II SA/Wa 470/24

II SA/Wa 470/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-10-11
orzeczenie nieprawomocne
Data wpływu
2024-04-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Anna Pośpiech-Kłak /sprawozdawca/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151,
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U. 2023 poz 775
art. 104 par. 1
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Łukasz Krzycki, Asesor WSA Anna Pośpiech-Kłak (spr.), Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 11 października 2024 r. sprawy ze skargi S. S. i K. S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2024 r. nr [...] , na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.), zw. dalej "k.p.a.", art. 5 ust. 1 lit. a, art. 9 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021 str. 35), zw. dalej "RODO", w sprawie ze skargi S. S. i K. S., udzielił Zespołowi Szkolno-Przedszkolnemu z Oddziałami Integracyjnymi w R. upomnienia za naruszenie art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO polegające na udostępnieniu danych osobowych małoletniej N. S., w zakresie okoliczności dotyczących próby samookaleczenia w ww. szkole oraz korzystania z opieki psychologicznej, na rzecz lokalnej prasy.
Powyższe rozstrzygniecie zostało podjęte w następujących okolicznościach faktycznych i prawnych sprawy:
W dniu 19 maja 2023 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga S. S. oraz K. S. na nieprawidłowości w procesie przetwarzania danych osobowych ich małoletniej córki N. S. przez Zespół Szkolno-Przedszkolny z Oddziałami Integracyjnymi w R. przy ul. S. [...], zw. dalej "szkołą", polegające na udostępnieniu danych, w zakresie okoliczności dotyczących próby samookaleczenia w szkole oraz korzystania z opieki psychologicznej, na rzecz lokalnej prasy.
Skarżący podali, że ich córka [...] lutego 2019 r. okaleczyła się w szkolnej toalecie i w związku z tym zdarzeniem dyrekcja szkoły udzieliła wywiadów lokalnej prasie w których podała szczegóły tego zdarzenia jak i informacje, że ich córka korzystała z pomocy psychologa i była pod obserwacją. Skarżący zakwestionowali legalność udostępnienia tych informacji i zarzucili, że dyrekcja szkoły naruszyła prywatność ich córki. W tytułach prasowych "Nasze Strony [...]" oraz "Czas O." ukazały się artykuły na temat tego zdarzenia zawierające wypowiedź dyrekcji szkoły o próbie samookaleczenia oraz o korzystaniu z opieki psychologicznej.
W piśmie z dnia [...] października 2023 r. (data wpływu do organu w dniu [...] października 2023 r.) szkoła wyjaśniła, że poprzednia dyrekcja składała wyjaśnienia na rzecz kuratorium oświaty, w których podała, że nie ujawniła danych osobowych uczennicy, a jedynie posługiwała się językiem faktów, zaś wywiady dotyczyły problemu samookaleczania się młodzieży w ujęciu ogólnym.
W świetle tych okoliczności Prezes UODO wskazał, że istotą tego postępowania jest ocena legalności udostępnienia przez ówczesną dyrekcję szkoły danych osobowych córki skarżących poprzez udzielenie wywiadu na rzecz lokalnej prasy, w których dyrekcja podała szczegóły próby samookaleczenia uczennicy oraz korzystania przez nią z opieki psychologicznej.
Prezes UODO wskazał, że zgodnie z zasadami dotyczącymi przetwarzania danych, dane osobowe muszą być przetwarzane zgodnie z prawem (art. 5 ust. 1 lit. a RODO), zatem aministrator danych musi legitymować się przesłanką uprawniającą go do przetwarzania danych. W przypadku danych osobowych zwykłych jest to art. 6 ust. 1 RODO, natomiast przetwarzanie danych dotyczących zdrowia jest co do zasady zabronione na podstawie art. 9 ust. 1 RODO. Przepis ten nie ma jednak zastosowania jeżeli administrator legitymuje się przesłanką z art. 9 ust. 2 RODO.
Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwą do zidentyfikowania osobą fizyczną jest zaś osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Natomiast zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Tym samym udostępnienie, poprzez udzielenie wywiadu przez dyrekcję, informacji związanych z konkretną uczennicą stanowi przetwarzanie jej danych osobowych, albowiem dotyczy informacji o tej uczennicy.
