II SA/Wa 1734/24

II SA/Wa 1734/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-21
orzeczenie prawomocne
Data wpływu
2024-10-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Izabela Głowacka-Klimas /przewodniczący/
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2022 poz 2000
art. 6, art. 7, art. 8 par 1, art. 77 par. 1 art. 11,
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2024 poz 935
art.145 par. 1 pkt 1 lit a i c,
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek, Asesor WSA Mateusz Rogala (spr.), , Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 21 stycznia 2025 r. sprawy ze skargi Specjalistycznego [...] Zespołu Opieki Zdrowotnej im. [...] w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nr [...] w przedmiocie nakazu usunięcia danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Specjalistycznego [...] Zespołu Opieki Zdrowotnej im. [...] w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] lutego 2020 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie 6 ust. 1 i art. 9 ust. 2 w zw. z art. 5 ust. 1 lit. c) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), nakazał Specjalistycznemu [...] Zespołowi Opieki Zdrowotnej im. [...] w [...] usunięcie danych osobowych J. A. (powoływanego dalej również jako uczestnik postępowania) przechowywanych na dysku twardym komputera służbowego, z którego korzystał uczestnik postępowania w trakcie swojego zatrudnienia, w terminie 30 dni od dnia doręczenia decyzji.
W uzasadnieniu swojego rozstrzygnięcia organ podał, że J. A. wniósł do organu skargę na przetwarzanie jego danych osobowych na dysku twardym komputera służbowego przez Specjalistyczny [...] Zespół Opieki Zdrowotnej im. [...]. Uczestnik postępowania wskazał, że w ramach stosunku zatrudnienia i w związku z pełnioną funkcją [...] Oddziału [...] Dyrektor S[...] ZOZ powierzył mu do użytkowania komputer stacjonarny do wykonywania czynności związanych z funkcjonowaniem i działalnością oddziału bez zastrzeżenia, że komputer ten nie może być wykorzystywany do celów prywatnych. W trakcie korzystania z komputera uczestnik postępowania między innymi tworzył dla swoich potrzeb prywatne pliki i foldery, które zawierały dane osobowe jego oraz innych osób i podmiotów, tj. umowy zawierane przez uczestnika postępowania z innymi podmiotami, zeznania podatkowe PIT, opinie [...], orzeczenia wnioskodawcy dla ZUS, prywatne zdjęcia i nagrania w systemie audio-video. W ocenie uczestnika postępowania, dział on zgodnie z zarządzeniem wewnętrznym nr [...] Dyrektora S[...] ZOZ wprowadzającym Politykę Bezpieczeństwa w zakresie ochrony i przetwarzania danych osobowych, które nie zawierało zakazu korzystania z powierzonego komputera dla celów prywatnych. W dniu [...] listopada 2016 r. Dyrektor S[...] ZOZ wydał informatykowi polecenie zabezpieczenia wszystkich danych zawartych na komputerze powierzonym uczestnikowi postępowania celem ustalenia, czy urządzenie nie jest wykorzystywane przez niego dla celów prywatnych. Zgodnie z poleceniem informatyk zabezpieczył dysk twardy komputera, a następnie, omijając zabezpieczenia hasłem dostępu, uzyskał dla Dyrektora S[...] ZOZ dostęp do wszystkich danych wprowadzonych tam przez uczestnika postępowania. Uczestnik postępowania wskazał, że Dyrektor S[...] ZOZ pozostaje od tego czasu dysponentem ww. danych do chwili obecnej, bowiem dane te nie zostały usunięte z dysku twardego, ani też nie zostały mu oddane.
W związku z powyższym uczestnik postępowania wniósł o nakazanie S[...] ZOZ przekazania mu jego danych osobowych oraz danych osobowych innych osób uzyskanych przez uczestnika postępowania, a zawartych na dysku twardym komputera służbowego pozostającego w posiadaniu S[...] ZOZ, względnie o nakazanie ich usunięcia z ww. dysku.
W toku prowadzonego postępowania administracyjnego organ ustalił, że uczestnik postępowania od [...] grudnia 1986 r. był zatrudniony w S[...] ZOZ na stanowisku [...] Oddziału [...] w charakterze [...]. W dniu [...] listopada 2016 r. uczestnik postępowania otrzymał oświadczenie o rozwiązaniu umowy bez wypowiedzenia. S[...] ZOZ wskazał, że przyczyną rozwiązania umowy było ciężkie naruszenie podstawowych obowiązków pracowniczych polegających między innymi na wykorzystywaniu w czasie godzin pracy komputera służbowego do celów niezwiązanych bezpośrednio z działalnością S[...] ZOZ i na które uczestnik postępowania nie miał przyzwolenia pracodawcy oraz niezgodnie z zapisami obowiązującej w podmiocie Polityki Bezpieczeństwa Informacji.
