II SA/Wa 2172/23

II SA/Wa 2172/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-06-26
orzeczenie nieprawomocne
Data wpływu
2023-11-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek /sprawozdawca/
Joanna Kruszewska-Grońska /przewodniczący/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Andrzej Wieczorek (spr.), Asesor WSA Mateusz Rogala, po rozpoznaniu w trybie uproszczonym w dniu 26 czerwca 2024 r. sprawy ze skargi [...] sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, UODO) decyzją
z dnia [...] września 2023 r. nr [...] po rozpatrzeniu sprawy U. T. (dalej Uczestniczka) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w [...] (dalej Spółka, Skarżąca) nakazał Skarżącej usunięcie danych osobowych Uczestniczki w zakresie: imienia, nazwiska, adresu miejsca wykonywania działalności oraz numeru telefonu, przetwarzanych za pośrednictwem strony internetowej.
Do UODO wpłynęła skarga w rozumieniu przepisu art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127
z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwanego dalej: rozporządzeniem 2016/679) Uczestniczki prowadzącej działalność gospodarczą pod firmą [...] U. T. z siedzibą w [...] na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Sp. z o.o. z siedzibą w [...] polegające na udostępnieniu jej danych osobowych na rzecz osób trzecich bez podstawy prawnej oraz odmowie spełnienia żądania usunięcia jej danych osobowych z portalu internetowego "[...]", dostępnego pod adresem URL: [...]
Organ ustalił następujący stan faktyczny:
1. Skarżąca wskazała, iż przetwarza dane osobowe Uczestniczki na podstawie art. 6 ust. 1 lit. e i f rozporządzenia 2016/679, tj. przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym oraz jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Przetwarzanie polega na publikacji danych na stronie internetowej [...] umożliwiających wyszukiwanie miejsc,w których udzielane są świadczenia w ramach publicznego systemu opieki zdrowotnej. Źródłem danych był serwis internetowy Informator o Terminach Leczenia (dostępny pod adresem URL: [...] lub źródłem było API Terminy Leczenia (dostępne pod adresem URL: [...] Oba te źródła udostępniane są przez Narodowy Fundusz Zdrowia (dowody: pismo Spółki z [...] września 2021 r.; pismo Spółki z [...] kwietnia 2022 r.).
2. Na stronie internetowej dostępnej pod adresem URL: [...] zawarto informację, że Spółka przetwarza dane osobowe świadczeniodawców/lekarzy w oparciu o uzasadniony interes. Interesem takim jest zarówno interes gospodarczy, jakim jest prowadzenie portalu w ramach działalności informacyjnej Spółki i zwiększenie ilości odwiedzin strony, jak i interes społeczny, polegający na rozpowszechnianiu informacji o usługach świadczonych przez podmioty świadczące usługi w ramach publicznej służby zdrowia, finansowanej ze środków NFZ. Informacje takie obejmują dane identyfikacyjne, dane kontaktowe, dane adresowe, informacje o specjalizacji (dowód: oględziny strony internetowej dostępnej pod adresem URL: [...] [dostęp: [...] maja 2023 r.]).
3. Na stronie internetowej pod adresem URL: [...] Spółka aktualnie udostępnia dane osobowe Uczestniczki w zakresie imienia, nazwiska, adresu miejsca wykonywania pracy oraz numeru telefonu. Spółka przetwarza dane osobowe Uczestniczki od momentu rozpoczęcia przez nią działalności w lipcu 2018 r. (dowody: oględziny strony internetowej dostępnej pod adresem URL: [...] : [...] maja 2023 r.]; pismo Spółki z [...] kwietnia 2022 r.).
4. Uczestniczka postępowania [...] lipca 2021 r. zwróciła się do Spółki
z żądaniem usunięcia jej danych osobowych z portalu [...] (dowody: skarga z [...] września 2021 r.; wiadomość e-mail Uczestniczki do Spółki
z [...] lipca 2021 r.; pismo Spółki z [...] września 2021 r.).
5. Spółka w wiadomości e-mail z [...] lipca 2021 r. odmówiła spełnienia żądania Uczestniczki powołując się na art. 17 ust. 3 lit a rozporządzenia 2016/679, tj. sytuację, w której prawo osoby, której dane dotyczą do żądania usunięcia danych nie ma zastosowania, gdy przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji (dowody: skarga z [...] września 2021 r.; wiadomość e-mail od Spółki do Uczestniczki z [...] lipca 2021 r.).
6. Uczestniczka zwracała się do Spółki z żądaniem usunięcia dotyczących jej danych osobowych również w dniach [...] lipca 2021 r. i [...] lipca 2021 r. (dowód: pismo Spółki z [...] września 2021 r.).
7. W związku z podjęciem kontaktu przez Uczestniczkę, Spółka udzielając odpowiedzi w wiadomości e-mail z [...] lipca 2021 r. przekazała Uczestniczce klauzulę informacyjną. "W jej treści wskazano na prawa podmiotu danych zarówno do wniesienia sprzeciwu wobec przetwarzania jej danych w oparciu o uzasadniony interes Administratora jak i prawo do wniesienia skargi na przetwarzanie do Organu nadzorczego". Na stronie internetowej dostępnej pod adresem URL: [...] Spółka informuje o możliwości złożenia sprzeciwu wobec przetwarzania danych osobowych, jeżeli osoba, której dane dotyczą uważa, że jej szczególnie uzasadniony interes sprzeciwia się takiemu przetwarzaniu. Spółka wskazuje, że sprzeciw taki musi być uzasadniony, a w jego treści musi zostać opisane na czym polega interes osoby, której dane dotyczą w usunięciu danych osobowych i dlaczego uważa ona, że tenże interes jest nadrzędny wobec interesu Spółki (dowody: pismo Spółki z [...] kwietnia 2022 r.; oględziny strony internetowej dostępnej pod adresem URL: [...] [dostęp: [...] maja 2023 r.]).
8. Spółka, udzielając dodatkowych wyjaśnień, podniosła, że przed przystąpieniem do przetwarzania danych w oparciu o swój uzasadniony interes, wykonała test równowagi, polegający na rozważeniu interesów podmiotów danych
i interesu Spółki, ustaleniu czy Spółka może osiągnąć swój cel w inny sposób. Po ustaleniu ww. okoliczności Spółka wyważyła, czyjej uzasadniony interes jest nadrzędny wobec interesu podmiotu danych. Zdaniem Spółki ocena ta doprowadziła do wniosku, że jej interes - "zarówno interes ekonomiczny i gospodarczy, jakim jest przyciągnięcie jak największej ilości podmiotów na stronę portalu [...], jak i interes społeczny, przejawiający się w umożliwieniu świadczeńiobiorcom jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia - jest nadrzędny wobec praw świadczeniodawców" (dowód: pismo Spółki
z [...] kwietnia 2022 r.).
