II SA/WA 536/24

II SA/Wa 536/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-14
orzeczenie prawomocne
Data wpływu
2024-04-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Arkadiusz Koziarski
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2021 poz 666
art. art. 2 pkt 2, 4 ust. 3, 5 ust. 1, 7 ust. 1
Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia - t.j
Dz.U.UE.L 2016 nr 119 poz 1 art. 28 ust. 3 w zw. z art. 5 ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski, , Protokolant starszy specjalista Aleksandra Weiher, , po rozpoznaniu na rozprawie w dniu 14 stycznia 2025 r. sprawy ze skargi Centrum [...] na punkt 4 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] lutego 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
(Dz.U. z 2023 r. poz. 775; dalej "Kpa."), art. 7 ust. 1 ustawy z dnia 10 maja 2018 r.
o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), art. 5 ust. 1 lit. a i b, art. 6 ust. 1, art. 9 ust. 2, art. 13 ust. 3, art. 14, art. 28 ust. 3 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74
z 4.03.2021, str. 35; dalej "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. W. (dalej uczestnik), dotyczącej przetwarzania jego danych osobowych przez Ministra T., Ośrodek [...] z siedzibą w [...] (dalej Ośrodek), Ministra [...] i Centrum [...] z siedzibą
w [...] (dalej: Centrum, skarżący) w związku z opracowaniem zestawienia statystycznego o nazwie "Podsumowanie akcji szczepień na polskich uczelniach":
1) udzielił upomnienia Ministrowi [...] za naruszenie art. 5 ust. 1 lit. a i b,
art. 6 ust. 1 i art. 9 ust 2 RODO w zw. z art. 28 ust. 3 RODO polegające
na przetwarzaniu danych osobowych uczestnika, pochodzących z Zintegrowanego Systemu Informacji o Szkolnictwie Wyższym i Nauce [...], o którym mowa
w art. 342 ust. 1 ustawy z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym
i nauce (Dz.U. z 2022 r. poz. 574 ze zm.; dalej "ustawa - Prawo o szkolnictwie") oraz
z Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2022 r.
poz. 1555 ze zm.; dalej "SIOZ"), niezgodnie z celem, dla którego dane te zostały zebrane i bez podstawy prawnej oraz ich powierzeniu w drodze Porozumienia
o współpracy z dnia [...] grudnia 2021 r. zawartego między Ministrem [...]
a Ministrem T.
, mimo braku podstawy prawnej do przetwarzania danych w celu określonym w tym Porozumieniu,
2) udzielił upomnienia Ministrowi T. za naruszenie art. 5 ust. 1 lit. a i b, art. 6 ust. 1 w zw. z art. 28 ust. 3 RODO polegające na przetwarzaniu danych osobowych uczestnika pochodzących z Zintegrowanego Systemu Informacji
o Szkolnictwie Wyższym i Nauce [...], o którym mowa w art. 342 ust. 1 ustawy
- Prawo o szkolnictwie, dla którego dane te zostały zebrane i bez podstawy prawnej oraz ich powierzeniu w drodze Porozumienia o współpracy z dnia [...] grudnia 2021 r. zawartego między Ministrem [...] a Ministrem T., mimo braku podstawy prawnej do przetwarzania danych w celu określonym w tym Porozumieniu,
3) udzielił upomnienia Ośrodkowi za naruszenie art. 28 ust. 3 w zw. z art. 5
ust. 1 lit. b RODO polegające na przetwarzaniu danych osobowych uczestnika,
w celu nie wynikającym z zawartej z Ministrem W. [...] października 2018 r. umowy nr [...] powierzenia przetwarzania danych osobowych,
4) udzielił upomnienia Centrum za naruszenie art. 28 ust. 3 w zw. z art. 5 ust. 1 lit. b RODO polegające na przetwarzaniu danych osobowych uczestnika, w celu nie wynikającym z zawartego z Ministrem [...] [...] marca 2020 r. Porozumienia
w sprawie powierzenia przetwarzania danych osobowych, których administratorem jest minister właściwy do spraw zdrowia na podstawie ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia,
5) udzielił upomnienia Ministrowi T. za naruszenie art. 13 ust. 3 RODO polegające na nieudzieleniu uczestnikowi informacji, o których mowa w tym przepisie, wobec przetwarzania jego danych osobowych zawartych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym i Nauce [...], o którym mowa
w art. 342 ust. 1 ustawy - Prawo o szkolnictwie, w celu innym niż cel, w którym dane osobowe zostały zebrane,
6) udzielił upomnienia Ministrowi [...] za naruszenie art. 13 ust. 3 RODO polegające na nieudzieleniu uczestnikowi informacji, o których mowa w tym przepisie, wobec przetwarzania jego danych osobowych zawartych w Elektronicznej Platformie Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r.
o systemie informacji w ochronie zdrowia oraz w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym i Nauce [...], o którym mowa w art. 342 ust. 1 ustawy - Prawo o szkolnictwie w celu innym niż cel, w którym dane osobowe zostały zebrane,
7) udzielił upomnienia Ministrowi [...] za naruszenie art. 14 ust. 1, 2 i 3 RODO polegające na nieudzieleniu uczestnikowi informacji, o których mowa w tych przepisach i w terminie w nim określonym, wobec pozyskania jego danych osobowych od Ministra T. w zakresie i celu wynikającym z zawartego
[...] grudnia 2021 r. z Ministrem N. Porozumienia o współpracy.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga uczestnika dotycząca przetwarzania jego danych osobowych przez Ministra T., Ośrodek, Ministra [...] oraz Centrum, w związku z opracowaniem zestawienia statystycznego o nazwie "Podsumowanie akcji szczepień na polskich uczelniach".
W treści skargi zarzucono wymienionym podmiotom niezgodne z prawem przetwarzanie danych osobowych uczestnika przez Ministra T. zgromadzonych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym
i Nauce [...] oraz w Systemie Informacji Medycznej w celu niezgodnym
z pierwotnymi celami przetwarzania tych danych osobowych, a więc z naruszeniem zasady ograniczenia celu przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. b RODO; przetwarzanie przez Ministra T. danych osobowych uczestnika zgromadzonych w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym i Nauce [...] w postaci udostępnienia tych danych osobowych
w postaci numeru PESEL bez ważnej podstawy prawnej przez Ministra T. do Ministra [...], a więc z naruszeniem zasady legalności przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. a RODO w zw. z art. 6 ust. 1 RODO; przetwarzanie przez Ministra [...] danych osobowych uczestnika uzyskanych od Ministra T. w postaci przynajmniej analizy i agregacji oraz udostępnienia tych danych osobowych bez ważnej podstawy prawnej przez Ministra [...] do Ministra T., a więc z naruszeniem zasady legalności przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. a RODO w zw. z art. 6 ust. 1 RODO; przetwarzanie przez Ministra [...] danych osobowych uczestnika zgromadzonych w Systemie Informacji Medycznej w postaci udostępnienia tych danych osobowych bez ważnej podstawy prawnej oraz
w warunkach aktualności generalnego zakazu przetwarzania danych osobowych [danych osobowych szczególnej kategorii w postaci danych dotyczących zdrowia] przez Ministra [...] do Ministra T., a więc z naruszeniem zasady legalności przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. a RODO w zw. z art. 9 ust. 1 RODO; przetwarzanie przez Ministra T. danych osobowych uczestnika uzyskanych od Ministra [...] bez ważnej podstawy prawnej oraz w warunkach aktualności generalnego zakazu przetwarzania danych osobowych [danych osobowych szczególnej kategorii w postaci danych dotyczących zdrowia], a więc z naruszeniem zasady legalności przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. a RODO w zw. z art. 9 ust. 1 RODO; brak realizacji wobec uczestnika obowiązków informacyjnych przez Ministra [...] oraz przez Ministra T. w związku z przetwarzaniem jego danych osobowych przez te podmioty w ramach weryfikacji poziomu wyszczepienia na polskich uczelniach,
a więc naruszenie zasad rzetelności i przejrzystości przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 lit. a RODO w zw. z art. 13 i 14 RODO.
