II SA/Wa 276/25

II SA/Wa 276/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-23
orzeczenie prawomocne
Data wpływu
2025-02-19
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Arkadiusz Koziarski.
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski, Protokolant referent Joanna Mazur po rozpoznaniu na rozprawie w dniu 23 lipca 2025 r. sprawy ze skargi K. B. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowała skarga K. B., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez J. K. prowadzącą działalność gospodarczą pod firmą [...] z siedzibą w [...] (dalej również: Przedsiębiorca lub [...]), polegające na niezrealizowaniu przez ww. podmiot jej prawa do usunięcia danych ("prawa do bycia zapomnianym") wynikającego z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej: RODO).
Skarżąca wskazała, że [...] października 2023 r. wystąpiła do Przedsiębiorcy z żądaniem usunięcia całej jej dokumentacji zgodnie z art. 17 ust. I RODO znajdującej się w przychodni [...]. Wskazała, że są to wyłącznie testy psychologiczne.
Jednocześnie Skarżąca podniosła, że nie upoważniała do przekazywania jej danych innym podmiotom, a o takim przekazaniu dowiedziała się z pisma podmiotu [...] z [...] października 2023 r., który nie dołączył swojego upoważnienia do działania w imieniu Przedsiębiorcy.
Ponadto Skarżąca zarzuciła Przedsiębiorcy, że nie udostępniono jej "certyfikatu" recepcjonistki, która czytając jej dokumentację wybiórczo ją kserowała, a także była obecna podczas rozmowy Skarżącej z Przedsiębiorcą.
Decyzją z dnia [...] grudnia 2024r. Prezes Urzędu Ochrony Danych Osobowych
1) odmówił uwzględnienia wniosku w zakresie nakazania Pani J. K. prowadzącej działalność gospodarczą pod firmą [...] z siedzibą w [...], zrealizowania wynikającego z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) prawa Pani K. B., do usunięcia Jej danych osobowych;
2) odmówił uwzględnienia wniosku w zakresie udostępnienia przez Panią J. K. prowadzącą działalność gospodarczą pod firmą [...] z siedzibą w [...], danych osobowych Pani K. B., na rzecz pracownika recepcji w [...] bez podstawy prawnej;
3) udzielił Pani J. K. prowadzącej działalność gospodarczą pod firmą [...] z siedzibą w [...] upomnienia za naruszenie art. 9 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4,05,2016, str, 1, Dz, Urz, UE L 127 z 23,05.2018, str, 2 oraz Dz, Urz, UE L 74 z 4,03,2021, str, 35) polegające na udostępnieniu danych osobowych Pani K. B., na rzecz [...] bez podstawy prawnej.
W uzasadnieniu decyzji organ wyjaśnił, że [...] października 2023 r. Skarżąca zwróciła się do Przedsiębiorcy z żądaniem usunięcia całej dokumentacji dotyczącej jej osoby, zgodnie z art. 17 ust. 1 RODO, znajdującej się w [...] – (Skarżąca oświadczyła: "1. Ja K. B. Oświadczam, iż dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane, 2. Ja K. B. wycofuję zgodę na przetwarzanie moich danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie; 3. Ja K. B. sprzeciwiam się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, 4. Ja K. B. sprzeciwia się przetwarzaniu moich danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania)". Skarżąca wskazała, że Przedsiębiorca zakwalifikowała jej testy psychologiczne jako badania np. lekarskie, a także, że nic jej nie wiadomo, by jej dokumentacja zawierała coś ponad te testy (dowód: pismo Skarżącej z [...] stycznia 2024 r. wraz z załącznikami).
