II SA/Wa 328/22

II SA/Wa 328/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-07-05
orzeczenie prawomocne
Data wpływu
2022-02-21
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /przewodniczący sprawozdawca/
Michał Sułkowski
Waldemar Śledzik
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2471/22 - Wyrok NSA z 2025-10-23
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Waldemar Śledzik, Asesor WSA Michał Sułkowski, , Protokolant st. sekr. sądowy Maryla Wiśniewska, po rozpoznaniu na rozprawie w dniu 5 lipca 2022 r. sprawy ze skargi B. H. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie była skarga B. H. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. znak [...] w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
W dniu [...] lutego 2020 r. (data wpływu do organu) A. W. i jej małoletni syn M. F. (zwani dalej: wnioskodawcy, uczestnicy postępowania), reprezentowani przez profesjonalnego pełnomocnika, wnieśli do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Niepubliczny Zakład Opieki Zdrowotnej Przychodnia [...] Sp. z o.o. (ul. [...], [...] G., zwana dalej; NZOZ, Przychodnia), Zakład Ubezpieczeń Społecznych (ul. [...], [...] W., zwany dalej: ZUS) oraz B. H., prowadzącą działalność gospodarczą pod firmą Specjalistyczna Praktyka Lekarska B. H. (ul. [...], [...] G., zwana dalej: skarżąca), polegające na przetwarzaniu, w tym pozyskiwaniu, danych osobowych wnioskodawców, zgromadzonych na platformie PUE ZUS przez skarżącą i Przychodnię bez podstawy prawnej oraz udostępnieniu danych osobowych wnioskodawców przez Przychodnię i skarżącą osobie nieuprawnionej, tj. A. F.
W treści skargi wskazano, że Przychodnia i ZUS kilkukrotnie udostępniły dane osobowe wnioskodawców, tj.: [...] października 2019 r. w zakresie płeć, nazwisko wnioskodawcy, imię i nazwisko wnioskodawczyni. Dane te zostały ujawnione przez T. L. - pracownika Przychodni (zwana dalej: pielęgniarka) na rzecz A. F. Następnie [...] października 2019 r. dane osobowe wnioskodawczyni (pozyskane w wyniku bezprawnego wejścia i sprawdzenia danych w portalu ZUS) zostały ujawnione przez skarżącą na rzecz A. F. Wskazano, że wnioskodawcy nie są i nie byli pacjentami skarżącej. Jako potwierdzenie udostępnienia danych, do skargi załączono wydruki z profilu wnioskodawczyni na portalu PUE ZUS, wskazujące na dostęp skarżącej do profilu wnioskodawczyni [...] października 2019 r. oraz rozmowy sms partnera wnioskodawczyni P. F. z A. F. (jego byłą żoną).
Decyzją znak [...] z dnia [...] grudnia 2021 r. organ, działając na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735, zwana dalej: k.p.a.), art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.) oraz na podstawie art. 5 ust. 1, art. 9 ust. 2, art. 24 ust. 1 oraz art. 58 ust. 2 lit.b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46AVE (Dz.U.UE.L.2016.119.1 oraz Dz. Urz. L. 127 z 23.05.2018 r., str. 2, oraz Dz. Urz. UE L 74 z 4.03.2021 r., str. 35, zwane dalej: rozporządzeniem 2016/679), orzekł:
w pkt 1 – o udzieleniu skarżącej, prowadzącej działalność gospodarczą pod firmą Specjalistyczna Praktyka Lekarska B. H. (ul. [...], [...] G.), upomnienia za naruszenie art. 5 ust. 1 lit. a, art. 6 ust. 1 oraz art. 9 ust. 2 rozporządzenia 2016/679 poprzez pozyskanie danych osobowych wnioskodawczyni z zasobów ZUS na PUE ZUS, bez podstawy prawnej;
w pkt 2 – o umorzeniu postępowania w zakresie dotyczącym udostępnienia danych osobowych wnioskodawców przez NZOZ na rzecz A. F. oraz przez skarżącą na rzecz A. F. oraz innych osób nieuprawnionych;
w pkt 3 - o odmowie uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy:
Zgodnie z informacjami na portalu PUE ZUS w dniu [...] października 2019 r., skarżąca uzyskała dostęp do profilu wnioskodawczyni (jej danych osobowych), który nie został zakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem. ZUS wskazał, że przetwarza dane osobowe wnioskodawców w celu realizacji zadań ustawowych, działając na podstawie przepisów ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz.U. z 2020 r. poz. 266 ze zm., zwana dalej: u.s.u.s.), w tym w szczególności na podstawie przepisów rozdziału 4 powołanej u.s.u.s. oraz zgodnie z przepisami ustawy z 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2020 r. poz. 870, zwana dalej: u.ś.p.).