9. Spółka świadczy usługi informacyjne dotyczące zakładów opieki zdrowotnej, świadczeniodawców, lekarzy oraz innych podmiotów związanych
z usługami medycznymi, zwanych dalej: Podmiotami, a w szczególności: usługi
w zakresie informowania o Podmiotach, w szczególności: o nazwie, adresie, zakresie świadczonych usług, godzinach pracy i lokalizacji, rozpowszechniania tekstów informacyjnych w szczególności o tematyce związanej z ochroną zdrowia, organizacji medycyny, zasad świadczenia usług medycznych i podobnych, usługi w zakresie wyrażania przez Usługobiorców publicznych opinii o Podmiotach oraz o tekstach określonych powyżej. Usługobiorcą może być każda osoba fizyczna. Ponadto Spółka świadczy usługi na rzecz usługobiorców bez ich konieczności rejestracji w serwisie internetowym (dowód: Regulamin serwisu internetowego "[...]", dostępny pod adresem URL [...] [dostęp: [...] maja 2023 r.], zwany dalej: Regulaminem, § 2 ust. 1-3).
10. Usługobiorcy mogą w serwisie internetowym https [...] wyrażać publiczne opinie o działalności Podmiotów oraz o opublikowanych artykułach. Wypowiedzi Usługobiorców są powszechnie dostępne w Serwisie. Inni Usługobiorcy mogą komentować wypowiedzi Usługobiorcy. Spółka nie sprawdza treści pochodzących od Usługobiorców przed ich rozpowszechnieniem, ani też po rozpowszechnieniu. Spółka nie zapewnia, że publikowane opinie dotyczące produktów lub usług, pochodzą od osób, które faktycznie z nich korzystały (dowód: Regulamin, § 7 ust. 1-3 i 5).
Po dokonaniu analizy materiału dowodowego zgromadzonego w sprawie, UODO wydał decyzję z [...] września 2023 r., mocą której nakazał Skarżącej spełnienie żądania Uczestniczki, wynikającego z prawa przysługującego jej na mocy art. 17 ust. 1 rozporządzenia 2016/679, poprzez usunięcie dotyczących jej danych osobowych w zakresie: imienia, nazwiska, adresu miejsca wykonywania działalności oraz numeru telefonu, przetwarzanych za pośrednictwem strony internetowej dostępnej pod adresem URL: [...] W uzasadnieniu decyzji Organ przedstawił szczegółowe rozważania.
Skarżąca, złożyła skargę do Wojewódzkiego Sądu Administracyjnego
w Warszawie (dalej: WSA) , w której zakwestionowała wyrażone w decyzji stanowisko organu i zarzuciła zaskarżanej decyzji naruszenie:
1. przepisów postępowania, mające istotny wpływ na wynik sprawy:
1) art. 7, art. 77 § 1 k.p.a. oraz art. 9 k.p.a. w zw. z art. 7 ust. 1 ustawy
o ochronie danych osobowych poprzez jednostronne, nieobiektywne i nie wyczerpujące zebranie materiału dowodowego sprawy, tj.:
a) pominięcie przedłożonych przez Spółkę wyjaśnień i testu równowagi przy ustalaniu okoliczności stanu faktycznego sprawy, względnie jednostronną ich analizę pod kątem potwierdzenia przyjętych przez organ założeń,
b) zaniechanie wezwania Spółki do wyjaśnienia kwestii, w ocenie organu, niedostatecznie wyjaśnionych, co spowodowało, że Spółka dopiero z decyzji dowiedziała się, że organ co do pewnych kwestii ma wątpliwości lub uznaje je za niedostatecznie przez Spółkę wyjaśnione,
c) przyjęcie, że Spółka nie weryfikuje w żaden sposób wyrażanych opinii, pomimo że zgodnie z treścią Regulaminu Spółka weryfikuje opinie co najmniej
w przypadkach określonych w § 7 pkt 4 w zw. z § 6 pkt 4 Regulaminu, tj. w razie powzięcia urzędowej lub wiarygodnej informacji o bezprawnym charakterze tych danych,
d) pominięcie podczas analizy Regulaminu obowiązków określonych w § 5 Regulaminu, dotyczących m.in. zakazu publikowania treści bezprawnych, a zatem również treści w bezprawny sposób naruszających dobre imię lub dobra osobiste osób trzecich, które w powiązaniu z prawem Spółki do usuwania treści bezprawnych, opisanym w § 6 pkt 4 i 7 pkt 4 Regulaminu zabezpieczają prawa osób, których dane są przetwarzane w serwisie,
e) skupienie się w toku postępowania na ochronie prywatności osoby, której dane dotyczą i na hipotetycznych na tym etapie ryzykach, które mogą się - lecz nie muszą - zmaterializować w przyszłości w postaci negatywnych opinii w serwisie, pomijając całkowicie wielokrotnie podnoszony przez Spółkę, aktualny problem poszanowania praw osób trzecich dostępu do informacji, w tym informacji o fakcie wykonywania zawodu zaufania publicznego;
2. art. 8 ust. 2 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez nieuzasadnione odstąpienie od przyjętej uprzednio zasady akceptacji ekonomicznego interesu administratora jako wystarczająco uzasadniającego przetwarzanie w oparciu o przesłankę legalizującą z art. 6 ust. 1 lit. f rozporządzenia 2016/679;
3. art. 80 k.p.a. oraz art. 8 i 9 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez przekroczenie granic swobodnej oceny dowodów
i nieuprawnione przyjęcie, że:
a) nie występuje przesłanka legalizująca przetwarzanie w oparciu
o uzasadniony interes wobec jej niewykazania pomimo wcześniejszego stwierdzenia przez organ występowania uzasadnionego interesu Spółki (administratora) i osób trzecich, co jest logicznie sprzeczne, skoro bowiem organ stwierdza, że interes występuje, to jak może jednocześnie stwierdzać, że nie występuje (bo nie został rzekomo wykazany),
b) przetwarzanie przez Spółkę nie opiera się na żadnej z przesłanek legalizujących, wskazanych przez Spółkę, bowiem Spółka nie wykazała ich istnienia, pomimo że Spółka przedłożyła wyczerpujące wyjaśnienia i dowody na ich poparcie (szczegółowy test równowagi), które organ całkowicie pominął,