Wskazano jednocześnie, że uczestnik jest wykładowcą akademickim, doktorem habilitowanym zatrudnionym na Wydziale [...] Uniwersytetu [...] i dotyczące go dane osobowe, znajdują się w Wykazie nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu, prowadzonym
w Zintegrowanym Systemie Informacji o Szkolnictwie Wyższym i Nauce [...].
W wyniku przeprowadzonej przez ww. podmioty operacji na danych osobowych doszło do integracji danych przetwarzanych w systemie [...] i [...], bowiem dokonano eksportu numerów PESEL z systemu [...], które przekazano
do Ministra [...] oraz Centrum do porównania z danymi z [...] i które następnie uzupełniono o informację zaszczepiony/niezaszczepiony, by tak uzupełnioną listę podmioty te przekazały zwrotnie do Ministra T. i Ośrodka.
Zarzucono ponadto, że Ośrodek podał do publicznej wiadomości informacje
w przedmiocie podsumowania akcji szczepień na polskich uczelniach. Wyniki przeprowadzonego badania statystycznego opublikowano na stronie internetowej Ośrodka [...] (pod adresem [...]) oraz w serwisach pozostających pod nadzorem Ministerstwa T., w domenie [...], pod adresem URL: [...] i na oficjalnym [...] M T..
Wskazując na powyższe wniesiono o dostosowanie operacji przetwarzania danych, w szczególności powiadomienie osób, których dane dotyczą
o przetwarzaniu, zakazanie Ministrowi T. i Ministrowi [...] przetwarzania danych osobowych z [...] i [...] dla celów niewynikających
z podstaw prawnych funkcjonowania tych systemów, ewentualnie nakazanie usunięcia/ograniczenia przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane ujawniono, a ponadto ukaranie powołanych organów.
W toku przeprowadzonego postępowania administracyjnego Prezes UODO wyjaśnił m.in., że Ośrodek zgodnie z art. 356 ustawy - Prawo szkolnictwie, jest instytutem badawczym, którego przedmiot działania jest związany ze świadczeniem usług w zakresie systemów informacyjnych. Jest on nadzorowany przez Ministra T., który zlecił Ośrodkowi administrowanie Systemem [...].
Jak oświadczył Minister T. w piśmie skierowanym do UODO
w toku niniejszego postępowania, z uwagi na dynamiczny rozwój sytuacji epidemicznej wywołanej COVID-19, niezbędne było podjęcie działań, które zapewnią ciągłość funkcjonowania uczelni oraz zagwarantują bezpieczeństwo członkom wspólnot akademickich, przy jednoczesnym realizowaniu podstawowych zadań uczelni. W związku z tym [...] grudnia 2021 r. zawarto Porozumienie o współpracy,
w celu pozyskania informacji statystycznej o poziomie zaszczepienia przeciwko chorobie COVID-19 (model statystyczny) następujących członków wspólnot uczelni: pracowników (nauczycieli akademickich, osób prowadzących zajęcia, osób prowadzących działalność naukową, osób biorących udział w prowadzeniu działalności naukowej), studentów oraz osób ubiegających się o stopień doktora. Porozumienie w zakresie pozyskania informacji statystycznej
o poziomie zaszczepienia przeciwko chorobie COVID-19 (model statystyczny), realizowane przy pomocy podległych Ministrom jednostek, tj. C[...], podległego M[...] oraz Ośrodkowi, nadzorowanego przez Ministra T. oraz administrujących w imieniu Ministrów systemami teleinformatycznymi wykorzystanymi do wykonania Porozumienia, podyktowane było koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania i realizacji polityki naukowej państwa. Działania opisane w danym Porozumieniu podyktowane były koniecznością zagwarantowania uczelniom efektywnego funkcjonowania w czasie epidemii. Jak wskazano, dane dotyczące szczepień stanowią istotne informacje dla rektorów uczelni, zwłaszcza dla zarządzania uczelnią w sytuacji epidemiologicznej
w celu zapewnienia bezpiecznych i higienicznych warunków pracy i kształcenia oraz ograniczania w ten sposób rozprzestrzeniania się COVID-19 wśród społeczności akademickiej (tak: pismo M T. z [...] marca 2022 r. do UODO).
Cel, w jakim zawarto Porozumienie z [...] grudnia 2021 r., określono w pkt 1 jego preambuły, tj. cyt.: "W związku ze stanem epidemii (...) zaistniała potrzeba weryfikowania przez Strony poziomu zaszczepienia przeciwko chorobie COVID-19 członków wspólnot uczelni. Działanie to jest podyktowane koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalenia i realizacji polityki naukowej państwa (...)". Przedmiotem Porozumienia jest określenie ramowych zasad współpracy stron na potrzeby weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 (model statystyczny) wśród następujących członków wspólnot uczelni: pracowników (nauczycieli akademickich, osób prowadzących zajęcia, osób prowadzących działalność naukową, osób biorących udział w prowadzeniu działalności naukowej), studentów, osób ubiegających się o stopień doktora, a także zapewnienie koordynacji i przekazywanie danych z systemów mających zastosowanie w ramach tych działań, czyli z Systemu [...] do Platformy [...],
a następnie dokonanie analizy tych danych przez Centrum w celu zwrotnego przekazania do Ministra T. danych statystycznych dotyczących poziomu zaszczepienia ww. osób w uczelniach w Polsce. Strony Porozumienia zgodnie oświadczyły, że z Sytemu [...] do Platformy [...] będą przekazywane dane członków wspólnot uczelni, o których mowa powyżej w zakresie: numer PESEL, dane identyfikujące uczelnię, przynależność do jednej z ww. grup,
a ponadto, że Centrum będzie przekazywać do Ministra dane anonimowe, pozbawione danych osobowych, tj. informacje dotyczące poziomu zaszczepienia ww. członków wspólnot uczelni, które nie będą się wiązać ze zidentyfikowaną lub możliwą do zidentyfikowania osobą, której dane dotyczą i na podstawie których nie będzie można zidentyfikować tych osób. Współpraca stron realizowana będzie w m.in.
w formie porównywania danych z Systemu [...] i Platformy [...] w celu uzyskania informacji statystycznej o % osób zaszczepionych oraz przygotowywanie
w dwutygodniowych odstępach czasowych zestawień statystycznych obejmujących: informacje o liczbie osób z Systemu [...] przyjętych do porównania, informacje
o % osób zaszczepionych ogółem w uczelniach w skali kraju, informacje o % osób zaszczepionych w poszczególnych uczelniach, w grupach: studenci, osoby ubiegające się o stopień doktora, pracownicy (nauczyciele akademiccy, osoby prowadzące zajęcia, osoby prowadzące działalność naukową, osoby biorące udział w prowadzeniu działalności naukowej). Porozumienie zawarto do [...] grudnia 2022 r., z możliwością wypowiedzenia przez strony z zachowaniem jednomiesięcznego okresu wypowiedzenia. (tak: pismo Ministra [...] z [...] marca 2022 r. do UODO, pismo Ministra T. z [...] kwietnia 2022 r. do UODO, Porozumienie
o współpracy - w aktach sprawy).