Według wyjaśnień ZUS, zgodnie z art. 55a ust. 1 i 2 u.ś.p. w celu wystawiania zaświadczeń lekarskich lekarz tworzy za pomocą systemu teleinformatycznego udostępnionego bezpłatnie przez ZUS profil informacyjny, na którym ZUS udostępnia mu: 1. dane zgromadzone w: Centralnym Rejestrze Ubezpieczonych - pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego; Centralnym Rejestrze Płatników Składek - nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL; Centralnym Rejestrze Członków Rodziny Ubezpieczonych Uprawnionych do Ubezpieczenia Zdrowotnego - datę urodzenia chorego członka rodziny i stopień jego pokrewieństwa lub powinowactwa z ubezpieczonym; 2. informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1 u.ś.p., oraz o zaświadczeniach, o których mowa w art. 59 ust. 8 u.ś.p.; 3. informacje, czy płatnik składek posiada profil informacyjny płatnika składek, o którym mowa w art. 58 ust. 1 u.ś.p.
Ponadto obowiązujące przepisy prawa nie upoważniają ZUS do kontrolowania sposobu przetwarzania danych pacjentów przez lekarza: wystawiając zaświadczenie lekarskie, lekarz działa za pośrednictwem systemu teleinformatycznego udostępnionego przez ZUS, co nie zmienia faktu, iż jest on samodzielnym administratorem danych osobowych, przetwarzanych w związku z udzielaniem pacjentowi świadczeń zdrowotnych.
Według wyjaśnień Przychodni NZOZ, przetwarza ona aktualnie dane osobowe wnioskodawczyni jako pacjentki oraz wnioskodawcy jako byłego pacjenta w zakresie określonym przepisami prawa, tj. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Przychodnia wskazała, że skarżąca i pielęgniarka w związku z udzielaniem świadczeń medycznych, w ramach działalności Przychodni, na podstawie udzielonych upoważnień miały dostęp do danych osobowych zawartych w aplikacji [...]. Przychodnia nie była w posiadaniu i nie udostępniała danych osobowych wnioskodawców, pozyskanych z platformy elektronicznej PUE ZUS, nadto niezwłocznie po otrzymaniu zgłoszenia o rzekomym naruszeniu przeprowadziła postępowanie wyjaśniające, w tym m.in. analizowała wszelkie przedłożone przez wnioskodawczynię dowody, w konsekwencji którego nie stwierdzono żadnych nieuprawnionych dostępów do aktywów przetwarzających dane w Przychodni.
W trakcie przeprowadzonego postępowania pielęgniarka złożyła oświadczenie, że nie przekazywała A. F. danych osobowych wnioskodawców przetwarzanych przez Przychodnię, natomiast skarżąca złożyła oświadczenie, że dane z platformy usług elektronicznych PUE ZUS wykorzystuje wyłącznie w celach służbowych i nie przekazuje osobom trzecim. Przychodnia wskazała także, że [...] października 2019 r. wnioskodawcy nie korzystali z usług przychodni w zakresie świadczeń opieki zdrowotnej, udzielanych przez skarżącą oraz pielęgniarkę oraz, że tego dnia małoletni wnioskodawca korzystał z usług medycznych wykonywanych przez inny personel medyczny, co zostało odnotowane w aplikacji [...].
Skarżąca B. H. wyjaśniła, że nie przetwarzała i nie udostępniała nikomu danych osobowych wnioskodawców, w tym na rzecz A. F., a podstawę prawną wglądu do danych osobowych wnioskodawczyni na platformie PUE ZUS stanowi art. 54 u.ś.p. w związku z art. 29 rozporządzenia 2016/679. Oświadczyła również, że wglądu do danych pacjentów zawsze dokonuje tylko i wyłącznie w związku z pełnieniem obowiązków lekarza, nigdy w celach osobistych oraz, że z uwagi na upływ czasu, nie pamięta czy przeglądała dane wnioskodawców na platformie PUE ZUS 7 października 2019 r. i czy korzystała przy tym z aplikacji [...].
