zaskarżona decyzja nie odnosi się do treści opinii opublikowanych o uczestniku postępowania, Sąd zauważa, że organ rozstrzygał o przetwarzaniu danych osobowych uczestnika w zakresie imienia i nazwiska, numeru PWZ, numeru NIP, adresu wykonywania działalności oraz numeru telefonu. Przedmiot oceny organu był zakreślony przedmiotem skargi uczestnika postępowania (przetwarzanie danych osobowych pomimo zgłoszenia żądania ich usunięcia). Organ nie oceniał zatem ile i jakie w swej treści komentarze (pozytywne czy negatywne) znalazły się przy wpisie dotyczącym uczestnika postępowania. Organ oceniał natomiast, czy przetwarzanie ww. danych osobowych uczestnika przez Spółkę, w celach wskazanych przez Spółkę w związku z postanowieniami m.in. Regulaminu Serwisu, było uprawione w świetle przesłanki określonej w art. 6 ust. 1 lit. f RODO.
Uwzględniając wszystko powyższe stwierdzić należy, że uprawnione jest stanowisko organu, zgodnie z którym w okolicznościach faktycznych sprawy występuje znacząca dysproporcja pomiędzy prawnie uzasadnionym interesem Spółki, a dobrami uczestnika postępowania, ze wskazaniem na faworyzowanie jednej ze stron - Spółki. To ona bowiem jednostronnie decyduje o sposobie przetwarzania danych osobowych uczestnika postępowania, choć nie wytworzyła istotnego i odpowiedniego rodzaju powiązania między osobą, której dane dotyczą, a administratorem danych (motyw 47 RODO).
Warto odwołać się w tym miejscu do wyroku Trybunału Sprawiedliwości z dnia 4 lipca 2023 r., sygn. C-252/21 (publ. www.eur-lex.europa.eu), który wskazał: "Art. 6 ust. 1 akapit pierwszy lit. f ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej
W analizowanym przypadku Spółka nie wykazała niezbędności przetwarzania danych oraz prymatu prawnie uzasadnionego interesu administratora danych nad podstawowymi prawami i wolnościami uczestnika postępowania. Co więcej, błędnie oceniła swój interes jako nadrzędny wobec interesów uczestnika postępowania, na co wskazuje tak klauzula informacyjna (k. 8 akt admin.), jak i powołany przez organ w decyzji test równowagi. Oznacza to, że Spółka nie legitymowała się przesłanką legalizującą przetwarzanie danych określoną w art. 6 ust. 1 lit. f RODO. Zaś przetwarzając dane osobowe uczestnika postępowania w portalu [...].pl, pomimo zgłoszenia żądania usunięcia danych w dniu 5 listopada 2022 r. (k. 7 akt admin.), naruszyła art. 17 ust. 1 RODO. Nie dopełniła bowiem obowiązku usunięcia danych osobowych bez zbędnej zwłoki w sytuacji, gdy dane te były przetwarzane niezgodnie z prawem (art. 17 ust. 1 lit. d RODO).
Bez wpływu na powyższą ocenę pozostają zarzuty skargi. Organ nie dopuścił się naruszenia przepisów postępowania administracyjnego, tj. art. art. 7, art. 77 § 1 i § 4 k.p.a. oraz art. 8 i art. 9 k.p.a. związku z art. 7 ust. 1 u.o.d.o., w stopniu mogącym mieć istotny wpływ na wynik sprawy. Organ w sposób wystarczający dla rozstrzygnięcia niniejszej sprawy zebrał i ocenił niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była wybiórcza, czy dowolna.
Jak już wyżej wskazano, nie można przyjąć, że Prezes UODO obowiązany jest do poszukiwania z urzędu, w toku postępowania wszczętego na skutek skargi indywidualnej, pełnej podstawy uzasadniającej proces przetwarzania danych osobowych osoby wnoszącej skargę, czy też konkretnych, wyraźnych i prawnie uzasadnionych celów przetwarzania tych danych, wyręczając w tym zakresie administratora danych. Przepisy o ochronie danych osobowych wymagają od administratora inicjatywy dowodowej i aktywnego współdziałania z organem na etapie postępowania administracyjnego. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad przetwarzania danych, co należy rozumieć jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania tychże zasad.