S[...] ZOZ wyjaśnił, że dysk twardy komputera służbowego, z którego korzystał uczestnik postępowania, wraz z danymi osobowymi i płytami CD zawierającymi listę plików znajdujących się na dysku lokalnym komputera zostały dołączone do akt sprawy toczącej się przed Sądem Rejonowym w [...] [...] Wydziału [...] z powództwa uczestnika postępowania, która zakończyła się zawarciem ugody w dniu [...] grudnia 2017 r. w celach dowodowych. Po zakończeniu sprawy dysk twardy z danymi osobowymi został zwrócony i zdeponowany w sejfie, do którego nikt poza Dyrektorem S[...] ZOZ nie ma dostępu, na wypadek gdyby uczestnik postępowania wystąpił z roszczeniami.
S[...] ZOZ po otrzymaniu wniosku uczestnika postępowania o zwrot dysku zdecydował, że nie może on być mu zwrócony z uwagi na fakt znajdowania się na nim danych pacjentów S[...] ZOZ, których udostępnienie naruszyłoby między innymi przepisy ustawy o ochronie danych osobowych i ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r., poz. 882 ze zm.). S[...] ZOZ wyjaśnił, że do jednoznacznego określenia, czy pliki na dysku twardym zawierają dane pacjentów S[...] ZOZ, czy dane prywatne uczestnika postępowania, czy też dane pacjentów innego podmiotu wykonującego działalność leczniczą zgromadzone na komputerze, byłoby niezgodne z ww. przepisami i Polityką Ochrony Danych Osobowych obowiązującą w S[...] ZOZ, ponieważ wymagana jest analiza ich treści.
Organ wyjaśnił, że dokonał analizy zawartości dysku twardego przekazanego przez S[...] ZOZ i ustalił, iż dysk ten zawiera pliki różnego rodzaju - zarówno mające charakter prywatny, jak i związane z wykonywanym przez uczestnika postępowania zawodem [...]. Pliki są nieuporządkowane i pomieszane ze sobą. Znaczną część dysku zajmuje system operacyjny [...] i związane z nim pliki systemowe. Na dysku znajduje się katalog plików sporządzonych przez S[...] ZOZ zawierający szczegółowy opis, w tym wskazanie, który z plików ma charakter prywatny. Pliki mające prywatny charakter to w znacznej części zdjęcia, wiadomości e-mail zawierające zdjęcia pobrane z Internetu, a także wyniki badań dotyczące uczestnika postępowania (np. poziomu glukozy). Ponadto na dysku znajduje się dokumentacja związana z pracą uczestnika postępowania jako [...] - opinie [...] wydawane na potrzeby spraw sądowych, wystawiane rachunki za pracę [...], pisma procesowe (np. zażalenia na postanowienia w przedmiocie przyznania [...] wynagrodzenia), notatki z przeprowadzonych badań, wydruki testów. Z treści niektórych z tych dokumentów wynika, że sporządzane były przez uczestnika postępowania jako pracownika S[...] ZOZ. Na dysku znajdują się także pliki w postaci ustaw i rozporządzeń, artykułów, wykładów czy opisów działania leków.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ przytoczył przepisy rozporządzenia nr 2016/679 dotyczące legalności przetwarzania danych osobowych i podkreślił, że zgodnie z zasadą minimalizacji danych dane muszą być adekwatne, stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c rozporządzenia nr 2016/679).
Zdaniem organu, w niniejszej sprawie nie istniała żadna z przesłanek z art. 6 ust. 1 i art. 9 ust. 2 rozporządzenia nr 2016/679 uprawniających S[...] ZOZ do przetwarzania danych osobowych uczestnika postępowania zawartych na dysku twardym komputera służbowego po ustaniu jego zatrudnienia. Powoływanie się przez S[...] ZOZ na przetwarzanie danych osobowych w celu obrony przed ewentualnymi roszczeniami nie znajduje żadnego prawnego uzasadnienia i nie stanowi przesłanki uprawniającej S[...] ZOZ do przetwarzania tych danych. Tym bardziej, że S[...] ZOZ nie wyjaśniła, o jakie konkretnie roszczenia może chodzić. Organ podkreślił, że sprawa tocząca się przed Sądem Rejonowym w [...] [...] Wydział [...] z powództwa uczestnika postępowania zakończyła się zawarciem ugody w dniu [...] grudnia 2017 r. Organ podzielił poglądy wyrażone w dotychczasowym orzecznictwie o niedopuszczalności przetwarzania danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. W przeciwnym razie pojawia się wątpliwość, jak długo należy przetwarzać dane osobowe, jeżeli do wytoczenia powództwa przeciwko pracodawcy nie dojdzie. W związku z powyższym niemożliwe staje się określenie dokładnego terminu, kiedy roszczenie z tego tytułu ulega przedawnieniu, a zatem administrator nie jest również w stanie określić okresu przetwarzania danych osobowych niezbędnego do celów, w których dane te są przetwarzane. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia istnienia hipotetycznego roszczenia w przyszłości.