c) Spółka w żaden sposób nie weryfikuje zamieszczanych opinii (str. 11 decyzji) - wbrew treści Regulaminu - przy jednoczesnym stwierdzeniu organu, że stanowisko Spółki stanowi "ingerencję w prawa osób prowadzących między innymi działalność gospodarczą związaną z medycyną poprzez autoryzację komentarzy (str. 13 decyzji), co ponownie jest logicznie sprzeczne, bowiem organ twierdzi jednocześnie, że Spółka nie weryfikuje zamieszczanych treści, a jednocześnie dokonuje autoryzacji,
d) Spółka "nie zapewniła] Skarżącej (pani T. - dopisek Skarżącej) możliwości ustosunkowania się do zamieszczonych komentarzy oraz oceny dotyczących świadczonych przez nią usług" (str. 12 decyzji) podczas gdy pani T., na równych prawach co każdy inny użytkownik serwisu, ma możliwość zamieszczania opinii i komentarzy, może zatem ustosunkować się każdorazowo do wystawianej opinii,
e) osoba, której dane dotyczą zgłosiła sprzeciw, mogący stanowić podstawę do żądania usunięcia danych, choć osoba ta nie przedstawiła swojej szczególnej sytuacji, mającej uzasadniać usunięcie jej danych,
f) opinie w serwisie zmierzają do oceny osób, nie usług, choć wniosek taki jest nieuprawniony w świetle specyfiki wykonywanego zawodu lekarza i wpływu cech osobowościowych na sposób jego wykonywania - pomimo że ciężar dowodzenia w postępowaniu administracyjnym co do zasady spoczywa na organie, która to zasada nabiera szczególnie istotnego charakteru w postępowaniu jednoinstancyjnym;
4. art. 107 § 1 pkt 1 i 6 oraz § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy
o ochronie danych osobowych poprzez sporządzenie uzasadnienia, niezgodnego
z ww. przepisami tj.:
a) wewnętrznie sprzecznego w zakresie stwierdzenia istnienia
i jednoczesnego niewykazania uzasadnionego interesu, jak również w zakresie uznania braku weryfikacji opinii i jednoczesnej ich autoryzacji,
b) uzasadnienia, w którym nie odniesiono się do większości przedstawionych przez Spółkę wyjaśnień i dowodów, w którym nie wyjaśniono, dlaczego przedstawionym przez Spółkę twierdzeniom i wyjaśnieniom organ odmówił wiarygodności (zwłaszcza tam, gdzie Spółka szeroko opisywała realizowany
w przetwarzaniu interes), dlaczego uznał je za niewystarczające,
c) uzasadnienia, w którym postawione wnioski nie dają się powiązać logicznie z przytoczonymi przepisami, orzeczeniami, fragmentami monografii, jak również z realiami stanu faktycznego niniejszej, konkretnej sprawy,
d) uzasadnienia, w którym uzasadnienie stanu faktycznego i podstawy prawnej w przeważającej mierze zastąpiono fragmentami wcześniejszych decyzji organu, skierowanych do Spółki, w całkowicie odmiennych stanach faktycznych;
5. art. 107 § 1 pkt 4 k.p.a. w zw. z art. 8 k.p.a. oraz z art. 7 ust. 1 ustawy
o ochronie danych osobowych poprzez niewskazanie w treści decyzji konkretnej podstawy prawnej wydanego rozstrzygnięcia, bowiem ogólnikowe wskazanie art. 6 ust. 1 rozporządzenia 2016/679 za wystarczającą podstawę uznane być nie może.
Zdaniem Skarżącej Spółki, powyższe naruszenia skutkowały przyjęciem, że zachodzą przesłanki do uwzględnienia żądania usunięcia wszystkich danych osobowych osoby, której dane dotyczą (uczestniczki postępowania) i w konsekwencji do błędnego zastosowania art. 58 ust. 2 rozporządzenia 2016/679.
Ponadto Spółka zarzuciła organowi naruszenie przepisów prawa materialnego:
1. art. 47 Konstytucji RP poprzez błędną wykładnię i przyjęcie, że prawo do prywatności osoby fizycznej obejmuje również powszechnie dostępne informacje o fakcie wykonywania działalności gospodarczej przez określoną osobę;
2. art. 54 ust. 1 i 2 w zw. z art. 31 ust. 3 Konstytucji Rzeczpospolitej Polskiej poprzez ich niezastosowanie podczas gdy automatyzm w usuwaniu wszystkich danych osób, w razie zgłoszenia sprzeciwu, bez względu choćby na fakt, że sprzeciw nie zawiera żadnego uzasadnienia wyjątkowej sytuacji sprzeciwiającego się, zmierza do ograniczenia praw do pozyskiwania i rozpowszechniania informacji
w sposób niedający się pogodzić z dyrektywami art. 31 ust. 3 Konstytucji RP;
3. art. 6 ust. 1 lit f rozporządzenia 2016/679 poprzez błędną wykładnię pojęcia uzasadnionego interesu, prowadzącą do przyjęcia, że własne interesy ekonomiczno-gospodarcze Administratora, oparte na oczekiwaniach społecznych zapewnienia dostępu do informacji o osobach wykonujących określoną działalność zawodową nie stanowią prawnie uzasadnionych interesów w przetwarzaniu danych,
4. art. 17 ust 3a w zw. z art. 17 ust. 1 pkt d rozporządzenia 2016/679 poprzez ich niezastosowanie podczas gdy prawo osób trzecich dostępu do informacji o fakcie prowadzenia działalności zawodowej stanowi realizację prawa osób dostępu do informacji;
5. art. 21 ust 1 rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie w sytuacji, w której osoba, której dane dotyczą nie wskazała w treści żądania żadnych okoliczności, wskazujących na jej szczególną sytuację, mającą uzasadniać sprzeciw.
W ocenie Skarżącej, skutkiem naruszeń przepisów prawa materialnego było:
1. błędne przyjęcie, że przetwarzanie danych osoby, której dane dotyczą jest niezgodne z prawem, bowiem opisywany przez Spółkę interes nie został wykazany (mimo że organ stwierdził dwukrotnie w uzasadnieniu decyzji, że opisywane przez Spółkę interesy stanowią uzasadniony interes);
2. nieustalenie, czy zgłoszone żądanie stanowiło uzasadniony sprzeciw, pomimo że pismo Uczestniczki nie zawierało żadnych informacji wskazujących na jej szczególną sytuację;
3. nieustalenie, że w sprawie występowały negatywne przesłanki pozwalające na odmowę uwzględnienia przez Spółkę żądania usunięcia danych.
W uzasadnieniu skargi rozwinięto argumentację.