Organ ustalił, że Pismem z [...] października 2023 r. Przedsiębiorca odmówiła Skarżącej spełnienia żądania usunięcia jej danych osobowych z uwagi na przesłankę uniemożliwiającą żądanie usunięcia danych osobowych określoną w art. 17 ust. 3 lit. b RODO. Wskazała Skarżącej, że przetwarzanie danych osobowych w zakresie jej dokumentacji medycznej jest niezbędne do wywiązania się z ciążącego na niej prawnego obowiązku przechowywania dokumentacji medycznej określonego w art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2024 r. poz. 581; dalej: u.p.p.) (dowód: pismo Przedsiębiorcy z [...] października 2023 r. załączone do pisma Skarżącej z [...] stycznia 2024 r. i pisma Przedsiębiorcy z [...] maja 2024 r.). Przedsiębiorca wyjaśniła, że [...] jest podmiotem medycznym, a testy psychologiczne są wykonywane przez psychologa mającego podpisaną umowę z podmiotem medycznym w ramach tego podmiotu. Przedsiębiorca w złożonych wyjaśnieniach ponowiła argumentację przedstawioną w odpowiedzi udzielonej Skarżącej, a mianowicie wskazała, że w przedmiotowej sprawie zachodzi przesłanka uniemożliwiająca żądanie przez Skarżącą usunięcia jej danych osobowych określona w art. 17 ust. 3 lit. b RODO, tj. przetwarzanie danych osobowych w zakresie dokumentacji medycznej Skarżącej jest niezbędne do wywiązywania się przez administratora danych osobowych (Przedsiębiorcę) z prawnego obowiązku przechowywania dokumentacji medycznej określonego w art. 29 u.p.p. Przedsiębiorca wyjaśniła, że Skarżąca zarejestrowała się w [...] z własnej woli, wiedząc, że poradnia psychologiczna jest częścią podmiotu leczniczego i prowadzi dokumentację medyczną jak wszystkie podmioty lecznicze. Wskazała również, że Skarżąca [...] maja 2018 r. podpisała wszystkie wymagane zgody (dowód: pisma Przedsiębiorcy z [...] lutego 2024 r. i [...] maja 2024 r.). Przedsiębiorca oświadczyła, że firma [...] nie otrzymała danych osobowych Skarżącej, tylko treść jej skargi. Jako dowód załączyła zanonimizowaną (z zamazanym markerem imieniem, nazwiskiem i adresem Skarżącej) kopię pisma Skarżącej skierowanego do Przedsiębiorcy [...] października 2023 r. Przedsiębiorca wyjaśniła również, że pismo wysłane do Skarżącej w dniu [...] października 2023 r. było redagowane przez [...] (dowód: pisma Przedsiębiorcy z [...] lutego 2024 r., [...] maja 2024 r. i [...] czerwca 2024 r.).
Przedsiębiorca oświadczyła, że pracownik administracyjno-medyczny jest jej pracownikiem i na tej podstawie ma wgląd i upoważnienie do przetwarzania danych osobowych. Na dowód tego załączyła upoważnienia dla dwóch pracowników do przetwarzania danych osobowych pacjentów (dowód: pismo Przedsiębiorcy z [...] lutego 2024 r. oraz załączone do pisma Przedsiębiorcy z [...] maja 2024 r. upoważnienia dla pracowników Przedsiębiorcy do przetwarzania danych osobowych pacjentów).
Organ ustalił również, że zgodnie z Rejestrem Podmiotów Wykonujących Działalność Leczniczą, dostępnym na stronie internetowej [...] od [...] lutego 2015 r. wpisany jest, pod numerem księgi rejestrowej [...], jako podmiot leczniczy (dowód: księga rejestrowa dostępna na stronie internetowej o adresie [...]).
Dalej organ wyjaśnił, iż Przesłanki legalności przetwarzania danych osobowych określone zostały w art. 6 ust. 1 RODO, natomiast przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, w tym danych dotyczących zdrowia, powinno znaleźć oparcie w jednej z przesłanek enumeratywnie wyliczonych w art. 9 ust. 2 RODO. Przesłanki te mają charakter autonomiczny, wobec czego aby uznać proces przetwarzania danych osobowych przez administratora za zgodny z prawem, wystarczy spełnienie przez niego jednej z tych przesłanek. Przetwarzanie danych, o których mowa w art. 9 ust. 1 RODO jest legalne m. in. wtedy gdy jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO), a także wtedy gdy jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (art. 9 ust. 2 lit. h RODO).