W ocenie organu pomimo, że w treści artykułów prasowych nie zostało podane imię i nazwisko córki skarżących to można ją pośrednio zidentyfikować odwołując się do całego kontekstu sytuacyjnego. W treści wywiadu znajdują się konkretne informacje wskazujące kiedy i gdzie miało miejsce zdarzenie, płeć i wiek dziecka oraz informacje kontekstowe, iż uczennica wykazywała niepokojące symptomy, znajdowała się uprzednio pod opieką psychologa i pedagoga. Istotne jest, że dla uczniów i kadry nauczycielskiej w danej szkole identyfikacja uczennicy, która okaleczyła się w szkole, jest ułatwiona, tym bardziej w mniejszych miejscowościach gdzie informacje takie są szybko dostępne. Wobec tego wszelkie informacje udzielone prasie odnoszące się do konkretnego zdarzenia w szkole stanowiły dane osobowe córki skarżących.
W świetle powyższego szkoła, działając poprzez swoją ówczesną dyrekcję, ujawniła okoliczności dokonania próby samookaleczenia oraz informacje, że uczennica ta korzystała z opieki psychologa. Informacje dotyczące korzystania z usług psychologa stanowią dane dotyczące zdrowia psychicznego tego dziecka. Szkoła w toku postępowania nie wyjaśniła na jakiej podstawie prawnej udostępniła te dane oraz jaki konkretnie cel chciała prze to osiągnąć.
W ocenie organu, szkoła udostępniając dane osobowe córki skarżących nie legitymowała się żadną przesłanką legalności przetwarzania danych z art. 9 ust. 2 RODO. Natomiast córka skarżących została łatwo zidentyfikowana przez innych uczniów i informacje o niej - wynikające z lokalnej prasy - negatywnie wpłynęły na stosunek tych uczniów do córki skarżących. W ocenie organu, szkoła wykreowała abstrakcyjny cel przetwarzania danych córki skarżących, naruszając tym samym prawo do ochrony jej danych osobowych i prywatności. Nie ma bowiem powiązania pomiędzy ujawnieniem przywołanych danych z żadnym przepisem mogącym zalegalizować takie działanie. Wobec powyższego organ stwierdził, że szkoła naruszyła art. 9 ust. 2 w zw. z art. 5 ust. 1 lit. a RODO.
Z tych względów organ, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, udzielił szkole upomnienia.
Skargę na decyzję Prezesa UODO wnieśli S. S. oraz K. S.. Zaskarżonej decyzji w "części" odnoszącej się do zastosowanego wobec szkoły upomnienia, zarzucili naruszenie art. 58 ust. 2 lit. b RODO przez jego zastosowanie, a tym samym zastosowanie sankcji niewspółmiernie łagodnej w stosunku do konsekwencji naruszenia przez szkołę RODO oraz art. 83 ust. 1 i 2 RODO, przez jego niezastosowanie a w konsekwencji wymierzenie sankcji rażąco łagodnej odnośnie do naruszenia treści rozporządzenia RODO.
Podnosząc te zrzuty skarżący wnieśli o "zmianę zaskarżonej decyzji w zakresie zastosowanej w niej sankcji i wymierzenie Zespołowi Szkolno-Przedszkolnemu w R. z Oddziałami Integracyjnymi z/s w R. stosownej kary pieniężnej wraz z upomnieniem" oraz zasądzenie zwrotu kosztów postępowania według norm przewidzianych.
W uzasadnieniu skargi podnieśli, że nie mogą zgodzić się z tak łagodną sankcją dla szkoły. Wskazali, że nie zostały wzięte pod uwagę konsekwencje naruszenia przez dyrekcję szkoły przepisów RODO. Wywiad udzielony lokalnej prasie nagłośnił samookaleczenie ich córki, która została "zlinczowana" i wykluczona ze środowiska rówieśniczego. Artykułu w prasie pozwoliły na ich identyfikację przez co zrujnowały ich życie rodzinne i towarzyskie. Nie poradzili sobie z obciążeniem psychicznym. Do dziś skarżąca i ich córka leczą się psychiatrycznie i korzystają z pomocy psychologa. Opiekuje się nimi skarżący, który musiał zrezygnować z pracy za granicą.