Mając na uwadze powyższe, pełnomocnik Skarżącej wniósł o uchylenie zaskarżonej decyzji w całości na podstawie art. 145 § 1 pkt 1 lit. a p.p.s.a.,
z jednoczesnym wskazaniem sposobu załatwienia sprawy zgodnie z art. 145a § 1 p.p.s.a. oraz rozstrzygnięcie o kosztach, w tym zastępstwa radcy prawnego, według norm przepisanych, a ponadto rozpoznanie sprawy w postępowaniu uproszczonym.
W odpowiedzi na skargę Organ podtrzymał stanowisko wyrażone
w zaskarżonej decyzji z [...] września 2023 r.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie zasługuje na uwzględnienie.
Przedmiotem skargi jest decyzja organu z dnia [...] września 2023 r.
w przedmiocie nieprawidłowości w procesie przetwarzania przez Skarżącą danych osobowych Uczestniczki i nakazania Skarżącej usunięcie danych osobowych Uczestniczki w zakresie opisanym decyzji.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tj. z dnia 2 grudnia 2022 r., Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających
z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym
i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tj. z dnia 8 lutego 2023r., Dz. U. z 2023 r., poz. 259 -zwaną dalej P.p.s.a.").
Podnieść należy, że zgodnie z art. 5 ust. 1 lit a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
W ocenie Sądu zgodność przetwarzania (w tym udostępniania) z prawem danych osobowych jest uwarunkowana wystąpieniem jednej z przesłanek legalizujących proces przetwarzania danych osobowych, o których mowa w art. 6 ust. 1 RODO. W świetle powołanego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W ocenie Sądu sprawie istotne jest to czy Spółka, która pozyskała wymienione w sentencji decyzji dane osobowe uczestnika postępowania (lekarza udzielającego świadczeń w ramach systemu publicznej opieki zdrowotnej)
z ogólnopolskiego Rejestru Praktyk Zawodowych prowadzonego przez Centrum
[...], Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Narodowego Funduszu Zdrowia - uprawniona była do przetwarzania tychże danych na prowadzonym przez nią ogólnodostępnym portalu [...] w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO. W toku postępowania przed organem, jako cel publikacji (przetwarzania) danych na ww. portalu Spółka określiła jako "informowanie jak najszerszego kręgu potencjalnych świadczeniobiorców
o usługach świadczonych w ramach publicznej opieki zdrowotnej". Spółka podnosiła, że "stworzenie wiarygodnego informatora wymaga przetwarzania kompletnych danych o lekarzach"
Wskazać należy, że tworzenie powołanych wyżej rejestrów publicznych regulowane jest odpowiednimi aktami prawnymi, które stanowią podstawę do przetwarzania danych w zakresie w nich wskazanym. Rejestry takie tworzone są przez uprawnione organy państwowe, z których to rejestrów mogą korzystać inne podmioty. Rejestr praktyk zawodowych lekarzy stanowi część elektronicznego Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL), uregulowanego przepisami Działu IV ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2023 r. poz. 991 ze zm.). Zamieszczenie danych osobowych lekarzy w tego rodzaju rejestrze nie oznacza jednak, że inne podmioty korzystając z danych osobowych zawartych w tych rejestrach są wolne od poszanowania praw osób, których dane taki rejestr zawiera, tylko z uwagi na fakt, że dane te zostały w takim rejestrze upublicznione. Ponadto, co istotne, tylko taki publiczny rejestr pełni zarówno funkcję informacyjną, jak też ochronną (por. Wyrok WSA w Warszawie z dnia
4 lutego 2019 r. II SA/Wa 1129/18, z dnia 2 sierpnia 2018 r., sygn. akt II SA/Wa 1997/17, publ. CBOSA).
Podkreślenia też wymaga, że prowadzony przez Spółkę portal [...] nie jest wyłącznie prostym powtórzeniem treści Rejestru Praktyk Zawodowych prowadzonego przez Centrum [...], CEDiG i NFZ. Użytkownicy tego portalu mogą bowiem zamieszczać komentarze przy wpisach dotyczących poszczególnych lekarzy, co prowadzi do stworzenia swoistego "rankingu" lekarzy. Zatem Spółka nie wykorzystywała danych osobowych uczestnika podstępowania wyłącznie w celu świadczenia na rzecz użytkowników serwisu internetowego usług informacyjnych w zakresie danych ogólnodostępnych w rejestrach (każdy lekarz posiadający prawo wykonywania zawodu podlega wpisowi do rejestru prowadzonego przez właściwą okręgowa radę lekarską - art. 8 ust. 1 ustawy o zawodach lekarza
i lekarza dentysty), lecz w głównej mierze w celu wyrażania przez użytkowników (usługobiorców) opinii o samym lekarzu, jakości świadczonej usługi, zaangażowaniu, wiedzy z zakresu zdobytej specjalności. Wskazuje na to § 2 Regulaminu serwisu internetowego "[...]", zgodnie z którym usługodawca świadczy usługi informacyjne dotyczące zakładów opieki zdrowotnej świadczeniodawców, lekarzy oraz innych podmiotów związanych z usługami medycznymi (dalej zwanych: "Podmiotami), w szczególności: usługi w zakresie wyrażania przez usługobiorców publicznych opinii o podmiotach oraz o tekstach określonych w pkt 2 (k. 24 - 28 akt admin.).
Zgodnie z art. 4 pkt 1 RODO "dane osobowe" to wszelkie informacje
o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przepis art. 30 Konstytucji RP stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Przepis art. 47 Konstytucji RP zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, a także dobrego imienia.
Z treści motywu 14 RODO wynika, że "ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych - niezależnie od ich obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej". Z kolei motyw 26 RODO wskazuje, że "Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji
o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (...)".
W konsekwencji stwierdzić należy, że trafne jest stanowisko organu, zgodnie z którym dane osób fizycznych, będących przedsiębiorcami, w tym dane dotyczące prowadzonej przez te osoby działalności gospodarczej (dane dotyczące sfery zawodowej), stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania przepisów tego aktu. W konsekwencji stwierdzić też należy, że to na administratorze danych (którym w tej sprawie jest Spółka) spoczywał obowiązek wykazania przetwarzania danych osobowych uczestnika postępowania
(w zakresie imienia, nazwiska, numeru PWZ, numeru NIP, adresu miejsca wykonywania działalności oraz numeru telefonu) zgodnie z prawem.