W konsekwencji organ uznał, że przetwarzanie danych osobowych uczestnika postępowania znajdujących się na dysku twardym komputera służbowego przez S[...] ZOZ po ustaniu stosunku pracy w celu obrony przed ewentualnymi roszczeniami stanowi naruszenie art. 5 ust. 1 lit. e), art. 6 ust. 1, art. 9 ust. 2, art. 17 ust. 1 lit. a) oraz b) rozporządzenia nr 2016/679. Przetwarzanie danych osobowych nie jest bowiem obecnie niezbędne do wypełniania prawnie usprawiedliwionych celów realizowanych przez S[...] ZOZ, a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub dochodzenia roszczeń. Tym bardziej, że S[...] ZOZ w żaden sposób nie wykazała tej niezbędności i potrzeby dalszego przetwarzania danych osobowych uczestnika postępowania, ograniczając się jedynie do uzasadnienia tego przetwarzania bliżej nieokreślonymi roszczeniami. Organ stwierdził, że S[...] ZOZ nie legitymuje się również żadną inną przesłanką z art. 6 ust. 1 i art. 9 ust. 2 rozporządzenia nr 2016/679 uprawniającą go do przetwarzania danych osobowych zawartych na dysku komputera.
Odnosząc się do twierdzeń S[...] ZOZ, że na dysku twardym znajdować się mogą dane pacjentów S[...] ZOZ stanowiące część dokumentacji medycznej, organ wskazał, że kwestie dotyczące prowadzenia i przechowywania dokumentacji medycznej zostały ustalone w wydanych na podstawie ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta rozporządzeniach. Przepisy te nie przewidują możliwości przechowywania dokumentacji medycznej w taki sposób, na jaki powołuje się S[...] ZOZ. Ponadto jeżeli nawet na dysku twardym przechowywana byłaby dokumentacja medyczna pacjentów placówki, S[...] ZOZ posiadał ponad trzy lata, aby przyporządkować ewentualne dane pacjentów S[...] ZOZ do odpowiednich dokumentacji medycznych pacjentów.
Specjalistyczny [...] Zespół Opieki Zdrowotnej im. [...] wniósł na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ją w całości.
S[...] ZOZ zarzucił organowi naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.:
1. art. 6 k.p.a. w zw. z art. 4 Europejskiego Kodeksu Dobrej Praktyki Administracyjnej (Dz. U. UE. C. z 2011 r. Nr 285, str. 3) poprzez wydanie decyzji, która nakłada na skarżącego obowiązek dokonania czynności, które:
i. narażają go na odpowiedzialność karną (karę) oraz cywilną z tytułu:
a) nieuprawnionego przetwarzania danych osobowych osób innych niż uczestnik postępowania, a istniejących w zapisie danych na dysku twardym komputera służbowego, względem których skarżący (administrator) nie posiada przesłanek przetwarzania określonych w art. 6 i art. 9 rozporządzenia nr 2016/679, bowiem administrator na mocy decyzji został zobligowany wyłącznie do usunięcia danych osobowych uczestnika postępowania, a w tym celu konieczne jest przetwarzanie wszystkich danych (w tym danych osobowych), które znajdują się na dysku twardym komputera, na którym pracował uczestnik postępowania, kiedy pozostawał w zatrudnieniu, co może naruszać art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781);
b) nieuprawnionego przetwarzania danych osobowych osób względem których skarżący (administrator) nie posiada przesłanek przetwarzania określonych w art. 6 i art. 9 rozporządzenia nr 2016/679, bowiem administrator na mocy decyzji został zobligowany wyłącznie do usunięcia danych osobowych uczestnika postępowania, a w tym celu konieczne jest przetwarzanie wszystkich danych (w tym danych osobowych), które znajdują się na dysku twardym komputera, na którym pracował uczestnik postępowania, kiedy pozostawał w zatrudnieniu, co może spowodować u osób innych niż uczestnik postępowania powstanie szkody, co w konsekwencji warunkuje możliwą odpowiedzialność cywilnoprawną skarżącego na podstawie art. 82 rozporządzenia nr 2016/679, co łącznie w dalszej kolejności implikuje konieczność stwierdzenia nieważności decyzji administracyjnej w oparciu o art. 156 § 1 pkt 6 k.p.a.;
ii. w sposób istotny wpływają na ewentualne prawa strony (skarżącego) w odrębnych postępowaniach, a to: prawo do obrony skarżącego w postępowaniach sądowych i przygotowawczych (art. 42 Konstytucji RP), pozbawienia możności obrony swoich praw w sprawach cywilnych (co może ewentualnie warunkować zastosowanie art. 379 pkt 5 k.p.c. w takich postępowaniach), prawo do obrony i składania rzetelnych wyjaśnień i przedkładania dowodów w postępowaniu administracyjnym (art. 10 § 1 k.p.a.);
2. art. 7 k.p.a. w zw. z art. 8 § 1 k.p.a. w zw. z art. 77 § 1 k.p.a. poprzez brak dokładnego wyjaśnienia stanu faktycznego, tj. brak wyszczególnienia (wskazania) które konkretnie pliki znajdujące się na dysku twardym komputera mają zostać usunięte (kopia plików znajdowała się w posiadaniu organu) oraz brak przeprowadzenia przez organ postępowania dowodowego uzasadniającego twierdzenie, że skarżący nie spełniał przesłanek określonych w art. 6 lub art. 9 rozporządzenia nr 2016/679, a tym samym, brak udowodnienia (a nawet uprawdopodobnienia), że w sposób bezprawny przetwarza lub przetwarzał dane osobowe uczestnika postępowania, w sytuacji w której skarżący posiada prawnie uzasadniony interes w przetwarzaniu danych ww. osoby w celu występowania z roszczeniami lub obrony przed roszczeniami cywilnoprawnymi, administracyjnymi i karnymi;
3. art. 11 k.p.a. w kontekście całościowych naruszeń przedstawionych w pkt 1 - 2 powyżej;
4. art. 107 § 1 pkt 3 k.p.a. poprzez brak oznaczenia adresata w komparycji decyzji, jak również brak oznaczenia adresata decyzji w rozdzielniku, co warunkuje twierdzenie, że zaskarżona decyzja jest bezsprzecznie wadliwa względnie, że w sprawie nie wydano ważnej decyzji administracyjnej;
5. art. 107 § 2 w zw. z art. 2a k.p.a. poprzez brak przedłożenia stronie (osobom wchodzącym w skład reprezentacji skarżącego) klauzuli informacyjnej sporządzonej w sposób zgodny z art. 13 lub art. 14 rozporządzenia nr 2016/679.