Nieuzasadniony jest zarzut naruszenia art. 84 k.p.a., zgodnie z którym, gdy w sprawie wymagane są wiadomości specjalne, organ administracji może zwrócić się do biegłego lub biegłych o wydanie opinii. W ocenie Sądu, w niniejszej sprawie wiadomości specjalne nie były wymagane, do jej rozstrzygnięcia wystarczający był materiał dowodowy zgromadzony w toku postępowania przed Prezesem UODO. Analiza charakterystyki funkcjonowania komercyjnych stron internetowych nie była istotna dla wykładni przepisów prawa w kontekście spełnienia przez Spółkę przesłanki z art. 6 ust. 1 lit. f RODO. Zarzut ten nie mógł odnieść zamierzonego skutku.
Wbrew zarzutom skargi uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 k.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę w sposób w niej określony. Podstawę do wydania decyzji stanowiły prawidłowo poczynione przez organ ustalenia faktyczne i prawne dotyczące przetwarzania danych osobowych konkretnej osoby. Kwestionowanie przez Spółkę argumentacji zawartej w uzasadnieniu decyzji (poprzez odwoływanie się do poszczególnych jej fragmentów z pominięciem szerszego kontekstu wywodów organu) stanowi wyłącznie polemikę z prawidłowymi ustaleniami organu i nie może skutkować uwzględnieniem skargi w sytuacji, gdy Spółka nie wykazała, że przetwarzanie danych uczestnika postępowania znajduje oparcie w którejkolwiek z przesłanek legalizujących ten proces, a wymienionych w art. 6 ust. 1 RODO.
Nieuzasadnione są również zarzuty naruszenia art. 31 ust. 3 w związku z art. 2, art. 7, art. 22, art. 32 ust. 1 i 2, art. 51 ust. 1 Konstytucji RP w związku z art. 57 ust. 1 lit. f RODO w związku z art. 58 ust. 2 lit. c RODO, art. 79 RODO oraz art. 31 ust. 1 u.o.d.o. Wskazać w tym względzie należy, że Prezes UODO - jako organ ochrony danych osobowych - działał w granicach swoich ustawowych kompetencji w postępowaniu, którego przedmiotem była skarga indywidualnego podmiotu na naruszenie ochrony danych osobowych. Brak jest podstaw do stwierdzenia, że organ dopuścił się naruszenia zasady legalizmu, czy też stworzył wobec Spółki "dodatkowe ograniczenia i wymogi". Brak jest również podstaw by przyjąć, że postępowanie było prowadzone jednostronnie, "w celu ochrony prywatności jednostki ponad rzetelną ocenę procesów przetwarzania przez administratora". Wobec jednoznacznie sformułowanej skargi uczestnika postępowania organ zwrócił się o wyjaśnienia do Spółki, a przed wydaniem decyzji poinformował obie strony o możliwości wypowiedzenia się co do zgromadzonego materiału dowodowego. Nadesłane przez Spółkę wyjaśnienia zostały rozpatrzone w korelacji z pozostałym materiałem dowodowym, zaś wyprowadzone z tego materiału prawidłowe wnioski skutkowały zobowiązaniem Spółki do podjęcia działań naprawczych.
Niezasadny jest również zarzut naruszenia art. 54 ust. 1 Konstytucji RP w związku z art. 17 ust. 3 lit. a oraz art. 17 ust. 1 lit. c RODO. Sad podziela w tym względzie stanowisko organu wyrażone w odpowiedzi na skargę, że określone w art. 54 ust. 1 Konstytucji prawo do wolności wypowiedzi i swobody przepływu informacji nie stanowi negatywnej przesłanki do odmowy usunięcia przez Spółkę danych osobowych uczestnika postępowania z portalu internetowego [...].pl. Jak już wyżej podnoszono dane osób fizycznych, będących przedsiębiorcami, w tym dane dotyczące prowadzonej przez nie działalności gospodarczej, stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania przepisów rozporządzenia. Spółka jako administrator powinna wykazać, że przetwarzanie danych w tym przypadku było zgodne z prawem, co nie miało jednak miejsca. Spółka nie spełniła przesłanki określonej w art. art. 6 ust. 1 lit. f RODO.