Przychodnia wskazała, że po przeanalizowaniu zgłoszenia naruszenia ochrony danych osobowych wnioskodawców nie miała podstaw do stwierdzenia udostępnienia ich danych osobowych, przetwarzanych w ich dokumentacji medycznej nadzorowanej przez Przychodnię, [...] października 2019 r. osobom nieuprawnionym, w tym A. F. Jednocześnie Przychodnia wyjaśniła, że [...] października 2019 r. pielęgniarka oraz [...] października 2019 r. skarżąca, w ramach wykonywania swoich obowiązków zawodowych, logowały się do aplikacji [...]. Po zalogowaniu do [...] zalogowany może przeglądać dokumentację medyczną wszystkich pacjentów. Aplikacja [...] nie umożliwia stwierdzenia, czyją dokumentację medyczną przeglądała zalogowana osoba.
Ze złożonych w sprawie karnej zeznań A. F. wynika m.in., że ze skarżącą ma kontakt tylko w związku ze zdrowiem i opieką nad jej córkami, nie przekazywała jej żadnych danych dotyczących wnioskodawczyni, nie zna pielęgniarki, jakiekolwiek informacje o wnioskodawczyni uzyskała ze znalezionych maili P. F. z wnioskodawczynią, z Facebooka, od córek, teścia oraz innych osób.
Skarżąca zeznała natomiast, że nie zna wnioskodawczyni, nie wiedziała, że P. F. ma z nią syna. Odnosząc się do ewentualnego sprawdzania danych osobowych wnioskodawców za pośrednictwem ZUS PUE, skarżąca wskazała, że pacjentów wyszukuje po nr PESEL lub nazwisku, wówczas zdarza się, że wyskakuje kilka osób o tym samym nazwisku oraz, że zdarzały się w Przychodni sytuacje, że inny lekarz logował się na jej (lub innego lekarza) koncie na platformie PUE ZUS, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera oraz, że ona nie logowała się do konta wnioskodawczyni w celu uzyskana jej danych i przekazania ich A. F., nie wie w jaki sposób logowanie nastąpiło i być może było to błędne logowanie.
W kontekście ustalonego w sprawie stanu faktycznego organ uznał, że przedmiotem postępowania jest proces przetwarzania danych osobowych wnioskodawców przez: 1) ZUS, polegający na udostępnieniu bez podstawy prawnej danych osobowych wnioskodawczyni za pośrednictwem PUE ZUS na rzecz skarżącej; 2) skarżącą, polegający na uzyskaniu nieuprawnionego dostępu do danych osobowych wnioskodawczyni za pośrednictwem PUE ZUS, w związku z wykonywanym zawodem lekarza, w celu prywatnym i udostępnieniu danych osobowych wnioskodawców na rzecz A. F. oraz innych osób nieuprawnionych; 3) Przychodnię, polegające na udostępnieniu danych osobowych wnioskodawców na rzecz A. F.
Oceniając ustalony w sprawie stan faktyczny w kontekście obowiązujących w tym zakresie przepisów (art. 6 ust. 1, art. 6 ust. 1, art. 9 ust. 1 i 2 rozporządzenia 2016/679 oraz art. 54 ust. 1 i art. 55a ust. 2 i 3 u.ś.p.), organ stwierdził, że w sprawie nie doszło do niezgodnego z prawem przetwarzania danych osobowych wnioskodawczyni przez ZUS. ZUS udostępniając skarżącej za pośrednictwem PUE ZUS dane osobowe wnioskodawczyni, działał na podstawie art. 55a ust. 2 u.ś.p., co stanowi wypełnienie przesłanek, legalizujących proces przetwarzania danych osobowych, określonych w art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zakresie danych osobowych tzw. "zwykłych" wnioskodawczyni oraz art. 9 ust. 2 lit. h rozporządzenia 2016/679 w zakresie szczególnych kategorii danych osobowych. Przedmiotowe udostępnienie danych osobowych nastąpiło po podaniu przez skarżącą za pośrednictwem PUE ZUS wymaganych danych identyfikacyjnych, określonych w art. 55a ust. 3 u.ś.p. ZUS zobowiązany był zatem udostępnić dane osobowe wnioskodawczyni i udostępnienie to nastąpiło w sposób legalny.