[...] października 2018 r. Minister T. (wówczas: Minister W.) i Ośrodek zawarły umowę powierzenia przetwarzania danych osobowych, na mocy której Ośrodek będzie przetwarzał dane:
- zawarte w [...] nie dłużej niż do [...] września 2018 r. m.in. nauczyciela akademickiego lub pracownika naukowego w postaci m.in. imion
i nazwiska, numeru PESEL, roku urodzenia, płci, tytułu zawodowego, stopnia naukowego lub tytułu naukowego, informacje o podstawowym miejscu pracy
i miejscu dodatkowego zatrudnienia (§ 2 ust. 1 pkt 1 a ww. umowy), doktora i doktora habilitowanego w postaci m.in. imion i nazwiska, numeru PESEL, roku urodzenia, płci, nadanego stopnia, daty wszczęcia przewodu doktorskiego albo postępowania habilitacyjnego albo przewodu habilitacyjnego (§ 2 ust. 1 pkt 1 c ww. umowy),
- zawarte w [...] od [...] października 2018 r. dane osobowe kategorii osób wskazanych w pkt [...], w tym m.in. nauczyciela akademickiego, innej osoby prowadzącej zajęcia, osoby prowadzącej działalność naukową w postaci m.in. imion, nazwisk, numeru PESEL, elektronicznego identyfikatora naukowca, obywatelstwa, roku urodzenia, płci, informacji o tytule zawodowym (§ 2 ust. [...] pkt [...] a ww. umowy), wyłącznie w celu umożliwienia ministrowi właściwemu do spraw szkolnictwa wyższego i nauki wykonywania zadań określonych w obowiązujących przepisach prawa, w tym w art. 342 ust. 4 ustawy - Prawo o szkolnictwie, poprzez wykonanie prac programistycznych umożliwiających działanie baz danych w ramach systemów wskazanych w ust. 1 oraz realizację zadań w zakresie utrzymania i administrowania bazami danych, o których mowa w ust. 1 oraz monitorowanie losów studentów
i absolwentów szkół wyższych, doktorantów i absolwentów studiów wyższych, doktorantów i absolwentów studiów trzeciego stopnia oraz osób, które uzyskały stopień doktora lub doktora habilitowanego, a także tworzenie analiz i raportów na potrzeby Ministra W.. Przetwarzanie danych przez Ośrodek będzie polegało na wykonywaniu takich operacji jak: przechowywanie, modyfikowanie, usuwanie, archiwizowanie oraz ich udostępnianie odpowiednio podmiotom, o których mowa w art. 343 ust. 5, art. 344 ust. 3, art. 345 ust 3, art. 348 ust. 3 i art. 349 ust. 3 (§ 2 ust. 2 ww. umowy).
[...] marca 2020 r. pomiędzy Ministrem [...] a Centrum zawarte zostało "Porozumienie w sprawie powierzenia przetwarzania danych osobowych, których administratorem jest minister właściwy do spraw zdrowia na podstawie ustawy z dnia [...] kwietnia 2011 r. o systemie informacji w ochronie zdrowia". Jego przedmiotem jest powierzenie Centrum przetwarzania danych osobowych w celu niezbędnym do realizacji obsługi organizacyjno-technicznej systemu informacji obejmującego ustrukturyzowane bazy danych funkcjonujące w ramach: 1) Systemu Informacji Medycznej, 2) dziedzinowych systemów teleinformatycznych oraz 3) rejestrów medycznych, tworzonych przez podmioty obowiązane do ich prowadzenia zgodnie z art. 5 ust. 1 SIOZ, obsługiwanych przez Elektroniczną Platformę Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych Rejestrów Medycznych oraz przez Platformę Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych, które stanowią instrumenty służące wymianie informacji w systemie ochrony zdrowia. Jak wynika z załącznika nr [...] do ww. porozumienia, celem przetwarzania powierzonych danych osobowych jest zapewnienie obsługi organizacyjno-technicznej systemu informacji obejmującego bazy danych funkcjonujące w ramach: Systemu Informacji Medycznej, dziedzinowych systemów teleinformatycznych oraz rejestrów medycznych tworzonych przez podmioty obowiązane do ich prowadzenia zgodnie z art. 5 ust. 1 SIOZ oraz dotyczy danych usługobiorców, danych usługodawców oraz pracowników medycznych w rozumieniu SIOZ. Zakres powierzonych danych to: dane zawarte w Systemie Informacji Medycznej obejmujące dane z baz danych funkcjonujących w ramach systemów wskazanych w art. 10 ust 1 i 2 SIOZ, tj. dane osobowe i jednostkowe dane medyczne o usługobiorcy gromadzone w Centralnym Wykazie Usługobiorców, w zakresie określonym w art. 4 ust. 3 SIOZ; dane o usługodawcach z Centralnego Wykazu Usługodawców w zakresie określonym w art. 16 ust. 2 SIOZ; dane o pracownikach medycznych z Centralnego Wykazu Pracowników Medycznych w zakresie określonym w art. 17 ust. 2 SIOZ oraz dane osobowe i jednostkowe dane medyczne gromadzone w dziedzinowych systemach teleinformatycznych, tj. w: Systemie Statystyki w Ochronie Zdrowia, w zakresie określonym w art. 23 ust. 2 SIOZ; Systemie Ewidencji Zasobów Ochrony Zdrowia, w zakresie określonym w art. 24 ust. 2 SIOZ; Systemie Monitorowania Dostępności do Świadczeń Opieki Zdrowotnej, w zakresie określonym w art. 27 ust. 1 SIOZ; Systemie Monitorowania Kształcenia Pracowników Medycznych, w zakresie określonym w art. 30 ust. 2 SIOZ; Systemie Obsługi List Refundacyjnych, w zakresie określonym w art. 30a ust. 1 i 2 SIOZ; Instrumencie Oceny Wniosków Inwestycyjnych, w zakresie określonym w art. 31 a ust. 1 SIOZ; Rejestrze Asystentów Medycznych, w zakresie określonym w art. 31 b ust. 7 SIOZ. (tak: pismo Ministra [...] z [...] marca 2022 r. do UODO, porozumienie, załącznik nr [...] o nazwie "Zakres powierzenia danych osobowych oraz dane kontaktowe stron", pismo Ministra [...] z [...] czerwca 2022 r. do UODO - w aktach sprawy).