Spółka jako podstawę przetwarzania danych osobowych uczestnika postępowania wskazała art. 6 ust. 1 lit. f RODO. Wskazana przesłanka stanowi przejaw uznania przez ustawodawcę unijnego, że mogą wystąpić przypadki, gdy administrator nie może powołać się na zgodę podmiotu danych, obowiązek prawny ciążący na administratorze czy też realizację umowy, a mimo to powinien mieć możliwość przetwarzania danych z uwagi na "prawnie uzasadniony interes". Przyjmuje się, że prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji, gdy przepisy te nie regulują dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do realizacji którego przetwarzanie danych jest potrzebne. Prawnie uzasadniony interes stanowi odpowiednik używanego wcześniej przez polskiego prawodawcę określenia prawnie usprawiedliwionego celu, i mimo pewnych wątpliwości należy przyjąć, że pojęcia te są równoważne (v. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 (...) [w:] Ogólne rozporządzenie
o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", WKP 2022).
Trafnie organ zauważa w zaskarżonej decyzji, co czyni nieuzasadnionym zarzut skargi dotyczący błędnej wykładni ww. przepisu, że prawnie uzasadniony interes nie powinien być rozumiany wąsko, jedynie jako interes wprost wynikający
z przepisu prawa (przyznającego podmiotowi określone uprawnienie). Pojęcie to należy interpretować szerzej, jako różnego rodzaju interes, który znajduje swoje uzasadnienie w przepisach. Może być to zatem interes faktyczny, gospodarczy lub prawny, ale taki, który jest zgodny z prawem. Prawodawca unijny w motywie 47 i 49 RODO, jako przykłady tego typu interesów wskazał: marketing bezpośredni, zapobieganie oszustwom, czy zapewnienie bezpieczeństwa usług oferowanych lub udostępnianych poprzez sieci i systemy.
W motywie 47 RODO wskazuje się, że "podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach
z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania".
Zdaniem Sądu w niniejszej sprawie Spółka nie wykazała, że legitymuje się tak rozumianym "prawnie uzasadnionym interesem". Z wyjaśnień udzielonych przez Spółkę w toku postępowania nie wynika, aby między nią a uczestnikiem postępowania istniały jakiekolwiek powiązania. Uczestnik postępowania nie jest klientem Spółki, nie działał też na rzecz Spółki. Z akt sprawy nie wynika, aby miał on inne, rozsądne przesłanki aby spodziewać się, że jego dane osobowe mogą być przetwarzane przez Spółkę.
Jako prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO Spółka wskazywała interes ekonomiczno-gospodarczy - prowadzenie portalu
w ramach działalności informacyjnej Spółki i zwiększenie odwiedzin strony internetowej [...] (k. 24 akt admin.) oraz społeczny - umożliwienie usługobiorcom jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia. Odnosząc się do powyższego Sąd podziela stanowisko organu, że w wyjaśnieniach Spółki dotyczących interesu ekonomiczno-gospodarczego brak jest informacji odnośnie korzyści jakie osiąga ona w związku
z prowadzeniem działalności gospodarczej. Wyjaśnienia Spółki dotyczą jedynie sposobu realizacji tego interesu.
Odnosząc się do zarzutów pełnomocnika Skarżącej, wskazać należy, że
w niniejszej sprawie w celu zweryfikowania zarzutów Uczestniczki względem Spółki, organ zgromadził pełny materiał dowodowy i dokonał jego oceny w sposób rzetelny
i wyczerpujący w zgodzie z zasadą wynikającą z art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tj. Dz. U. z 2023 r. poz. 775 ze zm.), zwanej dalej: k.p.a., a wyniki tej oceny znalazły odzwierciedlenie
w uzasadnieniu decyzji. Zdaniem Sądu Prezes UODO, korzystając z instrumentów prawnych określonych wart. 58 ust. 1 lit. a i lit. e rozporządzenia 2016/679 oraz k.p.a., wtoku postępowania w sprawie o sygnaturze [...] zwrócił się do Spółki o złożenie pisemnych wyjaśnień oraz potwierdzających je dowodów w sprawie przedstawionej w ww. skardze. Sposób działania organu ochrony danych osobowych był zdeterminowany spoczywającym na nim, na mocy art. 77 § 1 k.p.a., obowiązkiem wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego. Wydanie decyzji administracyjnej w sprawie należącej do właściwości Prezesa UODO musiało być poprzedzone dokładnym zbadaniem jej okoliczności faktycznych oraz zebraniem niezbędnego i wystarczającego oraz wewnętrznie spójnego materiału dowodowego.
Wobec powyższego tym miejscu Sąd stwierdza, że nieuzasadnione są zarzuty skargi dotyczące naruszenia art. 7, art. 77 § 1 w związku z art. 8 i art. 9 k.p.a. oraz
w związku z art. 7 u.o.d.o., polegające na tym, że organ nie wezwał Spółki do przedstawienia dodatkowych wyjaśnień i dowodów w zakresie wskazanym powyżej. Z akt sprawy wynika, że na podstawie art. 58 ust. 1 RODO, organ zwrócił się Spółki
o złożenie wyjaśnień oraz o przedłożenie dowodów na ich potwierdzenie. Należy zauważyć, że Organ zwrócił się do Spółki zarówno o ustosunkowanie się do treści skargi uczestnika postępowania, jak i o złożenie wyjaśnień w odniesieniu do poszczególnych zagadnień wymienionych w wezwaniu, w tym na jakiej podstawie prawnej, w jaki celu oraz w jakim zakresie Spółka przetwarza dane osobowe uczestnika postępowania. Organ pozostawił Spółce pełną swobodę w zakresie udzielenia odpowiedzi na wezwanie, nie ograniczając jej w żaden sposób prawa do przedstawienia wszelkich okoliczności dotyczących skargi. Sposób udzielenia odpowiedzi i zakres przekazanych przez Spółkę wyjaśnień, które następnie zostały przez organ należycie rozpatrzone, nie może skutkować uznaniem, że organ dopuścił się naruszenia ww. przepisów postępowania i to w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.). Organ rozstrzygając sprawę poddaną jego ocenie oparł się na wyjaśnieniach oraz dowodach przekazanych przez uczestnika postępowania oraz Spółkę, a także materiałach udostępnianych przez Spółkę na jej stronie internetowej. Ustalony przez organ stan faktyczny sprawy był wystarczający do podjęcia rozstrzygnięcia w sprawie.