W sprawie doszło natomiast do niezgodnego z prawem przetwarzania danych osobowych (o których mowa w art. 6 i art. 9 rozporządzenia 2016/679) wnioskodawczyni przez skarżącą. Z materiału dowodowego zgromadzonego w przedmiotowej sprawie wynika bowiem, że skarżąca nie była lekarzem wnioskodawczyni. Ponadto brak jest przepisów, które legalizowałyby pozyskiwanie przez lekarzy dostępu do danych osobowych za pośrednictwem PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Dane osobowe, udostępniane wystawiającym zaświadczenie lekarskie w PUE ZUS, dotyczą między innymi stanu zdrowia pacjentów, zatem danych, które podlegać powinny szczególnej ochronie. Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b rozporządzenia 2016/679, PUODO udzielił skarżącej upomnienia za naruszenie art. 5 ust. 1 lit. a, art. 6 ust. 1 oraz art. 9 ust. 2 rozporządzenia 2016/679 poprzez pozyskanie danych osobowych wnioskodawczyni bez podstawy prawnej z zasobów PUE ZUS.
Organ ocenił dalej, że przeprowadzona w sprawie analiza materiału dowodowego nie wykazała w sposób jednoznaczny i bezsporny, aby Przychodnia lub skarżąca udostępniły lub umożliwiły dostęp A. F. do danych osobowych wnioskodawców. Zarówno Przychodnia jak i skarżąca w toku postępowania zaprzeczyli stawianym zarzutom. Przychodnia przeprowadziła czynności wyjaśniające celem weryfikacji stawianych zarzutów, w tym pozyskała wyjaśnienia od osób podejrzewanych o udostępnienie danych – skarżącej i na rzecz A. F., które nie potwierdziły, aby doszło do ujawnienia osobom nieuprawnionym danych wnioskodawców. Wnioskodawczyni oparła skargę na własnym przekonaniu i nie przedstawiła niebudzących wątpliwości dowodów na potwierdzenie stawianych zarzutów. Dowodu na udostępnienie danych osobowych przez Przychodnię i skarżącą na rzecz A. F. nie stanowią rozmowy sms partnera wnioskodawczyni P. F. z A. F., bowiem nie wskazują na źródło pozyskania danych osobowych wnioskodawców.
Organ wyjaśnił, że według zeznań A. F. (przez policję w postępowaniu dot. opisywanego naruszenia), skarżąca nie przekazywała jej żadnych danych, dotyczących wnioskodawczyni, nie zna ona pielęgniarki, a jakiekolwiek informacje o wnioskodawcach uzyskała ze znalezionych e-maili P. F. z wnioskodawczynią, z Facebooka, od córek, teścia oraz innych osób. Tak więc materiał dowodowy zebrany w sprawie nie świadczy o prawdziwości opisanych w skardze okoliczności w zakresie udostępnienia danych osobowych wnioskodawców przez Przychodnię i skarżącą na rzecz A. F.
Przy czym w sprawie nie została uprawdopodobniona okoliczność ewentualnego korzystania z konta skarżącej w PUE ZUS przez innego lekarza Przychodni celem sprawdzenia danych osobowych wnioskodawczyni.
W konsekwencji organ ocenił, iż w sprawie spełniona została ustawowa przesłanka umorzenia postępowania w zakresie dotyczącym udostępnienia danych osobowych wnioskodawców przez Przychodnię na rzecz A. F. i skarżącą na rzecz A. F. oraz innych osób nieuprawnionych, zgodnie z punktem 2 decyzji.