Ośrodek przygotował listę osób z [...], zawierającej PESEL, w tym PESEL uczestnika, wraz z przypisanymi statusami osób (student, doktorant, pracownik uczelni) oraz danymi identyfikującymi uczelnię i umożliwił jej pobranie przez Centrum, działające na zlecenie Ministra [...]. Centrum dokonało analizy (porównania) przekazanych danych wraz z danymi, których administratorem jest Minister [...], przetwarzanymi przez system [...], na podstawie ww. porozumienia o powierzeniu przetwarzania danych osobowych z [...] marca 2020 r. Wynikiem ww. analizy były dane statystyczne dotyczące poziomu zaszczepienia członków wspólnot uczelni. Ośrodek nie otrzymał zwrotnie listy uzupełnionej
o informację zaszczepiony/niezaszczepiony. Minister [...] nie udostępnił na rzecz Ośrodka danych osobowych uczestnika pochodzących z Systemu [...] będącego elementem Systemu Informacji Medycznej ([...]). Ośrodek nie pozyskał żadnych danych osobowych od Ministra [...] (Centrum) tylko dane statystyczne
w zakresie: nazwa uczelni, ID uczelni, grupa (student, doktorant, pracownik), stan zaszczepienia w grupie (brak, jedna dawka, pełna dawka), liczba osób w dane grupie, informacja po jakim identyfikatorze nastąpiło porównanie po stronie Centrum w celu uzyskania wyniku statystycznego. (tak: pismo Ośrodka z [...] marca 2022 r.
do UODO, pismo Centrum z [...] marca 2022 r. do UODO, pismo Ministra [...]
z [...] marca 2022 r. do UODO, pismo Ministra N. z [...] marca 2022 r.
do UODO - w aktach sprawy).
Minister N. w wyniku analizy dokonanej przez Centrum uzyskał jedynie ww. dane statystyczne dotyczące poziomu zaszczepienia ww. grup osób
w uczelniach, w tym nauczycieli akademickich, do której to grupy przynależy uczestnik. Nie pozyskał od Ministra [...] danych osobowych uczestnika, jak również innych nauczycieli akademickich, studentów i doktorantów, w tym w zakresie numeru PESEL uzupełnionych o informację zaszczepiony/niezaszczepiony. (tak: pismo z [...] marca 2022 r. do UODO, pismo Centrum z [...] marca 2022 r. do UODO
- w aktach sprawy).
Minister [...] nie udostępnił na rzecz Ministra T. danych osobowych pochodzących z systemu [...] będącego elementem Systemu Informacji Medycznej ([...]). Udostępnił jedynie dane anonimowe (statystyczne). (tak: pismo Ministra [...] z [...] marca 2022 r. do UODO - w aktach sprawy).
Jak oświadczył Minister T., w piśmie skierowanym do UODO
w toku niniejszego postępowania, z uwagi na fakt, że wskazane działania zgodne były z pierwotnym celem przetwarzania danych osobowych ww. grup osób
w uczelniach, w tym nauczycieli akademickich, do której to grupy przynależy uczestnik, nie było konieczności spełnienia wobec niego obowiązku informacyjnego, o którym mowa w art. 13 ust. 3 RODO. (tak: pismo Ministra T.
z [...] marca 2022 r. do UODO - w aktach sprawy).
Jak oświadczył Minister [...] w piśmie z [...] marca 2022 r. skierowanym do UODO w toku niniejszego postępowania, nie przedstawił uczestnikowi informacji,
o których mowa w art. 14 RODO z uwagi na postanowienia art. 4 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej uodo.). Działanie realizowane przez Ministra [...] wraz Ministrem T. było zadaniem służącym ważnym celom leżącym w ogólnym interesie publicznym w zakresie zdrowia publicznego i zabezpieczeniu społecznemu. W związku ze stanem epidemii, łatwością przenoszenia się wirusa SARS-CoV-2 oraz potencjalnego zagrożenia życia i zdrowia jakie niesie ze sobą zarażenie wirusem SARS-CoV-2 powodującego chorobę COVID-19, zaistniała potrzeba weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 członków wspólnot uczelni umożliwiająca kierującym uczelniom organizację nauczania dostosowaną do tego poziomu. Działanie to było podyktowane koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania i realizacji polityki naukowej państwa. Z uwagi na art. 3 ust. 1 pkt 1 uodo. nie przedstawił uczestnikowi informacji, o których mowa w art. 13 ust. 3 RODO wobec zmiany celu przetwarzania danych osobowych uczestnika zawartych w [...], bowiem działanie realizowane przez Ministrów było zadaniem służącym ważnym celom leżącym w ogólnym interesie publicznym w zakresie zdrowia publicznego
i zabezpieczeniu społecznemu w związku ze stanem epidemii.
Realizacja zadań określonych przez Ministra daje podstawę i uprawnienie Ośrodkowi do wykonania operacji w postaci przygotowania listy osób z systemu [...], zawierającej identyfikator w postaci nr PESEL i umożliwienie jej pobrania przez Centrum, działające na rzecz Ministra [...]. (tak: pismo Ośrodka z [...] sierpnia 2022 r. do UODO, pismo Ministra W. z [...] lutego 2018 r. ([...]) do Ośrodka, umowa Nr [...]
z [...] lutego 2018 r., załącznik nr [...] do Aneksu nr [...] do umowy Nr 1 [...], załącznik nr [...] do umowy Nr [...] - w aktach sprawy).
Aktualnie Ośrodek zgodnie ze wskazaną powyżej umową nr [...] powierzenia przetwarzania danych z [...] października 2018 r., przetwarza dane osobowe uczestnika zgodnie z jej treścią, w szczególności w celu administrowania bazami danych Ministra T.. Ośrodek przygotował publikację zestawienia statystycznego określonego jako weryfikacja poziomu zaszczepienia na podstawie polecenia Ministra. Podstawą tego polecenia, według oświadczenia Ośrodka, było Porozumienie o współpracy z [...] grudnia 2021 r. zawarte pomiędzy Ministrami (tak: pismo Ośrodka z [...] marca 2022 r. do UODO - w aktach sprawy).
Aktualnie pod adresem [...] Ministra T. figuruje m.in. informacja o treści cyt.: "(...) Środowisko akademickie to jedna z najlepiej zaszczepionych przeciw COVID-19 grup w Polsce. Z danych [...] wynika, że zaszczepiło się aż 89 % nauczycieli akademickich i innych osób prowadzących zajęcia oraz realizujących działalność badawczą (...)" oraz "Podsumowanie akcji szczepień na polskich uczelniach" poziom zaszczepienia 89% pracownicy uczelni, 83% doktoranci, 71% studenci. Znajduje się tam również link odsyłający do treści strony [...], gdzie figuruje ww. informacja o poziomie zaszczepienia przeciw COVID-19 na polskich uczelniach i wymienione zostały z nazwy oraz z procentowym udziałem zaszczepionych osób uczelnie z największą liczą zaszczepionych pracowników, uczelnie z największą liczą zaszczepionych doktorantów oraz uczelnie z największą liczbą zaszczepionych studentów.
W uzasadnieniu wymienionej na wstępie decyzji Prezes UODO wskazał,
że prowadzone postępowanie ma na celu ustalenie czy w sprawie doszło do naruszenia przepisów o ochronie danych osobowych, a w razie stwierdzenia tego naruszenia, skorzystanie z uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO.
Organ wyjaśnił, że uczestnik kwestionował przetwarzanie jego danych osobowych, w tym ich udostępnianie, zgromadzonych w [...] oraz w [...], a także niewypełnienie przez Ministra T. oraz Ministra [...] wobec niego obowiązków informacyjnych.
Przywołano następnie mające zastosowanie w niniejszej sprawie przepisy,
w tym art. 5, 6 ust. 1, 9 ust. 1, 26 ust. 1, 28 ust. 3 i 35 RODO oraz m.in. art. 342, 356 i 376 ustawy – Prawo o szkolnictwie.