Skarżący postawił również zarzuty naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1. art. 5 ust. 1 lit. c) rozporządzenia nr 2016/679 poprzez brak wskazania, w jaki sposób przechowywanie danych osobowych uczestnika postępowania przez skarżącego celem jego ewentualnego występowania z roszczeniami lub obroną przed roszczeniami narusza zasadę minimalizacji, w przypadku, gdy skarżący w przypadku usunięcia ww. danych osobowych utraci możliwość przytaczania potencjalnych dowodów w postępowaniach przygotowawczych, sądowych i administracyjnych; a także poprzez stwierdzenie, że S[...] ZOZ dokonał szczegółowego opisu plików znajdujących się na dysku twardym urządzenia, jak również wskazał, który z plików ma charakter prywatny - kiedy S[...] ZOZ wprost wskazał w piśmie z dnia [...] maja 2019 r., że nie mógł w sposób jednoznaczny rozdzielić plików prywatnych od służbowych, jak również "opisanie plików" zostało dokonane w oparciu o rozumowanie pracownika S[...] ZOZ przy uwzględnieniu nazwy plików - przy jednoczesnym podkreśleniu przez S[...] ZOZ, że "nie analizowano zawartości dysku, czynności na kopii danych zakończyły się wraz z procesem zaszyfrowania";
2. art. 6 ust. 1 lit. f) i art. 9 ust. 2 lit. f) rozporządzenia nr 2016/679 poprzez pominięcie, że S[...] ZOZ posiada uzasadniony interes prawny (jako administrator) do przetwarzania danych osobowych uczestnika postępowania w zakresie występowania z roszczeniami lub obrony przed roszczeniami; zawarta z uczestnikiem postępowania ugoda sądowa wyczerpała roszczenia stron związane wyłącznie ze sposobem rozwiązania umowy o pracę; nie wyczerpała jednak innych roszczeń stron, w tym np. ewentualnych roszczeń odszkodowawczych.
Mając na uwadze powyższe zarzuty, strona skarżąca wniosła o uchylenie w całości zaskarżonej decyzji i umorzenie postępowania administracyjnego, ewentualnie orzeczenie co do istoty prawy, rozpoznanie sprawy w trybie uproszczonym oraz o zasądzenie kosztów postępowania.
W uzasadnieniu skargi strona skarżąca przedstawiła argumentację na poparcie postawionych zarzutów.
W odpowiedziach na skargę organ oraz uczestnik postępowania wnieśli o oddalenie skargi.
W piśmie procesowym z dnia 25 sierpnia 2020 r. skarżący wniósł o przeprowadzenie na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm., powoływanej dalej jako p.p.s.a.) o przeprowadzenie dowodów uzupełniających z wymienionych w piśmie dokumentów, na okoliczności szczegółowo opisane przez skarżącego. Skarżący podniósł, że stosownie do art. 34 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r., poz. 164) w S[...] ZOZ obowiązują zarządzenia oraz dokumenty wewnętrzne, które regulują przepływ, przechowywanie i archiwizację dokumentów stanowiących m.in. akta spraw sądowych. Ich opracowanie oraz implementacja stanowi realizację prawnego obowiązku nakładanego na kierownika jednostki przez ustawę o narodowym zasobie archiwalnym i archiwach. Instrukcja o organizacji i zakresie działania archiwum zakładowego w Specjalistycznym [...] Zespole Opieki Zdrowotnej w [...] stanowiąca załącznik nr 1 do zarządzenia Dyrektora nr [...] z dnia [...] lipca 2014 r. w sprawie działalności archiwum zakładowego przedstawia podstawowe definicje obejmujące swym zakresem informatyczne nośniki danych (tworząc podstawę prawną dla ich przetwarzania przez skarżącego, abstrahując od pozostałych przesłanek na które wskazywał skarżący w toku postępowania) oraz obejmujące zasady postępowania z aktami spraw zawierającymi informatyczne nośniki danych.