Na marginesie organ wskazał, że na skarżącej (lekarzu), jako administratorze udostępnianych jej przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z rozporządzenia 2016/679 w zakresie między innymi odpowiedniego zabezpieczenia danych osobowych. W związku z tym skarżąca ponosi odpowiedzialność za ewentualne naruszenia ochrony danych osobowych, będące wynikiem dostępu osób nieuprawnionych do danych w PUE ZUS za pośrednictwem jej konta i jest zobowiązana, zgodnie z art. 33 rozporządzenia 2016/679, do podjęcia działań celem przeciwdziałania negatywnym skutkom naruszenia oraz poinformowania PUODO o zaistniałym naruszeniu ochrony danych osobowych i poinformowania zgodnie z art. 34 rozporządzenia 2016/679 osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżąca, reprezentowana przez profesjonalnego pełnomocnika, zaskarżyła przedmiotową decyzję w zakresie pkt 1 (udzielającego jej upomnienia za pozyskanie danych osobowych wnioskodawczyni z zasobów ZUS na PUE ZUS, bez podstawy prawnej). Skarżąca wniosła o uchylenie decyzji w zaskarżonej części i umorzenie postępowania w tym zakresie oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji skarżąca zarzuciła naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy oraz prawa materialnego, które miało wpływ na wynik sprawy, tj.:,
1. art. 7, art. 75 § 1, art. 77 § 1 i art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. oraz art. 7 ust. 1 u.o.d.o. poprzez wybiórczą oraz dowolną, niezgodną z zasadami doświadczenia życiowego i przy tym wewnętrznie sprzeczną ocenę zgromadzonego materiału dowodowego, a także niepodjęcie czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy, a mianowicie: a) uznanie li tylko na podstawie wydruku z profilu wnioskodawczyni na platformie usług elektronicznych (PUE) ZUS, iż skarżąca w dniu [...] października 2019 r. uzyskała dostęp do jej danych osobowych, przy jednoczesnym bezpodstawnym odmówieniu wiary zeznaniom skarżącej, złożonym w toku postępowania karego na [...] Komisariacie Policji w [...] , w których ww. zaprzeczyła, aby logowała się do konta wnioskodawczyni, wyjaśniając jednocześnie, iż "zdarzały się w Przychodni sytuacje, że inny lekarz logował się na jej lub innego lekarza koncie na platformie PUE ZUS, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera" - wskutek nieuprawnionego przyjęcia, iż to na skarżącej spoczywał ciężar wykazania tej okoliczności; b) zdyskwalifikowanie wyjaśnień skarżącej złożonych w toku postępowania przeprowadzonego przez Przychodnię oraz następnie w toku postępowania administracyjnego, w których wskazała, że wglądu do danych pacjentów zawsze dokonuje tylko i wyłącznie w związku z pełnieniem obowiązków lekarza, pomimo jednoczesnego ustalenia, że skarżąca nie miała żadnego interesu w przetwarzaniu danych osobowych wnioskodawczyni w celach prywatnych, nie zna wnioskodawczyni i nikomu nie przekazywała ani w jakikolwiek inny sposób nie wykorzystywała jej danych osobowych; - co doprowadziło do błędnych ustaleń faktycznych przyjętych za podstawę rozstrzygnięcia polegających na uznaniu, że skarżąca pozyskała dane osobowe wnioskodawczyni z zasobów ZUS na platformie usług elektronicznych (PUE ZUS) w celach niezwiązanych ze świadczeniem usług medycznych - naruszając tym samym reguły przetwarzania danych osobowych;
2. art. 4 ust. 7 w zw. z art. 5 ust. 2 rozporządzenia 2016/679, a mianowicie uznanie, że na skarżącej spoczywają obowiązki wynikające z rozporządzenia 2016/679 w zakresie odpowiedniego zabezpieczenia danych osobowych, wobec czego ponosi ona odpowiedzialność za ewentualne naruszenia ochrony danych osobowych będące wynikiem dostępu osób nieuprawnionych do danych w PUE ZUS za pośrednictwem jej konta – wskutek błędnego przyjęcia, że skarżąca jest administratorem danych osobowych, podczas gdy działała ona na podstawie upoważnienia udzielonego jej przez Przychodnię.
W uzasadnieniu skargi skarżąca szczegółowo omówiła ww. zarzuty.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
W dniu [...] kwietnia 2022 r. do Sądu wpłynęło pismo procesowe wnioskodawców, reprezentowanych przez profesjonalnego pełnomocnika, wnioskujące o oddalenie skargi skarżącej w całości oraz zasądzenie na ich rzecz od skarżącej niezbędnych kosztów postępowania.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Skarga nie zasługiwała na uwzględnienie.
Stan faktyczny w sprawie został przedstawiony w historycznej części uzasadnienia i jej bezsporny. Skarżąca kwestionuje tylko przyjęcie- na jego podstawie- że to ona logowała się do konta wnioskodawczyni i jej małoletniego syna. Sam fakt logowania z konta skarżącej nie został zakwestionowany.