Organ podał, że jak wynika z art. 1 ust. 1 SIOZ, w systemie informacji
o ochronie zdrowia przetwarzane są dane niezbędne do prowadzenia polityki zdrowotnej państwa, podnoszenia jakości i dostępności świadczeń opieki zdrowotnej oraz finansowania zadań z zakresu ochrony zdrowia. Zgodnie z art. 3 ust. 1 SIOZ, system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane o: 1) udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej; 2) usługodawcach i pracownikach medycznych;
3) usługobiorcach. W art. 4 ust. 3 SIOZ określono dane dotyczące usługobiorców gromadzone w przedmiotowym systemie informacji, które obejmują m.in. imię (imiona) i nazwisko (art. 4 ust. 3 pkt 1 lit. a SIOZ), numer PESEL (art. 4 ust. 3 pkt 1 lit. lit. g SIOZ), jednostkowe dane medyczne (art. 4 ust. 3 pkt 2 SIOZ), czyli zgodnie z art. 2 pkt 7 SIOZ dane osoby fizycznej o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej oraz dotyczące jej stanu zdrowia, w tym profilaktyki zdrowotnej i realizacji programów zdrowotnych (zgodnie z art. 5 pkt 34 i 40 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, Dz.U. z 2021 r. poz. 1285 ze zm., do świadczeń opieki zdrowotnej należą świadczenia zdrowotne, czyli działanie służące profilaktyce, zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działanie medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich udzielania). Zgodnie z art. 5 ust. 1 pkt 1 SIOZ, System informacji obejmuje bazy danych funkcjonujące w ramach [...]. Zgodnie z art. 7 ust. 1 pkt 1 SIOZ, Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych jest systemem teleinformatycznym, który umożliwia w szczególności dostęp usługobiorców do informacji o udzielonych
i planowanych świadczeniach opieki zdrowotnej zgromadzonych w [...] oraz raportów z udostępnienia danych ich dotyczących. [...], co wynika z art. 10 ust. 1 i 8 SIOZ, jest systemem teleinformatycznym służącym przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej udostępnianych przez systemy teleinformatyczne usługodawców, administratorem danych przetwarzanych w [...] jest minister właściwy do spraw zdrowia. W art. 12 ust. 1 pkt 1 - 11 SIOZ zostały określone cele przetwarzania danych w [...].
Jak wynika z powyższego, zdaniem organu, Minister [...] jest administratorem danych osobowych zawartych w systemie [...], w ramach którego przetwarzane są dane osób, które poddały się zaszczepieniu przeciwko chorobie COVID-19. Centrum jest jednostką podległą Ministrowi [...], o której mowa w art. 2 pkt 2 SIOZ i jednocześnie administratorem Systemu [...] odpowiedzialnym za jego techniczno-organizacyjną obsługę, w szczególności administruje "Systemem informacji" w rozumieniu SIOZ w imieniu Ministra [...] (art. 10 ust. 7 SIOZ).
Z kolei M T. jest administratorem danych osobowych zawartych w [...], Ośrodek zaś administruje Systemem [...].
Z materiału dowodowego sprawy wynika, że Ośrodek na zlecenie Ministra T. przygotował listę osób z [...], zawierającą m. in. PESEL i status uczestnika jako nauczyciela akademickiego i udostępnił ją Centrum, działającemu
na rzecz Ministra [...], w celu weryfikacji poziomu zaszczepienia we wskazanych grupach osób na uczelniach. Centrum dokonało porównania udostępnionych danych z danymi z "Systemu informacji" i wytworzyło statystyczne zestawienie w zakresie: nazwa uczelni, ID uczelni, grupa (student, doktorant, pracownik), stan zaszczepienia w grupie (brak, jedna dawka, pełna dawka), liczba osób w dane grupie, informacja po jakim identyfikatorze nastąpiło porównanie po stronie Centrum w celu uzyskania wyniku statystycznego, które zwrotnie przekazał do Ośrodka/Ministra [...]. Ośrodek zaś przygotował do publikacji ww. zestawienie statystyczne pod nazwą "Podsumowanie akcji szczepień na polskich uczelniach", udostępnione na danych stronach internetowych.
W ocenie Prezesa UODO cele przetwarzania danych osobowych wynikające
z Porozumienia zawartego pomiędzy Ministrami nie mieszczą się w katalogu celi przetwarzania danych osobowych w Systemie [...], określonym w art. 342 ust. 4 ustawy – Prawo o szkolnictwie. Cele przetwarzania danych osobowych w Systemie [...] zostały ściśle określone w art. 342 ust. 4 tej ustawy i jest to katalog zamknięty, i nie ma wśród nich "potrzeby weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 członków wspólnot uczelni" (tak w treści Porozumienia). Ponadto, samo prawo dostępu obu tych organów do danych osobowych w Systemie [...] nie stanowi podstawy prawnej do przeprowadzania dowolnych operacji na tych danych. Zgodnie bowiem z art. 6 ust. 3 RODO podstawa prawna przetwarzania, o którym mowa w ust. 1 lit. c i e RODO, musi być określona: a) w prawie Unii; lub b) w prawie państwa członkowskiego, któremu podlega administrator; cel przetwarzania musi być określony w tej podstawie prawnej lub,
w przypadku przetwarzania, o którym mowa w ust. 1 lit. e - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Z powołanych wyżej przepisów nie wynika, aby wytworzenie informacji w zakresie poziomu zaszczepienia się pracowników uczelni, studentów i doktorantów stanowiło zadanie realizowane przez Ministra T. w ramach polityki naukowej państwa oraz mieściło się w czynnościach, które zgodnie z przedmiotową ustawą może podejmować Minister T. w związku ze sprawowanym nadzorem nad uczelniami.
Zdaniem Prezesa UODO analiza SIOZ, która określa m.in. zasady funkcjonowania systemu informacji o ochronie zdrowia i obsługującej go m.in. Elektronicznej Platformy Gromadzenia, Analiz i Udostępnienia Zasobów Cyfrowych
o Zdarzeniach Medycznych (Platforma [...]), wykorzystanej do realizacji Porozumienia zawartego pomiędzy Ministrem T. oraz Ministrem [...], prowadzi do wniosku, że Minister [...] nie ma podstawy prawnej, w rozumieniu RODO do przetwarzania danych osobowych w sposób wynikający z przedmiotowego Porozumienia, czyli zestawienia – za pomocą numeru PESEL – danych osobowych przetwarzanych w Systemie [...] (do których ma dostęp na podstawie przepisów ustawy – Prawo o szkolnictwie i które dodatkowo zostały mu przekazane przez Ministra T.) i tych przetwarzanych z wykorzystaniem Platformy [...]. Podstawy takiej nie mogą stanowić przepisy PSWIN, gdyż w systemie [...] nie są przetwarzane informacje o szczepieniach oraz trudno zakwalifikować wytworzenie informacji statystycznej w zakresie szczepień na uczelniach jako czynności, które może podejmować Minister [...] w ramach nadzoru nad uczelniami medycznymi sprawowanego zgodnie z art. 433 ust. 1 pkt 4 i ust. 2 ustawy – Prawo o szkolnictwie. Tym samym kwestionowane działanie Ministra [...] nie było zgodne z przepisami.