Organ zapewnił Spółce czyny udział w postępowaniu zgodnie z art. 10 k.p.a. Jak trafnie ustalił organ, odwołując się do poglądów ETPCz oraz Trybunału Konstytucyjnego, wskazany przez Spółkę społeczny interes usługobiorców, polegający na umożliwieniu im uzyskania jak najszerszej informacji o usługach świadczonych w ramach publicznej służby zdrowia - stanowi prawnie uzasadniony interes. Prawidłowo również stwierdził, że w okolicznościach niniejszej sprawy przetwarzanie danych osobowych uczestnika postępowania (w formule przewidzianej w Regulaminie Serwisu [...]) nie jest niezbędne do celów wynikających z prawnie uzasadnionego interesu Spółki, a ponadto, że interes uczestnika postępowania, jakim jest zapewnienie ochrony jego danych osobowych, przewyższa interes Spółki jakim jest publikowanie danych osobowych uczestnika na portalu [...].
Podkreślenia wymaga, że przesłanka dopuszczalności przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO nie ma charakteru bezwarunkowego - jest skonstruowana jako mechanizm ważenia interesów. Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub strony trzeciej),
a na drugiej - wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej.
Taka właśnie sytuacja zaistniała w kontrolowanej sprawie. Spółka koncentrując się na realizacji własnych celów związanych z prowadzoną działalnością gospodarczą błędnie przyjęła, iż jest legitymowana do przetwarzania danych osoby wykonującej zawód zaufania publicznego. Słusznie zatem organ ochrony danych osobowych zwrócił uwagę na konieczność uwzględnienia interesu uczestnika postępowania, a w konsekwencji nakazania Spółce spełnienia jego żądania (art. 17 ust. 1 lit. d RODO) w zakresie usunięcia jego danych osobowych przetwarzanych za pośrednictwem, ww. strony internetowej.
Uczestniczka postępowania, jako lekarz udzielający świadczeń w ramach publicznej opieki zdrowotnej, wykonuje zawód zaufania publicznego. Wykonywanie zawodu publicznego nie pozbawia takiej osoby ochrony jej praw obywatelskich. Zgodnie z art. 47 Konstytucji RP każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Podstawowe znaczenie w tym zakresie mają właśnie przepisy o ochronie danych osobowych, gdyż dotyczą one sfery ochrony prywatności określonej osoby
w zakresie przetwarzania informacji o niej (por. wyroki NSA: z dnia 18 listopada 2009 r., sygn. akt I OSK 667/09, z dnia 28 stycznia 2008 r. sygn. akt I OSK1365/06; publ. CBOSA). Celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (wyrok NSA
z dnia 30 marca 2006 r., sygn. akt I OSK 628/05, publ. LEX nr 198299; uchwała w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05; publ. CBOSA).
W sprawie niniejszej ważny jest kontekst celu przetwarzania danych osobowych osoby wykonującej zawód zaufania publicznego. Jak już wyżej podniesiono, Spółka nie wykorzystywała danych osobowych uczestnika podstępowania jedynie w celu informowania użytkowników serwisu internetowego
o osobie lekarza w zakresie informacji ogólnodostępnych w rejestrach, lecz
w głównej mierze w celu wyrażania przez użytkowników opinii o lekarzu.
Prawidłowo w tym względzie organ odwołał się do postanowień Regulaminu serwisu internetowego "[...]" akcentując asymetrię stosunku sił pomiędzy uczestnikiem postępowania, a usługobiorcami serwisu publikującymi opinie i komentarze na jego temat, bez konieczności ich rejestracji w Serwisie. Kluczowe w tym zakresie pozostają powołane w części sprawozdawczej uzasadnienia zapisy § 6 i § 7 Regulaminu. Trafnie również organ wywiódł, że w świetle postanowień Regulaminu lekarz ("podmiot", "świadczeniodawca" w rozumieniu § 2 Regulaminu) nie ma realnej możliwości ustosunkowania się do wyrażanych opinii i dodawanych komentarzy "na tych samych zasadach" co komentujący ("usługobiorcy"), tak z uwagi na brak adekwatnych regulacji przewidzianych w Regulaminie, które zapewniałyby efektywną "równość" w tym zakresie, jak i ze względu na związanie tajemnicą zawodową. Już sama idea i formuła działalności prowadzonego przez Spółkę portalu internetowego opiera się na postawieniu jednej osoby w roli oceniającego, a drugiej, jako ocenianego. Przyjęcie takiego rozwiązania wprost świadczy o braku równości pomiędzy ww. podmiotami i prowadzi do zniekształcenia korzystania z prawa do wolności wypowiedzi i informacji.
Bez istotnego wpływu na tę ocenę pozostają zarzuty skargi, iż organ nie rozważył pozostałych zapisów Regulaminu (usługobiorcą może być każda osoba fizyczna - § 2 ust. 2; każdy usługobiorca korzystający z usług świadczonych
w serwisie powinien: przestrzegać obowiązujących przepisów prawa (...); szanować godność oraz dobra osobiste osób trzecich - § 5 ust. 1; usługobiorca nie może dostarczać, rozpowszechniać lub przechowywać w Serwisie treści bezprawnych (...) bądź treści naruszających dobre obyczaje - § 5 ust. 2; usługodawca może uniemożliwić dostęp do danych (opinii) rozpowszechnianych przez usługobiorcę, jeżeli poweźmie urzędową lub wiarygodną informację o bezprawnym charakterze tych danych - § 7 pkt 4 w związku z § 6 pkt 4; każdy usługobiorca ma prawo wniesienia reklamacji w razie uznania, że sposób świadczenia usługi elektronicznej jest niewłaściwy, w tym gdy ma zastrzeżenia do jakości usług lub działalności Serwisu - § 9 pkt 1) oraz treści zakładki "pomoc dla świadczeniodawcy" w punkcie "Nie podobają mi się opinie umieszczone pod moją przychodnią. Czy możecie je skasować?", gdzie wskazano m.in., jakie elementy powinno zawierać zgłoszenie usunięcia opinii, m.in. "szczegółowe uzasadnienie odnoszące się do komentarzy,
a nawet poszczególnych zdań" (k. 25 akt admin.).