Jak wynika jednak z niebudzących wątpliwości Sądu ustaleń organu, dotyczących administrowania danymi za pośrednictwem konta na platformie PUE ZUS, nie został uprawdopodobniony argument skargi o zalogowaniu się na jej konto przez inną osobę (innego lekarza lub pracownika Przychodni), w celu wejścia na konto wnioskodawczyni lub jej małoletniego dziecka. Gdyby nawet tak było, musiałoby mieć miejsce udostępnienie przez skarżącą danych do logowania w systemie tymże osobom, a jest to okoliczność obciążająca ją, a nie usprawiedliwiająca. Skarżąca jako lekarz korzysta bowiem z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim- bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO, dotyczących prawidłowego i legalnego przetwarzania i zabezpieczania danych.
W konsekwencji zupełnie nietrafny jest zarzut naruszenia przez organ art. 7, art. 75, art. 77 § 1, art. 80 K.p.a. poprzez ich niewłaściwe zastosowanie i zaniechanie zgromadzenia całości materiału dowodowego, w tym pominięcie wskazywanych przez Lekarza i Przychodnię wyjaśnień, dotyczących możliwych okoliczności dostępu osób trzecich do danych osobowych Skarżącej za pośrednictwem indywidualnego konta Lekarza w PUE ZUS czy też błędnego logowania.
Sąd podziela stanowisko organu, że materiał dowodowy w sprawie jest pełny i został oceniony rzetelnie, logicznie i wyczerpująco.
Prezes UODO, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a i lit. E RODO, w toku postępowania [...] zwracał się kilkukrotnie o złożenie wyjaśnień przez Lekarza, Przychodnię i ZUS oraz potwierdzających je dowodów w sprawie.
Zrzuty ekranu z profilu skarżącej na platformie PUE ZUS potwierdziły fakt przeglądania danych osobowych wnioskodawczyni z konta skarżącej. Jeżeli z konta skarżącej dane przeglądała inna osoba, skarżąca jako lekarz powinna wiedzieć o zakazie udostępnienia danych do logowania z jej konta osobom trzecim, a jej zarzut, dotyczący logowania z jej konta na skutek błędnego logowania, jest zupełnie nieprawdopodobny.
Sąd nie może zaakceptować bezpodstawnych twierdzeń skarżącej, jakoby Przychodnia odpowiadała jako administrator za dane osobowe, do których (tylko) skarżąca jako lekarz uzyskuje dostęp za pośrednictwem przyznanego jej indywidualnie przez ZUS konta na platformie ZUS PUE. Jak trafnie wyjaśnił organ, zgodnie z art. 4 pkt 7 RODO pojęcie "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Konto w ZUS PUE jest indywidualnym kontem przydzielanym odrębnie dla każdej osoby w określonych dla niej celach; jest zabezpieczane indywidualnym dla każdej osoby loginem i hasłem. W niniejszej sprawie skarżącej przydzielono konto jako lekarzowi, w konsekwencji lekarz jest administratorem danych, do których uzyskuje dostęp.
Skoro zatem z konta skarżącej miał miejsce dostęp do danych osobowych wnioskodawczyni, było to bezprawne, gdyż wnioskodawczyni nie była jej pacjentką ani nie istniała inna prawnie uzasadniona przyczyna pozyskania jej danych przez skarżącą. Fakt wejścia na profil wnioskodawczyni z konta skarżącej jako lekarza na platformie PUE ZUS, jest bezsporny. Twierdzenia skarżącej o (hipotetycznym) skorzystaniu z jej konta przez osoby trzecie nie usprawiedliwiają jej, a wręcz przeciwnie: udostępnianie hasła i loginu innym osobom do własnego konta przez lekarza jako pozbawione podstawy prawnej, powoduje jego odpowiedzialność.
Organ wymierzył łagodną karę, bo "zaledwie" upomniał skarżącą, stosując art. 5 ust. 1 lit. a, art. 6 ust. 1 oraz art. 9 ust. 2 RODO, z uwagi na bezsporne i nie mające podstawy prawnej pozyskanie danych osobowych wnioskodawczyni z zasobów ZUS na platformie PUE ZUS.
Mając na uwadze opisane okoliczności faktyczne i stan prawny sprawy, Sąd orzekł jak w sentencji, na podstawie art.151 p.p.s.a.