Zdaniem skarżącego, sporny dysk twardy jako dowód rzeczowy w postępowaniu i część składowa akt postępowania sądowego podlegał reżimom archiwizacji i przechowywania właściwym dla akt postępowań sądowych obowiązujących w S[...] ZOZ, a zatwierdzonych przez Dyrektora Archiwum Państwowego w [...]. Ze względu na powyższe S[...] ZOZ, w związku z postępowaniem prowadzonym przed Sądem Pracy w [...], zaszeregował dokumenty powstałe w ramach tego postępowania razem z informatycznym nośnikiem danych jako dokumenty archiwizowane przez okres lat 10 od prawomocnego zakończenia postępowania sądowego, stosując w tym celu art. 22d w zw. z art. 5 ust. 1 pkt 2 ustawy o archiwach.
W piśmie procesowym z dnia 10 listopada 2020 r. skarżący wniósł o przeprowadzenie dowodów z: zarządzenia wewnętrznego Dyrektora S[...] ZOZ z dnia [...] kwietnia 2013 r. nr [...], Polityki Bezpieczeństwa w zakresie ochrony i przetwarzania danych osobowych (wprowadzonej ww. zarządzeniem) oraz rozdzielnika do ww. zarządzenia, na fakt: wprowadzenia u skarżącego wewnętrznych przepisów/procedur zakazujących przetwarzania danych osobowych w celach prywatnych oraz zapoznania się z tymi przepisami/procedurami przez J. A..
Wyrokiem z dnia 16 listopada 2020 r. sygn. akt II SA/Wa 781/20 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Specjalistycznego [...] Zespołu Opieki Zdrowotnej im. [...].
Naczelny Sąd Administracyjny wyrokiem z dnia 23 października 2024 r. sygn. akt III OSK 4727/21 uchylił wyrok WSA w Warszawie z dnia 16 listopada 2020 r. i przekazał sprawę sądowi I instancji do ponownego rozpoznania. W uzasadnieniu wyroku NSA wyjaśnił, że zasadny okazał się postawiony w skardze kasacyjnej zarzut naruszenia art. 141 § 4 p.p.s.a. Zdaniem NSA, Sąd I instancji:
1. w ogóle nie ustalił, jakie dane osobowe przetwarza skarżący: czy są to dane osobowe "zwykłe", których warunki przetwarzania wyznacza art. 6 ust. 1 rozporządzenia nr 2016/679, czy też dane osobowe tzw. "wrażliwe", których przetwarzanie może odbyć się wyłącznie w razie wystąpienia okoliczności podanych w art. 9 ust. 1 lit. a-j rozporządzenia; WSA nie ustalił również, na czym owo przetwarzanie polega;
2. w ogóle nie wskazał podstawy prawnej swojego stanowiska, że przetwarzanie danych osobowych w celu obrony przed ewentualnymi roszczeniami J. A. jest prawnie niedopuszczalne; uszło uwadze sądu I instancji, iż możliwość takiego przetwarzania przepisy rozporządzenia nr 2016/679 przewidują wprost w art. 17 ust. 3 lit. e), który dopuszcza przetwarzanie niezbędnych danych osobowych w celu "ustalenia, dochodzenia lub obrony roszczeń"; ponadto w skardze, jako podstawę przetwarzania danych osobowych na wypadek ewentualnych przyszłych roszczeń wskazano art. 6 ust. 1 lit. f) lub art. 9 ust. 2 lit. f) rozporządzenia nr 2016/679; dopuszczalność stosowania tych przepisów została szeroko uzasadniona w skardze; do argumentacji skarżącego w tym zakresie WSA się nie odniósł; NSA zaznaczył, że przetwarzanie danych osobowych na tej podstawie, w związku z ewentualnymi przyszłymi roszczeniami zostało ocenione jako dopuszczalne w orzecznictwie Naczelnego Sądu Administracyjnego (np. wyrok z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22);
3. nie odniósł się do wyrażonego w skardze stanowiska, że zawarta z J. A. ugoda dotyczyła wyłącznie rozwiązania stosunku pracy, nie obejmowała w ogóle ewentualnych innych roszczeń;
4. skarżący eksponował w skardze, że na komputerze używanym przez J. A., gdy był pracownikiem skarżącego znajdują się pliki, co do których nie można ustalić, czy mają charakter prywatny, czy służbowy. Nie można również ustalić, czy zawierają dane osobowe osób trzecich; ustalenie przedmiotowej kwestii wymaga analizy tych plików, która może doprowadzić do nieuprawnionego przetwarzania danych osobowych osób trzecich przez skarżącego, a co za tym idzie może narazić go na odpowiedzialność prawną; to stanowisko skarżącego nie zostało poddane ocenie przez WSA;
5. we wniesionej skardze zarzucono, że kwestionowana nią decyzja nie wskazuje wprost, jakie danego osobowe J. A. mają zostać usunięte, a konkretnie, które pliki znajdujące się na jego komputerze zawierają te dane i nie mogą być dalej przetwarzane; a WSA nie odniósł się do tej kwestii;
6. w skardze wytknięto, że kwestionowana nią decyzja nie zawiera wskazania stron, do których jest kierowana, a kwestia ta nie została oceniona przez WSA;
7. w toku postępowania, pismem z dnia 25 sierpnia 2020 r. skarżący podał, że nie może usunąć danych z komputera służbowego, który był wykorzystywany przez J. A., albowiem pozostawałoby to w sprzeczności z obowiązkami, jakie nakładają na niego przepisy regulujące proces archiwizacji danych; skarżący powołał się na konkretne przepisy aktów powszechnie obowiązujących oraz aktów wewnętrznych; wniósł również o dopuszczenie dowodów na przedmiotową okoliczność; WSA tej kwestii nie ocenił;
8. kolejnym pismem z dnia 10 listopada 2020 r. skarżący zawnioskował o dopuszczenie uzupełniających dowodów z dokumentów i poszerzył swoją argumentację co do stanowiska, że spoczywa na nim obowiązek prawny zatrzymania danych znajdujących się na komputerze służbowym wykorzystywanym przez J. A.; WSA do stanowiska skarżącego się nie odniósł i nie rozstrzygnął o zgłoszonych wnioskach dowodowych.