Zapisy te, mające charakter generalny i pozorny, nie zapewniają należytej ochrony podmiotowi danych (świadczeniodawcy) - w niniejszej sprawie lekarzowi zobowiązanemu do zachowania tajemnicy zawodowej, którego nie można przecież utożsamiać z "usługobiorcą" (§ 2 ust. 2 i kolejne ww. postanowienia Regulaminu dotyczą przecież usługobiorców). Co istotne, o fakcie posługiwania się danymi osobowymi przez Spółkę, a także o komentarzach i ocenach (pozytywnych bądź negatywnych) zainteresowany lekarz może nie mieć wiedzy lub powziąć wiedzę
w dłuższej perspektywie czasowej. W związku z tym możliwość ustosunkowania się do opublikowanych opinii "w drodze kolejnego wpisu" - jak podnosi Spółka w skardze - jest w praktyce iluzoryczna i w istocie nieskuteczna. W tej sytuacji dobra osobiste lekarza jak: cześć, wizerunek (art. 23 Kodeksu cywilnego) - pojmowane powszechnie jako dobre imię, reputacja zawodowa - mogą doznać poważnego uszczerbku, zaś lekarz nie ma realnej możliwości ich prawnej ochrony. Wskazywana przez Spółkę możliwość dochodzenia przez lekarza praw przed sądem cywilnym poprzez składanie pozwu o naruszenie dóbr osobistych, jako okoliczność, która miałaby uzasadniać zgodność z prawem przetwarzania danych osobowych, nie stanowi wystarczającego zabezpieczenia interesów lekarza. Oczywistym jest, że publiczne udostępnianie informacji potencjalnie naruszających dobra osobiste osiąga swój efekt już w chwili publikacji takich treści, zaś proces ewentualnej odbudowy "szkód na wizerunku" jest długotrwały i stanowiłby dodatkowe utrudnienia dla osoby poszkodowanej.
Odnośnie zarzutu skargi, iż zaskarżona decyzja nie odnosi się do treści opinii opublikowanych o uczestniku postępowania, Sąd zauważa, że organ rozstrzygał
o przetwarzaniu danych osobowych uczestnika w zakresie imienia i nazwiska, numeru PWZ, numeru NIP, adresu wykonywania działalności oraz numeru telefonu. Przedmiot oceny organu był zakreślony przedmiotem skargi uczestnika postępowania (przetwarzanie danych osobowych pomimo zgłoszenia żądania ich usunięcia). Organ nie oceniał zatem ile i jakie w swej treści komentarze (pozytywne czy negatywne) znalazły się przy wpisie dotyczącym uczestnika postępowania. Organ oceniał natomiast, czy przetwarzanie ww. danych osobowych uczestnika przez Spółkę, w celach wskazanych przez Spółkę w związku z postanowieniami m.in. Regulaminu Serwisu, było uprawione w świetle przesłanki określonej w art. 6 ust. 1 lit. f RODO.
Uwzględniając wszystko powyższe stwierdzić należy, że uprawnione jest stanowisko organu, zgodnie z którym w okolicznościach faktycznych sprawy występuje znacząca dysproporcja pomiędzy prawnie uzasadnionym interesem Spółki, a dobrami uczestnika postępowania, ze wskazaniem na faworyzowanie jednej ze stron - Spółki. To ona bowiem jednostronnie decyduje o sposobie przetwarzania danych osobowych uczestnika postępowania, choć nie wytworzyła istotnego
i odpowiedniego rodzaju powiązania między osobą, której dane dotyczą,
a administratorem danych (motyw 47 RODO).
W tym miejscu należy odwołać się do wyroku Trybunału Sprawiedliwości
z dnia 4 lipca 2023 r., sygn. C-252/21 (publ. www.eur-lex.europa.eu), który wskazał: "Art. 6 ust. 1 akapit pierwszy lit. f ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.
W analizowanym przypadku Spółka nie wykazała niezbędności przetwarzania danych oraz prymatu prawnie uzasadnionego interesu administratora danych nad podstawowymi prawami i wolnościami uczestnika postępowania. Co więcej, błędnie oceniła swój interes jako nadrzędny wobec interesów uczestnika postępowania, na co wskazuje tak klauzula informacyjna (k. 8 akt admin.), jak i powołany przez organ
w decyzji test równowagi. Oznacza to, że Spółka nie legitymowała się przesłanką legalizującą przetwarzanie danych określoną w art. 6 ust. 1 lit. f RODO. Zaś przetwarzając dane osobowe uczestnika postępowania w portalu [...], pomimo zgłoszenia żądania usunięcia danych w dniu [...] listopada 2022 r. (k. 7 akt admin.), naruszyła art. 17 ust. 1 RODO. Nie dopełniła bowiem obowiązku usunięcia danych osobowych bez zbędnej zwłoki w sytuacji, gdy dane te były przetwarzane niezgodnie z prawem (art. 17 ust. 1 lit. d RODO).
Organ nie dopuścił się naruszenia przepisów postępowania administracyjnego, tj. art. art. 7, art. 77 § 1 i § 4 k.p.a. oraz art. 8 i art. 9 k.p.a. związku z art. 7 ust. 1 u.o.d.o., w stopniu mogącym mieć istotny wpływ na wynik sprawy. Organ w sposób wystarczający dla rozstrzygnięcia niniejszej sprawy zebrał
i ocenił niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była wybiórcza, czy dowolna.
Jak już wyżej wskazano, nie można przyjąć, że Prezes UODO obowiązany jest do poszukiwania z urzędu, w toku postępowania wszczętego na skutek skargi indywidualnej, pełnej podstawy uzasadniającej proces przetwarzania danych osobowych osoby wnoszącej skargę, czy też konkretnych, wyraźnych i prawnie uzasadnionych celów przetwarzania tych danych, wyręczając w tym zakresie administratora danych. Przepisy o ochronie danych osobowych wymagają od administratora inicjatywy dowodowej i aktywnego współdziałania z organem na etapie postępowania administracyjnego. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad przetwarzania danych, co należy rozumieć jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania tychże zasad.
Nieuzasadniony jest zarzut naruszenia art. 84 k.p.a., zgodnie z którym, gdy
w sprawie wymagane są wiadomości specjalne, organ administracji może zwrócić się do biegłego lub biegłych o wydanie opinii. W ocenie Sądu, w niniejszej sprawie wiadomości specjalne nie były wymagane, do jej rozstrzygnięcia wystarczający był materiał dowodowy zgromadzony w toku postępowania przed Prezesem UODO. Analiza charakterystyki funkcjonowania komercyjnych stron internetowych nie była istotna dla wykładni przepisów prawa w kontekście spełnienia przez Spółkę przesłanki z art. 6 ust. 1 lit. f RODO. Zarzut ten nie mógł odnieść zamierzonego skutku.
Wbrew zarzutom skargi uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 k.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę
w sposób w niej określony. Podstawę do wydania decyzji stanowiły prawidłowo poczynione przez organ ustalenia faktyczne i prawne dotyczące przetwarzania danych osobowych konkretnej osoby. Kwestionowanie przez Spółkę argumentacji zawartej w uzasadnieniu decyzji (poprzez odwoływanie się do poszczególnych jej fragmentów z pominięciem szerszego kontekstu wywodów organu) stanowi wyłącznie polemikę z prawidłowymi ustaleniami organu i nie może skutkować uwzględnieniem skargi w sytuacji, gdy Spółka nie wykazała, że przetwarzanie danych uczestnika postępowania znajduje oparcie w którejkolwiek z przesłanek legalizujących ten proces, a wymienionych w art. 6 ust. 1 RODO.