W "Systemie informacji" są też przetwarzane dane usługobiorców w postaci imion i nazwisk, numerów PESEL, numerów i rodzajów dokumentów potwierdzających prawo do świadczeń opieki zdrowotnej finansowanych ze środków publicznych, numerów identyfikacyjnych płatników, ale brak wyszczególnienia, czy ktoś posiada status pracownika uczelni, studenta, czy doktoranta. Z kolei w art. 12 SIOZ zostały określone cele przetwarzania danych w [...], ale nie ma wśród nich celu przetwarzania danych osobowych wynikającego z zawartego pomiędzy Ministrem T. a Ministrem [...] Porozumienia - czyli potrzeby weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 wśród członków wspólnot uczelni w związku z koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania oraz realizacji polityki naukowej państwa.
Z uwagi na to, że w systemie informacji o ochronie zdrowia i obsługującej go m.in. Elektronicznej Platformie Gromadzenia, Analiz i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych (Platforma [...]) nie przetwarza się danych
o statusie pracownika uczelni, studenta i doktoranta, monitorowanie przebiegu szczepień nie może obejmować tych informacji, co również przesądza o braku podstaw prawnych dla Ministra [...] do przetwarzania danych osobowych zgodnie z zawartym z Ministrem T. Porozumieniem.
Zarówno przygotowanie przez Ośrodek działającego na rzecz Ministra T. zestawienia zawierającego konfigurację danych PESEL
z przypisanym statusem osób (student, doktorant, pracownik uczelni) oraz ID uczelni dla celu porównania ich przez Centrum, działające na rzecz M[...], z danymi zawartymi w Systemie [...] dotyczącymi zaszczepienia, jak i dokonanie przez Centrum
ww. porównania (analizy), nie znajduje umocowania w zawartych ww. umowach powierzenia danych (umowie/porozumieniu), zawartych odpowiednio [...] października 2018 r. i [...] marca 2020 r. Celem przetwarzania danych przez Ośrodek wynikającym z umowy nr [...] jest umożliwienie Ministrowi T. wykonywania zadań określonych w obowiązujących przepisach prawa, w tym w art. 342 ust. 4 ustawy – Prawo o szkolnictwie, gdy przygotowanie zestawienia statystycznego o poziomie zaszczepienia na polskich uczelniach nie mieści się
w dyspozycji tego przepisu. Nawet biorąc pod uwagę treść załączonych przez Ośrodek aneksów do ww. umowy, jak i oświadczenia Ośrodka, że jego uprawnienie do kwestionowanego przetwarzanie danych wynika przede wszystkim z treści umowy dotacyjnej nr [...], określonej jako wykonywanie w sposób ciągły zadań związanych z rozbudową, utrzymaniem, modernizacją i administrowaniem bazami danych o nauce i szkolnictwie wyższym oraz wskazanej w tej samej umowie zadań sprowadzających się do utrzymania Systemu [...], nie sposób uznać by realizacja tych zadań dawała podstawę do przygotowania listy osób z systemu [...], zawierającej identyfikator w postaci nr PESEL i umożliwienia jej pobrania przez Centrum, działające na rzecz Ministra [...], gdyż działanie takie nie mieści się w katalogu z art. 342 ust. 4 danej ustawy, jak i jest sprzeczne z art. 356 ust. 1 pkt 1 tego aktu, kreującym rolę Ośrodka wyłącznie jako administratora systemu [...], pełniącego funkcje techniczno-organizacyjne. Z kolei przedmiotem Porozumienia z [...] marca 2020 r. zawartego przez Centrum z Ministrem [...] jest przetwarzanie danych w celu niezbędnym do realizacji obsługi organizacyjno-technicznej systemu informacji obejmującego [...], dziedzinowe systemy teleinformatyczne oraz rejestry medyczne. W żadnym razie zatem nie można przyjąć, by dokonywanie porównania sekwencji danych "PESEL-status" z danymi o zaszczepieniu było działaniem niezbędnym do realizacji obsługi organizacyjno- technicznej systemu informacji, by w ogóle dotyczyło ono obsługi organizacyjno- technicznej. Tym samym przetwarzanie danych osobowych przez ww. podmioty odbywało się z naruszeniem art. 28 ust. 3 RODO.
Organ podkreślił, że w związku z treścią art. 6 ust. 3 oraz art. 9 ust. 2 lit. i RODO Porozumienie nie może być traktowane jako podstawa prawna przetwarzania danych osobowych w sposób w nim opisanym, ponieważ nie stanowi ono cyt.: "prawa Unii lub prawa państwa członkowskiego", do których odwołują się wspomniane przepisy RODO. Żaden z ww. organów nie posiada podstaw prawnych do przetwarzania danych osobowych w sposób wynikający z zawartego Porozumienia, zatem nie może być ono traktowane jako udokumentowanie udostępnienia Ministrowi [...] danych z Systemu [...] przez Ministra T., na podstawie jednej z przesłanek, o których mowa w art. 6 RODO. Porozumienia Ministra T. oraz Ministra [...] nie można również zakwalifikować również do "innego instrumentu prawnego" w rozumieniu art. 28
ust. 3 RODO, gdyż jeden podmiot (tu: M T.) nie może powierzyć przetwarzanie danych osobowych, w celu co do którego nie dysponuje podstawą prawną przetwarzania. Z uwagi na brak podstawy prawnej dla przetwarzania danych osobowych w celu wynikającym z przedmiotowego Porozumienia u obydwu Ministrów Porozumienie to nie może być także uznane za "wspólne uzgodnienia", które są wymagane przy współadministrowaniu z art. 26 RODO. .
Wskazano jednocześnie, że nie znalazły potwierdzenia w materiale dowodowym sprawy zarzuty uczestnika dotyczące przetwarzania (pozyskania) przez Ministra T. i Ośrodek danych osobowych o stanie zdrowia uczestnika pochodzących z Systemu [...] (danych dotyczących zaszczepienia) w wyniku kwestionowanego porównania danych z Systemu [...] z danymi z Systemu [...].
Z materiału dowodowego sprawy wynika bowiem, iż Ośrodek/Minister otrzymał zwrotnie na skutek ww. analizy dane statystyczne w zakresie: nazwa uczelni, ID uczelni, grupa (student, doktorant, pracownik), stan zaszczepienia w grupie (brak, jedna dawka, pełna dawka), liczba osób w dane grupie, informacja po jakim identyfikatorze nastąpiło porównanie po stronie Centrum w celu uzyskania wyniku statystycznego, nie mające charakteru danych osobowych, tj. niepozwalające na zidentyfikowanie uczestnika. Tym samym zarzut naruszenia przez ww. podmioty art. 9 ust. 2 RODO okazał się bezzasadny.
Wobec zarzutu niedopełnienia obowiązków informacyjnych przez Ministra [...] i Ministra T. względem uczestnika, organ przywołał następujące przepisy RODO, a mianowicie art. 6 ust. 1 lit. a, 9 ust. 2 lit. a, 13 ust. 1
i 2, 14 ust. 1, 2, 4 i 5, 89 ust. 1 tego aktu.