W odpowiedzi na skargę Prezes PUODO, podtrzymując dotychczasową argumentację, wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492 ze zm.) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.), zw. dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem zaskarżona decyzja Prezesa UODO z dnia [...] stycznia 2024 r. nie narusza prawa. Trafne jest bowiem stanowisko organu, zgodnie z którym administrator danych osobowych – Zespół Szkolno-Przedszkolny w R. z Oddziałem Integracyjnym z siedzibą w R. - nie dopełnił obowiązków wynikających z przepisów o ochronie danych osobowych z tego mianowicie powodu, że przetwarzał, w tym udostępniał, dane osobowe córki skarżących w zakresie informacji o stanie jej zdrowia psychicznego, jak i okoliczności zdarzenia okaleczenia niezgodnie z prawem, na skutek czego dopuścił się naruszenia art. 5 ust. 1 lit. a oraz art. 9 ust. 1 RODO.
Pojęcia "dane osobowe" oraz "przetwarzanie" danych osobowych, zdefiniowane zostały w art. 4 RODO, który w pkt 1 stanowi, że "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
"Przetwarzanie" danych, zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Uwzględniając powyższe przepisy Sąd podziela stanowisko organu, że informacja dotycząca stanu zdrowia psychicznego córki skarżących, jak i okoliczności zdarzenia z jej samookaleczenia w szkole – stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO.
Dane te, jak wynika z akt administracyjnych sprawy, odnoszące się do całego kontekstu sytuacyjnego samookaleczenia: kiedy i gdzie miało miejsce zdarzenie, płeć i wiek dziecka oraz informacje, że uczennica wykazywała niepokojące symptomy przez co znajdowała się uprzednio pod opieką psychologa i pedagoga obejmowały dane uczennicy, które umożliwiły jej identyfikację.
Szkoła argumentowała, że "w rozmowie z mediami nie przekazałam żadnych informacji nt. danych osobowych dziecka. Poinformowałam jedynie o zdarzeniu, używając języka faktów." Podnosiła również, że "Dziennikarz lokalnej gazety przeprowadził ze mną rozmowę, która miała charakter rozmowy o problemie w skali ogólnej. Niestety, połączył informacje, które już krążyły w Internecie i bez mojej autoryzacji umieścił artykuł w gazecie, powołując się na mnie jako dyrektora." Argumenty te pozostają, zdaniem Sądu, bez istotnego znaczenia dla stanowiska organu przyjętego w zaskarżonej decyzji. Organ bowiem nie oceniał, czy i ewentualnie z jakich powodów, dyrekcja Szkoły udzieliła wywiadu, lecz to, czy Szkoła przetwarzała dane osobowe małoletniej córki skarżących na podstawie którejkolwiek z przesłanek legalizujących ten proces, a określonych w art. 6 ust. 1 bądź art. 9 ust. 1 RODO. Ocena ta doprowadziła organ do trafnego wniosku, że Szkoła udostępniła dane osobowe córki skarżących zawierające informacje odnoszące się do stanu jej zdrowia psychicznego, jak i okoliczności zdarzenia z jej samookaleczenia, tj. kiedy i gdzie miało miejsce zdarzenie, płeć i wiek dziecka. Dla odbiorców tych danych wynikała jednoznaczna informacja, że "12 - letnia uczennica (...) Zespołu Szkolno-Przedszkolnego w R. (...) samookaleczyła się w szkolonej toalecie (...) J.K. nie kryje bowiem, że już wcześniej w jej zachowaniu pojawiały się niepokojące symptomy. W związku z tym już od pewnego czasu jest pod opieką pedagoga i psychologa (...) Przyglądaliśmy się jej już od dawna (...) Były rozmowy z mamą, spotkania z pedagogiem i psychologiem."
W tym względzie odwołać się należy do art. 4 pkt 7 RODO, który zawiera definicję pojęcia "administrator" danych osobowych stanowiąc, że pojęcie to oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (...). Wskazać również należy na art. 24 RODO, który określa obowiązki administratora danych osobowych i stanowi, że - uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze - administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (ust. 1). Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (ust. 2).