Przechodząc do meritum sprawy organ wskazał, ze [...] jest podmiotem prowadzącym działalność leczniczą. Zgodnie z art. 24 ust. 1 u.p.p. podmiot udzielający świadczeń zdrowotnych (tu: Przedsiębiorca) jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w przedmiotowej ustawie oraz w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, a także zapewnić ochronę danych zawartych w tej dokumentacji. Ponadto zgodnie z § 6 ust. 5 Rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2024 r. poz. 798) dokument włączony do dokumentacji indywidualnej wewnętrznej w postaci papierowej nie może być z niej usunięty, z zastrzeżeniem § 15 ust. 5, który w przedmiotowej sprawie nie ma zastosowania. Zgodnie natomiast z art. 29 ust. 1 u.p.p., podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem: 1) dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon; 1a) dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu; 2) zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie; 3) skierowań na badania lub zleceń lekarza, które są przechowywane przez okres: a) 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza, b) 2 lat, licząc od końca roku kalendarzowego, w którym wystawiono skierowanie - w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie, chyba że pacjent odebrał skierowanie; 4) dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat. Podkreślono również, że ze względu na brak odrębnych przepisów dotyczących dokumentacji prowadzonej przez psychologa, w przypadku świadczeń udzielanych w poradni psychologicznej działającej w ramach podmiotu udzielającego świadczeń zdrowotnych, dokumentacja psychologa stanowi dokumentację medyczną wytworzoną w ramach tego pomiotu.
Z tego w konkluzji wywiódł, że Przedsiębiorca jest uprawniony do przetwarzania danych osobowych Skarżącej, w tym zobowiązany do ich archiwizowania w ramach zgromadzonej dokumentacji medycznej przez okres 20 lat, zgodne z art. 9 ust. 2 lit. b i lit. h RODO w związku z art. 25 i art. 29 u.p.p. więc organ nie może spełnić żądania Skarżącej i nakazać usunięcia jej danych osobowych przetwarzanych przez Przedsiębiorcę w dokumentacji medycznej w ramach podmiotu udzielającego świadczeń zdrowotnych, nawet jeżeli na tę dokumentację składają się jedynie testy psychologiczne.
Odnosząc się do kwestii przetwarzania danych osobowych Skarżącej przez pracownika recepcji organ wskazał, że RODO nie wyłącza możliwości przetwarzania danych osobowych przez inną osobę fizyczną, niż administrator, niemniej przetwarzanie w tym wypadku musi być oparte na stosownym upoważnieniu. Zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. W niniejszej sprawie mamy do czynienia z przetwarzaniem danych przez osobę upoważnioną do działania w imieniu administratora danych osobowych (Przedsiębiorcy).
Odnosząc się natomiast do zarzutu Skarżącej dotyczącego udostępnienia przez Przedsiębiorcę jej danych osobowych na rzecz [...] organ wskazał, że Prezesa Urzędu Ochrony Danych Osobowych uznał, iż zarzut ten jest zasadny. W treści załączonej do akt postępowania kopii pisma z [...] października 2023 r., która zgodnie z oświadczeniem Przedsiębiorcy została zredagowana przez [...], w miejscu adresata tego pisma, wskazane są dane osobowe Skarżącej w zakresie imienia, nazwiska oraz adresu. Organ podkreślił, że pismo z [...] października 2023 r. zostało zredagowane na papierze firmowym [...]. W ocenie Prezesa Urzędu Ochrony Danych Osobowych powyższe stanowi dowód na to, że treść pisma z [...] października 2023 r. w całości, włącznie z wpisaniem danych Skarżącej w miejscu nadawcy pisma, została przygotowana przez [...]. Świadczy to natomiast o tym, iż podmiot ten przygotowując odpowiedź na pismo Skarżącej z [...] października 2023 r. był w posiadaniu zarówno danych osobowych Skarżącej w zakresie imienia, nazwiska oraz adresu, jak i danych dotyczących stanu jej zdrowia, których dotyczyła treść pisma z [...] października 2023r.
Z tego organ wywiódł, że Przedsiębiorca udostępniła dane osobowe Skarżącej w zakresie imienia, nazwiska, adresu oraz danych dotyczących zdrowia na rzecz podmiotu trzeciego ([...]) nie dochowując jednocześnie obowiązków wynikających z art. 28 ust. 3 lit. a RODO, przez co udostępnienie to nie legitymizowało się żadną przesłanką określoną w art. 9 ust. 1 RODO. Przedmiotowe zdarzenie naruszyło również art. 5 ust. 1 lit a RODO, który nakazuje, by dane były przetwarzane mi.in. zgodnie z prawem. Mając powyższe na uwadze Prezes Urzędu uznał, że w realiach niniejszej sprawy właściwe jest zastosowanie wobec Przedsiębiorcy upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 5 ust. 1 lit. a oraz art. 9 ust. 1 i 2 RODO, gdyż udostępnienie danych osobowych Skarżącej na rzecz [...] nastąpiło bez podstawy prawnej.