Zdaniem organu wobec zmiany celu przetwarzania danych uczestnika,
a nadto udostępnienia ich innym podmiotom, Minister T. winien był spełnić wobec uczestnika obowiązek informacyjny, o którym mowa w art. 13 ust. 3 RODO. W tym zatem zakresie doszło do naruszenia przez Ministra T. przepisów RODO poprzez operacje przetwarzania. Koniecznym okazało się zatem skorzystanie przez Prezesa UODO z uprawnień naprawczych, o których mowa w art. 58 ust. 2 lit. b i udzielenie Ministrowi T. upomnienia za naruszenie
art. 13 ust. 3 RODO poprzez operacje przetwarzania danych osobowych uczestnika. Wobec zakończenia kwestionowanego procesu przetwarzania danych osobowych uczestnika przez Ministra T. na skutek wygaśnięcia Porozumienia zawartego [...] grudnia 2022 r., niecelowe byłoby nakazywanie Ministrowi T. spełnienia ww. obowiązku, skoro kwestionowany proces przetwarzania nie zachodzi.
Prezes UODO wskazał, że zgodnie z art. 3 ust. 1 pkt 1 uodo., administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 RODO, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego
i niewykonanie obowiązku, o którym mowa w tym przepisie, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 RODO, oraz przekazanie tych informacji uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego. Przetwarzanie danych z [...] przez Ministra [...]
dla celów wynikających z Porozumienia nie mieści się w działaniach (celach), które może on podejmować w ramach nadzoru nad uczelniami medycznymi sprawowanego zgodnie z art. 433 ust. 1 pkt 4 i ust. 2 ustawy – Prawo o szkolnictwie, zaś danych z [...] – w celach wynikających z SIOZ. Tym samym wobec zmiany celu przetwarzania danych i niespełnienia ww. obowiązku informacyjnego, doszło do naruszenia przez Ministra [...] przepisów RODO poprzez operacje przetwarzania. Koniecznym okazało się zatem skorzystanie przez Prezesa UODO
z uprawnień naprawczych, o których mowa w art. 58 ust. 2 lit. b i udzielenie Ministrowi [...] upomnienia za naruszenie art. 13 ust. 3 RODO poprzez operacje przetwarzania danych osobowych uczestnika. Podobnie jednak, jak w przypadku Ministra T., wobec zakończenia kwestionowanego procesu przetwarzania danych osobowych uczestnika przez Ministra [...] na skutek wygaśnięcia Porozumienia zawartego do [...] grudnia 2022 r., niecelowe byłoby nakazywanie Ministrowi [...] spełnienia ww. obowiązku, skoro kwestionowany proces przetwarzania nie zachodzi.
Mając z kolei na względzie zarzut niedopełnienia przez Ministra [...] obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 i 2 RODO, wobec uczestnika, wskutek pozyskania od Ministra T. danych osobowych uczestnika pochodzących z [...], organ wskazał, że zarzut ten również jest zasadny. Minister [...] pozyskał dane uczestnika od Ministra T.
w innym celu, niż może je z racji sprawowanego nadzoru nad uczelniami przetwarzać, a ponadto pozyskał dane w szczególnej konfiguracji (PESEL - przynależność do jednej z ww. grup - dane identyfikujące uczelnię), stworzonej specjalnie do realizacji nowego celu wynikającego z Porozumienia. Doszło zatem
do pozyskania przez Ministra [...] danych osobowych uczestnika od Ministra T. w rozumieniu tego przepisu. Dlatego też Minister [...] winien był spełnić obowiązek - informacyjny względem uczestnika w zakresie wynikającym
z art. 14 ust. 1 i 2, w terminie określonym w art. 14 ust. 3 RODO. W sprawie nie zachodzą bowiem okoliczności wyłączające z art. 14 ust. 5 RODO. Również powoływanie się przez Ministra [...] na przepis art. 4 ust. 1 pkt 1 uodo. jest nieuzasadnione. Zgodnie z art. 4 ust. 1 pkt 1 uodo., w zakresie nieuregulowanym
w art. 14 ust. 5 RODO administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 RODO, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 RODO, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 RODO, oraz przekazanie tych informacji uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego
z realizacji tego zadania publicznego. Jak bowiem wyżej wskazano, realizacja przez Ministrów Porozumienia nie może zostać uznana za realizację zadania publicznego w braku podstaw prawnych do realizacji celu wynikającego z Porozumienia. Wobec zatem niespełnienia przez Ministra [...] obowiązku wynikającego z art. 14 ust. 1
i 2 RODO, koniecznym okazało się udzielenie Ministrowi [...] upomnienia
za naruszenie art. 14 ust. 1, 2 i 3 RODO. Natomiast, jak wyżej wskazano, wobec zakończenia kwestionowanego procesu przetwarzania danych osobowych uczestnika przez Ministra [...] na skutek wygaśnięcia Porozumienia zawartego do [...] grudnia 2022 r., niecelowe byłoby nakazywanie Ministrowi [...] spełnienia ww. obowiązku, skoro kwestionowany proces przetwarzania nie zachodzi.
Centrum wywiodło do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na pkt [...] decyzji organu z [...] lutego 2024 r.
Zarzucono:
1) naruszenie przepisów prawa procesowego, tj. art. 7, 77 oraz art. 80 Kpa. mające istotny wpływ na wynik postępowania, przez brak zebrania i rozpatrzenia całości materiału dowodowego w sprawie koniecznych do wyjaśnienia i ustalenia istotnych w sprawie okoliczności odnoszących się do statusu prawnego Centrum, jako jednostki podległej Ministrowi [...], administrującej w imieniu Ministra [...] systemem informacji oraz wykonującej na zlecenie tego ministra analizy na rzecz systemu ochrony zdrowia, a jedynie ograniczenie się organu do odczytania roli Centrum w systemie ochrony zdrowia z wąsko rozumianego Porozumienia z [...] marca 2020 r. w sprawie powierzenia danych osobowych, których administratorem jest minister właściwy do spraw zdrowia na podstawie ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (dalej jako: "Porozumienie"), a co za tym idzie, pominięcia statutu Centrum nadanego zarządzeniem przez Ministra [...], a także innych aktów kreujących zadania Centrum, takich jak polecenia
i zlecenia wykonania zadań wydawanych przez Ministra [...],
2) naruszeniu przepisów prawa materialnego, tj. art. 7 ust. 2 oraz art. 10 ust. 7 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (SIOZ)
w związku z art. 2 pkt 2 tej ustawy, zgodnie z którym, administratorem systemu [...] jest jednostka podległa ministrowi właściwemu do spraw zdrowia, właściwa
w zakresie systemów informacyjnych ochrony zdrowia, polegającego na błędnej wykładni pojęcia "administrator systemu", sprowadzającej się do wykonywania jedynie przez Centrum czynności technicznych związanych z obsługą systemów teleinformatycznych i zastosowaniu tego przepisu do okoliczności przetwarzania danych o pracownikach naukowych przez Centrum, gdy tymczasem ww. pojęcie należy rozumieć w kontekście innych przepisów SIOZ. oraz odrębnych ustaw, które kreują zadania dla administratora systemu wykraczające istotnie poza obsługę techniczną systemów teleinformatycznych Ministra [...] i nakładające na Centrum obowiązki związane z m.in. prowadzeniem prac analitycznych w oparciu
o przetwarzanie danych osobowych zgromadzonych w Systemie Informacji Medycznej ([...]) oraz w innych systemach, którymi Centrum administruje w imieniu Ministra [...], tj.