Przepis art. 17 ust. 1 lit. c RODO stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania. Zgodnie zaś z art. 17 ust. 3 lit. a RODO ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Aby możliwe było zastosowanie art. 17 ust. 3 RODO dalsze przetwarzanie danych osobowych musi być "niezbędne" do korzystania z prawa do wolności wypowiedzi i informacji. Ponadto, w ww. przypadku chodzi przede wszystkim o zapobieżenie sytuacji, gdy żądanie usunięcia danych stanowiłoby ingerencję w wolność prasy i prowadziłoby do usuwania danych z archiwów prasowych, a także swoistej cenzury represyjnej dotyczącej opublikowanych danych osobowych (v. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 (...) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", komentarz do art. 17, Lex.). Tego rodzaju sytuacje nie zachodziły zaś w niniejszej sprawie. Ponadto w art. 17 ust. 1 lit. c RODO, poprzez odesłanie do art. 21 ust. 1 i 2 RODO, dotyczy przetwarzania danych osobowych osoby, która wniosła sprzeciw, w sytuacji gdy dane osobowe tej osoby były przetwarzane na podstawie art. 6 ust. 1 lit. e lub f RODO, bądź na potrzeby marketingu bezpośredniego. Żadna z takich sytuacji nie wystąpiła w niniejszej sprawie. W konsekwencji w sprawie nie mógł mieć zastosowania art. 17 ust. 3 w związku z art. 17 ust. 1 lit c RODO.
Zgodnie z art. 86 RODO dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Uchybienie jakiego dopuścił się organ, poprzez użycie słowa "ograniczenie" zamiast "pogodzenie" (s. 9 verte) nie dyskwalifikuje zaskarżonej decyzji. W świetle pozostałych wywodów organu uzasadnione jest stanowisko, że stosowany przez Spółkę proces przetwarzania danych powoduje, że zniekształceniu ulega prawo do wolności słowa i dostępu do informacji, w sposób jednostronny, ze szkodą dla opiniowanych, zaś w tej konkretnej sprawie skutkuje naruszeniem ochrony danych osobowych uczestnika postępowania.
Nie jest również trafny zarzut naruszenia art. 21 ust. 1 RODO. Przedmiotem postępowania był art. 17 RODO, co wprost wynika z treści skargi uczestnika postępowania skierowanej do organu oraz wiadomości e-mail z dnia 5 listopada 2022r. (żądanie usunięcia danych osobowych - k. 2 verte i 7 akt admin.). Spółka w toku postępowania nie wyrażała wątpliwości odnośnie interpretacji żądania Skarżącego pomimo treści wezwania organu do udzielenia wyjaśnień, czy do Spółki wpłynęło żądanie uczestnika dotyczące realizacji jego prawa z art. 17 ust. 1 RODO. Udzielając wyjaśnień Spółka wprost wskazała, że takie żądanie wpłynęło oraz że do tego żądania się ustosunkowała. W tym stanie rzeczy kwestia wykładni art. 21 RODO nie mogła być przedmiotem rozważań organu.
Podsumowując stwierdzić należy, iż konkluzja organu, że Spółka nie legitymowała się żadną z przesłanek z art. 6 ust. 1 RODO uprawniającą ją do przetwarzania danych osobowych uczestnika postępowania jest prawidłowa. Prawidłowo organ ocenił, że w okolicznościach faktycznych sprawy prawo do ochrony danych osobowych uczestnika postępowania przewyższa interes Spółki, jakim była publikacja danych osobowych uczestnika na portalu [...].pl. Prawidłowo zatem organ zastosował przysługujące mu uprawnienia naprawcze i nakazał Spółce spełnienia żądania uczestnika postępowania w oparciu o art. 58 ust 2 lit. c RODO, tj. usunięcie jej danych osobowych w zakresie wskazanym w sentencji decyzji.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. w związku z art. 119 pkt 2 p.p.s.a., orzekł jak w sentencji.