Na rozprawie w dniu 21 stycznia 2025 r. Wojewódzki Sąd Administracyjny w Warszawie postanowił odmówić dopuszczenia wniosków dowodowych zawartych w pismach procesowych z dnia 25 sierpnia 2020 r. oraz z dnia 20 listopada 2020 r.
Ponownie rozpoznając sprawę Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie, choć nie wszystkie podniesione w niej zarzuty są trafne.
W pierwszej kolejności należy zauważyć, że zgodnie z art. 190 zd. pierwsze p.p.s.a., Sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny. Ponadto w myśl art. 153 p.p.s.a., ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie organy, których działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia, a także sądy, chyba że przepisy prawa uległy zmianie.
Sąd, rozpoznając niniejszą sprawę, zobowiązany był zatem uwzględnić wskazania co do dalszego postępowania zawarte w uzasadnieniu wyroku Naczelnego Sądu Administracyjnego z dnia 23 października 2024 r. sygn. akt III OSK 4727/21.
Wymaga przy tym podkreślenia, że sąd administracyjny w niniejszym postępowaniu poddał swojej kontroli decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nakazującą Specjalistycznemu [...] Zespołowi Opieki Zdrowotnej im. [...] usunięcie danych osobowych J. A. przechowywanych na dysku twardym komputera służbowego, z którego korzystał uczestnik postępowania w trakcie swojego zatrudnienia, w terminie 30 dni od dnia doręczenia decyzji.
Postępowanie administracyjne w tej sprawie zostało zainicjowane wnioskiem J. A. dotyczącym niezgodnego z prawem przetwarzania jego danych osobowych i domagającym się od organu nakazania usunięcia jego danych osobowych znajdujących się na dysku twardym. Tak sformułowany wniosek strony zakreślił ramy postępowania w tej sprawie, a w konsekwencji także treść kontrolowanego przez Sąd rozstrzygnięcia.
Trzeba zatem podkreślić, że zaskarżona decyzja dotyczyła wyłącznie kontroli legalności przetwarzania danych osobowych J. A. (nie zaś jakiegokolwiek innego podmiotu). Okoliczność, że na dysku twardym, którego dotyczył wniosek uczestnika postępowania, znajdują się także dane osobowe innych podmiotów, a także pliki niezawierające jakichkolwiek danych osobowych pozostają bez wpływu na treść rozstrzygnięcia i ocenę jego legalności.
W kontekście powyższego nie budzi wątpliwości Sądu, że przetwarzane przez skarżącego dane osobowe uczestnika postępowania mają charakter zarówno danych osobowych zwykłych, jak i "danych wrażliwych" w rozumieniu art. 9 ust. 1 rozporządzenia nr 2016/679. Na spornym dysku twardym znajdują się bowiem m.in. dane dotyczące wyników badań medycznych uczestnika postępowania.
Jak wynika z treści art. 4 pkt 2 rozporządzenia nr 2016/679, "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W rozpoznawanej sprawie przetwarzanie danych osobowych uczestnika postępowania przez stronę skarżącą polega na ich przechowywaniu i tylko w takim zakresie legalność tego przetwarzania podlegała kontroli organu ochrony danych osobowych.
Odnosząc się do argumentacji skargi, że wykonanie zaskarżonej decyzji może narazić skarżącą na odpowiedzialność karną lub cywilną w związku z koniecznością dokonania analizy zawartości dysku twardego w celu usunięcia zawartych na nim danych osobowych J. A., należy podnieść (a czego zdaje się nie dostrzegać strona skarżąca), że ponieważ – jak sama twierdzi – na znajdującym się w jej posiadaniu dysku twardym znajdują się dane osobowe różnych podmiotów, to oznacza, że jest ona administratorem tych danych i ciągle przetwarza te dane osobowe, przechowując je na spornym dysku. Nie sposób zatem uznać, by konieczność wykonania zaskarżonej decyzji dopiero inicjowała proces przetwarzania danych osobowych innych podmiotów, skoro skarżący cały czas dane te przetwarza, przechowując je na będącym w jego dyspozycji dysku twardym.