Nieuzasadnione są również zarzuty naruszenia art. 31 ust. 3 w związku z art. 2, art. 7, art. 22, art. 32 ust. 1 i 2, art. 51 ust. 1 Konstytucji RP w związku z art. 57 ust. 1 lit. f RODO w związku z art. 58 ust. 2 lit. c RODO, art. 79 RODO oraz art. 31 ust. 1 u.o.d.o. Wskazać w tym względzie należy, że Prezes UODO - jako organ ochrony danych osobowych - działał w granicach swoich ustawowych kompetencji
w postępowaniu, którego przedmiotem była skarga indywidualnego podmiotu na naruszenie ochrony danych osobowych. Brak jest podstaw do stwierdzenia, że organ dopuścił się naruszenia zasady legalizmu, czy też stworzył wobec Spółki "dodatkowe ograniczenia i wymogi". Brak jest również podstaw by przyjąć, że postępowanie było prowadzone jednostronnie, "w celu ochrony prywatności jednostki ponad rzetelną ocenę procesów przetwarzania przez administratora". Wobec jednoznacznie sformułowanej skargi uczestnika postępowania organ zwrócił się o wyjaśnienia do Spółki, a przed wydaniem decyzji poinformował obie strony o możliwości wypowiedzenia się co do zgromadzonego materiału dowodowego. Nadesłane przez Spółkę wyjaśnienia zostały rozpatrzone w korelacji z pozostałym materiałem dowodowym, zaś wyprowadzone z tego materiału prawidłowe wnioski skutkowały zobowiązaniem Spółki do podjęcia działań naprawczych.
Niezasadny jest również zarzut naruszenia art. 54 ust. 1 Konstytucji RP
w związku z art. 17 ust. 3 lit. a oraz art. 17 ust. 1 lit. c RODO. Sad podziela w tym względzie stanowisko organu wyrażone w odpowiedzi na skargę, że określone w art. 54 ust. 1 Konstytucji prawo do wolności wypowiedzi i swobody przepływu informacji nie stanowi negatywnej przesłanki do odmowy usunięcia przez Spółkę danych osobowych uczestnika postępowania z portalu internetowego [...]. Jak już wyżej podnoszono dane osób fizycznych, będących przedsiębiorcami, w tym dane dotyczące prowadzonej przez nie działalności gospodarczej, stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania przepisów rozporządzenia. Spółka jako administrator powinna wykazać, że przetwarzanie danych w tym przypadku było zgodne z prawem, co nie miało jednak miejsca. Spółka nie spełniła przesłanki określonej w art. art. 6 ust. 1 lit. f RODO.
Przepis art. 17 ust. 1 lit. c RODO stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania. Zgodnie zaś z art. 17 ust. 3 lit. a RODO ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Aby możliwe było zastosowanie art. 17 ust. 3 RODO dalsze przetwarzanie danych osobowych musi być "niezbędne" do korzystania z prawa do wolności wypowiedzi i informacji. Ponadto, w ww. przypadku chodzi przede wszystkim o zapobieżenie sytuacji, gdy żądanie usunięcia danych stanowiłoby ingerencję w wolność prasy i prowadziłoby do usuwania danych
z archiwów prasowych, a także swoistej cenzury represyjnej dotyczącej opublikowanych danych osobowych (v. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 (...) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", komentarz do art. 17, Lex.). Tego rodzaju sytuacje nie zachodziły zaś w niniejszej sprawie. Ponadto w art. 17 ust. 1 lit. c RODO, poprzez odesłanie do art. 21 ust. 1 i 2 RODO, dotyczy przetwarzania danych osobowych osoby, która wniosła sprzeciw, w sytuacji gdy dane osobowe tej osoby były przetwarzane na podstawie art. 6 ust. 1 lit. e lub f RODO, bądź na potrzeby marketingu bezpośredniego. Żadna z takich sytuacji nie wystąpiła w niniejszej sprawie. W konsekwencji w sprawie nie mógł mieć zastosowania art. 17 ust. 3
w związku z art. 17 ust. 1 lit c RODO.
Zgodnie z art. 86 RODO dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Uchybienie jakiego dopuścił się organ, poprzez użycie słowa "ograniczenie" zamiast "pogodzenie" nie dyskwalifikuje zaskarżonej decyzji.
W świetle pozostałych wywodów organu uzasadnione jest stanowisko, że stosowany przez Spółkę proces przetwarzania danych powoduje, że zniekształceniu ulega prawo do wolności słowa i dostępu do informacji, w sposób jednostronny, ze szkodą dla opiniowanych, zaś w tej konkretnej sprawie skutkuje naruszeniem ochrony danych osobowych uczestnika postępowania.
Nie jest również trafny zarzut naruszenia art. 21 ust. 1 RODO. Przedmiotem postępowania był art. 17 RODO, co wprost wynika z treści skargi uczestnika postępowania skierowanej do organu oraz wiadomości e-mail z dnia [...] listopada 2022r. Spółka w toku postępowania nie wyrażała wątpliwości odnośnie interpretacji żądania Skarżącego pomimo treści wezwania organu do udzielenia wyjaśnień, czy do Spółki wpłynęło żądanie uczestnika dotyczące realizacji jego prawa z art. 17 ust. 1 RODO. Udzielając wyjaśnień Spółka wprost wskazała, że takie żądanie wpłynęło oraz że do tego żądania się ustosunkowała. W tym stanie rzeczy kwestia wykładni art. 21 RODO nie mogła być przedmiotem rozważań organu.
Podsumowując stwierdzić należy, iż konkluzja organu, że Spółka nie legitymowała się żadną z przesłanek z art. 6 ust. 1 RODO uprawniającą ją do przetwarzania danych osobowych uczestnika postępowania jest prawidłowa. Prawidłowo organ ocenił, że w okolicznościach faktycznych sprawy prawo do ochrony danych osobowych uczestnika postępowania przewyższa interes Spółki, jakim była publikacja danych osobowych uczestnika na portalu [...]. Prawidłowo zatem organ zastosował przysługujące mu uprawnienia naprawcze
i nakazał Spółce spełnienia żądania uczestnika postępowania w oparciu o art. 58 ust 2 lit. c RODO, tj. usunięcie jej danych osobowych w zakresie wskazanym w sentencji decyzji.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. w związku z art. 119 pkt 2 p.p.s.a., orzekł jak w sentencji