Od powyższej decyzji skargę do tut. Sądu wywiodła K. B. podnosząc, że Prezes UODO błędnie zakwalifikował testy psychologiczne do kategorii innych niż dokumentacja administracyjna, co stanowi błąd w ocenie materiału dowodowego i w konsekwencji wpłynęło na nieprawidłowe rozstrzygnięcie sprawy. W ty zakresie strona wyjaśniła, że sporne testy były zamówione przez nią i nie mają już żadnej wartości - są przedawnione i nie są potrzebne, wręcz są nieprzydatne. Podkreśliła również, iż umowa komercyjna w zakresie testów psychologicznych dotyczy współpracy psychologa z podmiotem, gdzie świadczy on określone usługi w ramach umowy cywilnoprawnej, nie będąc zatrudnionym na etacie, a wynagrodzenie zależy od wykonanych usług. Takie umowy są bardziej elastyczne i skoncentrowane na wykonaniu konkretnego zadania lub świadczeniu usług na warunkach rynkowych. Zatem dokumentacja związana z testami psychologicznymi, które nie są częścią leczenia (np. przeprowadzonymi na zlecenie firmy w celu rekrutacji lub oceny zdolności zawodowych ), nie będzie traktowana jako dokumentacja medyczna, ponieważ nie dotyczy świadczeń zdrowotnych.
Strona wskazała też, iż zgadza się z zasadniczą częścią decyzji Prezesa UODO zawartą w punkcie 3. Niemniej jednak, kwestionuje brak zalecenia dla Pani J. K. dotyczącego podjęcia działań mających na celu usunięcie konsekwencji poważnych uchybień, które zostały wskazane przez Prezesa UODO uważając, że w takim przypadku konieczne było wprowadzenie bardziej szczegółowych rekomendacji, mających na celu naprawienie stwierdzonych naruszeń.
Wyjaśniła też, iż zgadza się z decyzją Prezesa UODO w punkcie 2, przyjmując ją w całości.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art.1 par. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr.153, poz.1269 z późn. zm.) Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ procedując, poruszał się w granicach prawa.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić pozytywnej odpowiedzi.
W pierwszej kolejności należy wyjaśnić, że organ miał podstawy ku temu, by w realiach sprawy sporne testy psychologiczne dotyczące skarżącej zakwalifikować jako dokumentację medyczną. Niespornym jest przecież, to że [...] jest podmiotem prowadzącym działalność leczniczą. Zatem jako podmiot udzielający świadczeń zdrowotnych funkcjonuje w oparciu m.in. o przepisy ustawy o prawach pacjenta (...). To sprawia, ze dokumentacja którą wytwarza w ramach prowadzonej działalności medycznej ma charakter dokumentacji stricte medycznej. W konsekwencji wytwórca takiej dokumentacji jest zobowiązany, stosownie do art. 24 ust. 1 u.p.p,. prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w przedmiotowej ustawie. Dodatkowo w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia nałożono na podmiot leczniczy obowiązek zapewnienia ochronę danych zawartych w dokumentacji medycznej. Ponadto słusznie wskazał organ, że zgodnie z § 6 ust. 5 Rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2024 r. poz. 798) dokument włączony do dokumentacji indywidualnej wewnętrznej w postaci papierowej nie może być z niej usunięty, z zastrzeżeniem § 15 ust. 5, który w przedmiotowej sprawie nie ma zastosowania.
Na marginesie wyjaśnić też należało, iż bez wpływu na wynik sprawy pozostaje podnoszona w skardze okoliczność, że umowa na wykonanie spornych testów miała charakter komercyjny a same testy nie dotyczyły konkretnych świadczeń zdrowotnych. Dla postępowania kluczowe znaczenie ma bowiem to, ze testy dotyczyły stanu zdrowia skarżącej. Ta okoliczność jest zaś wystarczającą dla uznania ich za element dokumentacji medycznej niezależnie od tego, czy były uwzględniane w leczeniu strony czy też nie.