Należy przy tym ponownie podkreślić, że legalność przetwarzania przez stronę skarżącą danych osobowych innych podmiotów (w tym również danych wrażliwych tych podmiotów w rozumieniu art. 9 ust. 1 rozporządzenia nr 2016/679) nie była przedmiotem postępowania administracyjnego w tej sprawie, a wskutek tego nie może również być przedmiotem oceny Sądu. Z tej przyczyny Sąd nie uwzględnił wniosków dowodowych zawartych w piśmie z dnia 10 listopada 2020 r., bowiem ich przedmiotem była w istocie legalność przetwarzania przez uczestnika postępowania danych osobowych innych podmiotów, a ta kwestia pozostaje poza granicami niniejszej sprawy.
Oceniając w tak zakreślonym zakresie niniejszą sprawę, Sąd uznał, że na uwzględnienie zasługują postawione w skardze zarzuty naruszenia prawa procesowego materialnego koncentrujące się na nieprawidłowej ocenie dokonanej przez organ, że w sprawie nie wystąpiła przesłanka legalizująca przetwarzanie danych uczestnika postępowania określona w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków, w tym m.in. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jak podkreśla się w orzecznictwie sądów administracyjnych zastosowanie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 jest uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na omawianej podstawie wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 rozporządzenia) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji – zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit f) rozporządzenia nr 2016/679 jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Przy czym, desygnatami "prawnie uzasadnionych interesów administratora" nie są wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f) z przesłanką określoną w art. 6 ust. 1 lit. c), który legitymizuje przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć, jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły rozporządzenia nr 2016/679, w którym stwierdził, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Jak podkreślił Naczelny Sąd Administracyjny w przywołanym przez sąd kasacyjny w niniejszej sprawie wyroku z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22 nie można podzielić wyrażonego przez organ stanowiska, że dane osobowe nie mogą być przetwarzane "na zapas", "na przyszłość". Wyłączenie stosowania art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, gdy administrator przetwarza dane osobowe na wypadek ewentualnego sporu sądowego, wyłącznie z uwagi na jego potencjalność jest nieuzasadnione. Taka interpretacja art. 6 ust. 1 lit. f) byłaby zbyt formalistyczna i nieznajdująca potwierdzenia w przyjętym sposobie jego rozumienia. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 powinno być niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów administratora, a te należy ustalać z uwzględnieniem charakter i kontekstu relacji łączącej administratora z osobą, której dane osobowe są przetwarzane. Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. Należy zauważyć, że relacja łącząca administratora z osobą, której dane za jej zgodą są przetwarzane może ulec zmianie, przekształceniu, wygaśnięciu, co może się wiązać z powstaniem innej, (nowej) relacji, w ramach której uprzednio wyrażona zgoda na przetwarzanie nie będzie już adekwatna. Istotą tej "nowej" relacji może być potencjalny i zarazem prawnie dopuszczalny spór sądowy wynikający z niewłaściwej realizacji praw i obowiązków będących przedmiotem relacji "starej". Nie można w takim układzie wykluczyć, że przetwarzanie danych osobowych przez administratora do czasu wystąpienia przez którąkolwiek ze stron z roszczeniem na drogę sądową, lub do czasu przedawnienia tego roszczenia, będzie zgodne z art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Celem administratora wynikającym z jego prawnie uzasadnionych interesów będzie zabezpieczenie się na wypadek konieczności wejścia w spór sądowy. Kwestia ta wymaga sformułowania ocen prawnych z uwzględnieniem uwarunkowań cechujących konkretną relację łączącą stronę skarżącą i uczestnika postępowania.
Organ powinien zatem rozważyć, czy w związku z faktem, że strony łączył stosunek prawny nawiązany w dniu [...] grudnia 1986 r. w wyniku zawarcia umowy o pracę, która została rozwiązana w dniu [...] listopada 2016 r., a także w związku z zawarciem ugody w dniu [...] grudnia 2017 r. przed Sądem Rejonowym w [...], istnieją przepisy prawa materialnego, na podstawie których strony rozwiązanego stosunku pracy mogą wejść w spór sądowy. W szczególności organ powinien wziąć pod uwagę treść art. 291 § 5 Kodeksu pracy, zgodnie z którym roszczenie stwierdzone prawomocnym orzeczeniem organu powołanego do rozstrzygania sporów, jak również roszczenie stwierdzone ugodą zawartą w trybie określonym w kodeksie przed takim organem, ulega przedawnieniu z upływem 10 lat od dnia uprawomocnienia się orzeczenia lub zawarcia ugody.
W rozpoznawanej sprawie organ nie ustalił tych istotnych z punktu widzenia rozstrzygnięcia okoliczności, poprzestając na stwierdzeniu, że przetwarzanie danych osobowych uczestnika postępowania nie jest obecnie niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez skarżącego. Organ nie wyjaśnił jednak, na jakiej podstawie wysnuł tego rodzaju wniosek, w szczególności mając na względzie, że strony łączył stosunek pracy, który rodzić może roszczenia przewidziane zarówno w przepisach Kodeksu pracy, jak i przepisach ogólnych. Tym bardziej, jeśli wziąć pod uwagę, co wielokrotnie podkreślał skarżący w toku postępowania, że zawarta przed sądem pracy ugoda dotyczyła wyłącznie rozwiązania stosunku pracy, a nie wszelkich roszczeń, które mogły powstać w związku z istnieniem tego stosunku.