Powyższy przepis ma charakter klauzuli generalnej określającej podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania z wymogami RODO. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 RODO, tj. zasady zgodności z prawem, rzetelności i przejrzystości (lit. a), ograniczenia celu (lit. b), minimalizacji danych (lit. c), prawidłowości (lit. d), ograniczenia przechowywania (lit. e), integralności i poufności (lit. f), a także o realizację zasady rozliczalności nakładającej na administratora odpowiedzialność za przestrzeganie ww. zasad przetwarzania i zobowiązanie do zapewnienia możliwości wykazania zgodności (art. 5 ust. 2 RODO).
Uwzględniając powyższe regulacje Sąd podziela stanowisko organu, zgodnie z którym to administrator danych osobowych (Szkoła) jest odpowiedzialny za procesy przetwarzania danych osobowych. W konsekwencji to administrator odpowiada za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań - nawet jeśli nie ma świadomości konsekwencji takiego działania - "używając języka faktów" przez ujawnienie kilku szczegółów w sposób pośredni doprowadzi do zidentyfikowana osoby.
Dopuszczalność przetwarzania danych osobowych określają przesłanki wymienione w art. 6 ust. 1 i art. 9 ust. 2 RODO w zależności od tego, czy przetwarzaniu mają być poddane dane zwykłe, czy też dane wrażliwe (szczególne kategorie danych, w tym dane dotyczące zdrowia). Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO jest zamknięty. Przesłanki te mają charakter autonomiczny co oznacza, że dla uznania procesu przetwarzania danych osobowych za zgodny z prawem, niezbędne jest spełnienie przez administratora danych choćby jednej z tych przesłanek.
Z przepisu art. 9 ust. 2 RODO wynika, że zakaz przetwarzania danych osobowych wrażliwych określony w ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z następujących warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Uwzględniając powyższe stwierdzić należy, że w sprawie niniejszej nie wystąpiła żadna z przesłanek legalizujących przetwarzanie danych osobowych, powołanych przez organ w toku postępowania administracyjnego, a następnie w skardze do Sądu.
Przede wszystkim nie sposób przyjąć na podstawie akt administracyjnych sprawy, że szkoła dysponowała zgodą na przetwarzanie danych osobowych córki skarżących dotyczących zdrowia psychicznego w rozumieniu art. 9 ust. 2 lit. a RODO. Nie sposób również przyjąć, choćby z racji na fakt wniesienia skargi do organu ochrony danych osobowych oraz argumentację tam przedstawioną, aby ww. informacja dotycząca zdrowia psychicznego córki skarżących była w sposób oczywisty upubliczniona przez nią samą i pozyskana przez szkołę zgodnie z art. 9 ust. 2 lit. e RODO. Nie sposób również przyjąć, że przetwarzanie ww. danych córki skarżących dotyczących zdrowia psychicznego było podyktowane interesem publicznym poprzez zwiększenie świadomości czytelników lokalnej prasy w świetle art. 9 ust. 2 lit. i RODO. Pozostałych przesłanek legalizujących szkoła również nie wykazała.
W świetle powyższego Prezes UODO zasadnie stwierdził, że żadna z przesłanek wymienionych w art. 9 ust. 2 RODO nie wystąpiła w kontrolowanej sprawie. Przetwarzanie danych osobowych córki skarżących, co do okoliczności samookaleczenia w szkole oraz korzystania z opieki psychologicznej na rzecz lokalnej prasy - nie znajdowało oparcia w art. 9 ust. 2 RODO. Oznacza to, że Szkoła nie dopełniła obowiązków, które spoczywają na niej jako administratorze w związku z przepisami o ochronie danych osobowych, co - jak trafnie przyjął organ - stanowiło naruszenie art. 5 ust. 1 lit. a RODO oraz art. 9 ust. 1 RODO.
Odnosząc się do zarzutów skarżącej w zakresie skorzystania przez organ z uprawnienia naprawczego - upomnienia - wskazać należy, że Prezes UODO, na podstawie art. 58 ust. 2 RODO, wyposażony jest w uprawnienia naprawcze o charakterze władczym, kierowane do administratora lub podmiotu przetwarzającego, do których należy m.in. wydawanie ostrzeżeń; udzielanie upomnień; nakazanie spełnienia żądania osoby, której dane dotyczą; nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia; nakazanie zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych; wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania; nakazanie sprostowania lub usunięcia danych; zastosowanie oprócz lub zamiast środków, o których mowa w ust. 2, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności sprawy.