Biorąc pod uwagę powyższe i uwzględniając fakt, że zgodnie z art. 29 ust. 1 u.p.p., podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem: 1) dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon; 1a) dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu; 2) zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie; 3) skierowań na badania lub zleceń lekarza, które są przechowywane przez okres: a) 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza, b) 2 lat, licząc od końca roku kalendarzowego, w 5 którym wystawiono skierowanie - w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie, chyba że pacjent odebrał skierowanie; 4) dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat, rozstrzygnięcie zawarte w pkt.1 decyzji odpowiadało prawu. Przedsiębiorca jako podmiot prowadzący działalność leczniczą jest uprawniony do przetwarzania danych osobowych Skarżącej, w tym zobowiązany do ich archiwizowania w ramach zgromadzonej dokumentacji medycznej, przez okres 20 lat, zgodne z art. 9 ust. 2 lit. b i lit. h RODO w związku z art. 25 i art. 29 u.p.p.
Odnosząc się do kwestii przetwarzania danych osobowych Skarżącej przez pracownika recepcji wskazać należy, że poprawne są też konkluzje organu, że RODO nie wyłącza możliwości przetwarzania danych osobowych przez inną osobę fizyczną niż administrator zaś przetwarzanie w tym wypadku musi być oparte na stosownym upoważnieniu. Zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. W niniejszej sprawie materiał dowodowy świadczy niezbicie o tym, że mamy do czynienia z przetwarzaniem danych przez osobę upoważnioną do działania w imieniu administratora danych osobowych (Przedsiębiorcy). W złożonych Prezesowi Urzędu Ochrony Danych Osobowych wyjaśnieniach Przedsiębiorca wskazała, że pracownik administracyjno-medyczny jest pracownikiem [...] i na tej podstawie ma wgląd i upoważnienie do przetwarzania danych osobowych. Do akt postępowania Przedsiębiorca załączyła jednocześnie upoważnienie dla dwóch pracownic do przetwarzania danych osobowych pacjentów [...]. Mając na uwadze powyższe, stwierdzić należy, że poprawnie wywiódł organ, iż przetwarzanie danych osobowych Skarżącej przez pracownika recepcji miało swoje oparcie w art. 29 RODO.
Organ prawidłowo też wywiódł, że poza zakresem jego kompetencji pozostaje nakazanie udostępnienia dokumentu, z którego wynikałoby upoważnienie do przetwarzania danych osobowych Skarżącej. Prezes Urzędu w toku prowadzonego postępowania może zbadać legalność przetwarzania danych osobowych Skarżącej przez określone osoby działające w imieniu administratora, co też w niniejszej sprawie uczynił.
Słusznie też organ wywiódł, że Przedsiębiorca udostępniła dane osobowe Skarżącej w zakresie imienia, nazwiska, adresu oraz danych dotyczących zdrowia na rzecz podmiotu trzeciego ([...]) nie dochowując jednocześnie obowiązków wynikających z art. 28 ust. 3 lit. a RODO, przez co udostępnienie to nie legitymizowało się żadną przesłanką określoną w art. 9 ust. 1 RODO naruszając jednocześnie również art. 5 ust. 1 lit a RODO, który nakazuje, by dane były przetwarzane mi.in. zgodnie z prawem. Rozstrzygnięcie zawarte w pkt.3 decyzji było więc ze wszech miar uzasadnione. Tego rodzaju środek z pewnością stanowi rodzaj wytycznych dla administratora danych na przyszłość wyjaśniających to, jakich działań winien unikać.
W odniesieniu do zarzutu niepodjęcia działań mających na celu usunięcie konsekwencji poważnych uchybień organ poprawnie też wskazał, że w sytuacji gdy do naruszenia doszło na skutek udostępnienia danych na rzecz nieuprawnionego podmiotu, organ nie ma możliwości nakazania naprawienia stwierdzonego naruszenia, bowiem nakaz taki byłby niemożliwy do wykonania ze względu na charakter kwestionowanego zachowania, mianowicie jego nieodwracalność. Nadto skarga zainicjowana przez stronę nie dotyczyła potencjalnych uchybień firmy [...], stąd jakiekolwiek działania organu wobec tego podmiotu wykraczałyby poza zakres przedmiotowy niniejszego postępowania administracyjnego.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024r. poz.935).