W ocenie Sądu rozpoznającego niniejszą sprawę, mając na względzie wyżej przytoczone stanowisko Naczelnego Sądu Administracyjnego, na które powołał się sąd kasacyjny w wyroku z dnia 23 października 2024 r., a tym wyrokiem Sąd rozpoznający sprawę ponownie jest związany, należało stwierdzić, że organ przedwcześnie stwierdził, iż w rozpoznawanej sprawie nie wystąpiła określona w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 przesłanka legalizująca przetwarzanie danych osobowych, co skutkowało koniecznością uchylenia zaskarżonej decyzji. W konsekwencji Sąd uznał, że zasadne są postawione w skardze zarzuty naruszenia art. 6, art. 7, art. 8 § 1, art. 77 § 1 i art. 11 k.p.a., w zakresie dotyczącym ustalenia przez organ istnienia w tej sprawie prawnie uzasadnionego interesu skarżącego do dalszego przetwarzania danych osobowych uczestnika postępowania, a co za tym idzie również art. 5 ust. 1 lit. c) i art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, bowiem organ zastosował te przepisy pomimo niedostatecznego ustalenia wystąpienia w tej sprawie przesłanki legalizującej przetwarzanie danych osobowych uczestnika postępowania.
Odnosząc się z kolei do zarzutów skargi dotyczących niewskazania, które konkretnie pliki miałyby podlegać usunięciu, należy zauważyć, że organ w zaskarżonej decyzji nakazał skarżącemu usunięcie danych osobowych uczestnika postępowania znajdujących się na dysku twardym. Tak sformułowany nakaz w sposób dostatecznie precyzyjny określa, jakie dane podlegać mają usunięciu (wszystkie dotyczące uczestnika postępowania), co pozwala adresatowi decyzji na jej wykonanie po dokonaniu analizy treści danych znajdujących się na wspomnianym dysku. Zarzuty skargi w tym zakresie nie zasługiwały zatem na uwzględnienie.
Podobnie niezasadne okazały się zarzuty dotyczące braku oznaczenia zarówno w komparycji, jak i w rozdzielniku decyzji jej adresata. Analiza treści zaskarżonego rozstrzygnięcia nie pozostawia wątpliwości, że organ skierował swój nakazał do Samodzielnego [...] Zespołu Opieki Zdrowotnej im. [...]. Decyzja została doręczona dyrektorowi tej placówki jako podmiotowi ją reprezentującego, jednak nie oznacza to, że nie można ustalić stron postępowania administracyjnego, a także podmiotu, którego dotyczy władcze rozstrzygnięcie organu w tej sprawie.
Odnosząc się do argumentacji organu dotyczącej przetwarzania danych osobowych skarżącego jako dokumentacji archiwalnej, należy wyjaśnić, że zgodnie z art. 5 ust. 1 ustawy o narodowym zasobie archiwalnym i archiwach, dokumentacja powstająca w organach państwowych i państwowych jednostkach organizacyjnych oraz w organach jednostek samorządu terytorialnego i samorządowych jednostkach organizacyjnych, a także napływająca do nich, jest przechowywana przez te organy i jednostki organizacyjne. W ocenie Sądu zaskarżona decyzja nie dotyczyła dokumentacji archiwalnej w takim rozumieniu. Organ nakazał skarżącej usunięcie danych osobowych uczestnika postępowania znajdujących się na dysku twardym, z którego uczestnik korzystał w czasie swojego zatrudnienia. Nakaz ten nie dotyczył dokumentacji wytworzonej przez podmiot publiczny lub napływającej do tego podmiotu, a jedynie danych osobowych uczestnika postępowania znajdujących się na tymże dysku (w tym przede wszystkim w plikach o charakterze prywatnym lub wytworzonych przez skarżącego). Z tej przyczyny Sąd nie uwzględnił również wniosków dowodowych zawartych w piśmie skarżącego z dnia 25 sierpnia 2020 r., uznając, że ustalenia związane ze sposobem archiwizacji dokumentów przez skarżącego nie mają związku z treścią rozstrzygnięcia w niniejszej sprawie.
Rozpatrując sprawę ponownie, organ uwzględni wyżej przedstawione rozważania Sądu w szczególności związane z wystąpieniem w niniejszej sprawie przesłanki z art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 legalizującej przetwarzanie przez skarżącego danych osobowych uczestnika postępowania w zakresie niezbędnym do obrony przed ewentualnymi roszczeniami.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a., orzekł jak w pkt 1 sentencji. O kosztach postępowania w punkcie 2. sentencji orzeczono na podstawie art. 200 w związku z art. 205 ww. ustawy. Na zasądzoną od organu na rzecz skarżącego kwotę składa się wynagrodzenie jej pełnomocnika procesowego (480 zł), zgodnie z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. z 2023 r., poz. 1964 ze zm.) oraz wpis sądowy od wniesionej skargi w wysokości 200 zł.