Stosownie do art. 83 ust. 1 RODO, każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a - h) oraz j) (ust. 2). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na kryteria wymienione w ust. 3 powołanego artykułu.
Celem korzystania przez Prezesa UODO z ww. uprawnień naprawczych jest przywrócenie stanu zgodnego z prawem i zapewnienie egzekwowania przepisów o ochronie danych osobowych. Zgodnie z 129 motywem RODO swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia.
Uwzględniając powyższe Sąd nie podziela stanowiska skarżących, że udzielenie Szkole upomnienia było niewspółmierne do stopnia naruszenia przepisów o ochronie danych osobowych. Upomnienie, jako jedna z kompetencji naprawczych organu nadzorczego (art. 58 ust. 2 RODO), może być stosowane - jak wyjaśniono w motywie 148 preambuły RODO - w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla naruszającego nieproporcjonalne obciążenie. W związku z powyższym eksponowaną przez skarżących niewspółmierność stosowanego środka naprawczego należy odnosić nie tylko do potencjalnej dolegliwości dla administratora (podmiotu przetwarzającego), ale do całokształtu okoliczności konkretnej sprawy.
Z motywu 148 preambuły RODO wynika, że aby egzekwowanie przepisów RODO było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy. Przy nakładaniu sankcji, w tym administracyjnych kar pieniężnych powinno się zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Uwzględniając powyższe zaznaczyć należy, że w niniejszej sprawie szkoła dopuściła się naruszenia przepisów RODO poprzez przetwarzanie tzw. danych osobowych zwykłych oraz wrażliwych. Mimo to z akt sprawy nie wynika, aby dane osobowe, będące przedmiotem zaskarżonej decyzji, zostały w jakikolwiek inny sposób wykorzystane, wbrew skarżącym. Nie można zatem przyjąć, że skarżący ponieśli konkretną szkodę w związku z przetwarzaniem danych osobowych ich córki. W świetle zgromadzonego materiału dowodowego nie można również stwierdzić, że kiedykolwiek wcześniej szkoła dopuściła się naruszenia przepisów z zakresu ochrony danych osobowych, a w konsekwencji, że zastosowano wobec niej środki, o których mowa w art. 58 ust. 2 RODO.
Wobec powyższego, zastosowanie środka naprawczego w postaci upomnienia za stwierdzone naruszenie nie może być uznane za nieodpowiednie czy nieproporcjonalne.
Odnosząc się natomiast do przedstawionej przez skarżących argumentacji mającej przemawiać, ich zdaniem, za spełnieniem w niniejszej sprawie kryteriów zastosowania innej niż upomnienie kary, Sąd stwierdza, że podziela stanowisko organu zawarte w odpowiedzi na skargę, zgodnie z którym korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu. Dotyczy to również uprawnienia do nałożenia administracyjnej kary pieniężnej. Kara ta nie jest nakładana na wniosek strony skarżącej, bowiem przepisy RODO nie dają osobom, których dane dotyczą, prawa do żądania dokonania takiej czynności.
Wobec powyższego Sąd stwierdza, że organ, stosując w niniejszej sprawie instrument o charakterze naprawczym przewidziany w art. 58 ust. 2 lit. b RODO, nie naruszył prawa. Sąd podziela stanowisko organu, że udzielenie upomnienia jest adekwatne do wagi stwierdzonych przez szkołę naruszeń ochrony danych osobowych. Przemawia za tym również orzecznictwo Trybunału Sprawiedliwości, który w wyroku z dnia 26 września 2024 r. sygn. C-768/21 stwierdził, że art. 57 ust. 1 lit. a i f), art. 58 ust. 2 lit. a-j) i art. 77 ust. 1 RODO należy interpretować w ten sposób, że w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z wymienionym art. 58 ust. 2, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli takie działanie nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.
Niezależnie od powyższego, Sąd ubocznie nadmienia, że art. 82 ust. 1 RODO stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Stosownie do art. 82 ust. 6 RODO, postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2. Zgodnie z art. 79 ust. 2 RODO, postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.