a) art. 40 ust. 2 SIOZ, w myśl którego "Systemem informacji w imieniu ministra właściwego do spraw zdrowia, administruje jednostka podległa ministrowi właściwemu do spraw zdrowia, właściwa w zakresie systemów informacyjnych ochrony zdrowia";
b) art. 19 ust. 12b SIOZ, zgodnie z którym "Dane, o których mowa w ust. 11, są przetwarzane przez jednostkę podległa ministrowi właściwemu do spraw zdrowia właściwą w zakresie systemów informacyjnych ochrony zdrowia w celu dokonywania analiz na rzecz systemu ochrony zdrowia";
c) art. 7 ust. 2 SIOZ, zgodnie z którym "Jednostka, o której mowa w ust. 2 [Centrum [...]], wykonuje zadania Krajowego Punktu Kontaktowego do spraw Transgranicznej Opieki Zdrowotnej, w zakresie wymiany recepty transgranicznej
w postaci elektronicznej, zwanego dalej "KPK".";
d) art. 7a ust. 5 SIOZ, w myśl którego "Jednostka podległa ministrowi właściwemu do spraw zdrowia właściwa w zakresie systemów informacyjnych ochrony zdrowia może zablokować dostęp do IKP przedstawiciela ustawowego usługobiorcy: 1) z urzędu, w przypadku powzięcia wątpliwości co do możliwości działania przez tę osobę w imieniu usługobiorcy; 2) na wniosek, po wykazaniu przez składającego wniosek interesu prawnego lub faktycznego.";
e) art. 87a ust. 5 ustawy z 28 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (dalej jako: "ustawa o świadczeniach"), zgodnie z którym "Centrala Funduszu jest obowiązana do udostępniania ministrowi właściwemu do spraw zdrowia oraz jednostce podległej ministrowi właściwemu do spraw zdrowia właściwej w zakresie systemów informacyjnych w ochronie zdrowia danych, o których mowa w ust. 1, w celu dokonywania analiz na rzecz systemu ochrony zdrowia.";
f) art. 191 ust. 3a ustawy o świadczeniach, zgodnie z którym "Informacje i dane zgromadzone w Funduszu oraz w Agencji udostępnia się nieodpłatnie ministrowi właściwemu do spraw zdrowia oraz jednostce podległej ministrowi właściwemu
do spraw zdrowia, właściwej w zakresie systemów informacyjnych ochrony zdrowia, w celu dokonywania analiz na rzecz systemu ochrony zdrowia zlecanych przez ministra właściwego do spraw zdrowia.".
Wobec powyższych zarzutów wniesiono o uchylenie zaskarżonej decyzji
w części dotyczącej pkt [...] rozstrzygnięcia oraz przekazanie sprawy do ponownego rozstrzygnięcia lub ewentualnie – uchylenie zaskarżonej decyzji oraz umorzenie postępowania w tej części.
Nie zgadzając się z rozstrzygnięciem organu, skarżący podkreślił, że pomija ono rzeczywistą rolę Centrum w administrowaniu systemem informacji w ochronie zdrowia.
Zdaniem skarżącego organ nie przeprowadził postępowania wyjaśniającego dotyczącego statusu prawnego Centrum jako administratora systemu wielu systemów teleinformatycznych, których administratorem danych jest Minister [...] lub inne centralne organy administracji publicznej. W myśl art. 2 pkt 2 SIOZ, który wprowadził definicję legalną administratora systemu, administratorem systemu jest podmiot odpowiedzialny za techniczno-organizacyjną obsługę systemu teleinformatycznego. W wielu przepisach przywołanej ustawy ustawodawca, regulując poszczególne rejestry publiczne, wskazał administratora systemu, którym zazwyczaj jest Centrum (por. m.in. art. 6 ust. 2, art. 7 ust. 2, 10 ust. 7, art. 17b ust. 1, art. 23 ust. 5, art. 24 ust. 6 pkt 1, art. 29 ust. 7, art. 30 ust. 4 oraz 30a ust. 3).
Organ oparł się na wykładni literalnej pojęcia "obsługa techniczno-organizacyjna" systemu teleinformatycznego, co spowodowało, że przypisał Centrum rolę jedynie podmiotu zajmującego się wsparciem informatycznym administratora danych [...], a w konsekwencji tego uznał, że Centrum będące, zgodnie
z Porozumieniem, podmiotem przetwarzającym dane osobowe na zlecenie Ministra [...], przetwarzało dane pracowników naukowych w celu nie wynikającym
z zawartego Porozumienia, a zatem niezgodnie z tym Porozumieniem.
W tym przypadku wykładnia literalna pojęcia "administrator systemu", do którego zresztą odwołują się postanowienia Porozumienia, zawodzi, gdyż nie bierze pod uwagę, że ustawodawca nakreślił status Centrum szerzej niż tylko wsparcie techniczne Ministra [...]. Już bowiem ze Statutu Centrum wynika, że oprócz zadań ściśle związanych z budową, utrzymaniem i rozwojem systemów informatycznych, Centrum również realizuje takie zadania, opisane w § 2 Statutu, takie jak : a) monitorowanie planowanych, budowanych oraz funkcjonujących systemów teleinformatycznych na poziomie centralnym i regionalnym, w zakresie ich komplementarności i interoperacyjności z systemami teleinformatycznymi Centrum, w tym prowadzenie analiz, ekspertyz i udzielanie niezbędnego doradztwa,
b) współpraca i wymiana informacji dotyczących tworzonych i wykorzystywanych rozwiązań z zakresu e-usług publicznych z innymi podmiotami publicznymi,
c) opracowywanie analiz, raportów opinii oraz wkładów do dokumentów, w tym projektów aktów prawnych lub założeń aktów prawnych, przygotowywanych przez urząd obsługujący ministra właściwego do spraw zdrowia, d) proponowanie celów
i priorytetów rozwoju [...] w Polsce i inicjowanie działań ukierunkowanych
na ich realizację.
Ponadto, jak stwierdził skarżący, można wymienić także czynności związane
z realizacją zadań z zakresu statystyki publicznej, określonych w przepisach, w tym prowadzenie badań statystycznych statystyki publicznej w ochronie zdrowia na użytek polityki zdrowotnej ministra właściwego do spraw zdrowia oraz statystyki publicznej, ale również, co istotne w okolicznościach niniejszej sprawy, realizację innych zadań zleconych przez ministra właściwego do spraw zdrowia. Duża część zadań związana jest już nie tylko z podstawową i historyczną rolą Centrum, czyli budową systemów informatycznych i ich utrzymaniem, ale także z prowadzeniem prac analitycznych, przygotowywaniem ekspertyz i raportów, co wymaga przetwarzania danych osobowych pochodzących z baz danych, których administratorem danych jest Minister [...]. W tym obszarze Centrum – jednostka podległa Ministrowi [...], wykonuje zadania należące do Ministra [...], który zleca ich wykonywanie albo w drodze indywidualnych poleceń albo w oparciu o ww. przywołane postanowienia Statutu.
W ocenie skarżącego organ pominął jednak ustalenia dotyczące roli Centrum jako podmiotu prowadzącego prace analityczno-badawcze, co ma umocowanie m.in. w Statucie Centrum, i ograniczył się tylko do oceny formalnej pojęcia administratora systemu, występującej na gruncie Porozumienia, stawiając zarzut bezprawnego przetwarzania przez Centrum danych pracowników naukowych w celach niewystępujących w Porozumieniu, a za takie uznał dokonywanie przez Centrum porównania sekwencji danych "PESEL-status" z danymi o zaszczepieniu.
Cele te jednak trzeba odczytywać w kontekście pełnej regulacji odnoszącej się do Centrum, a pominięcie tego zagadnienia powoduje, że postępowanie wyjaśniające przeprowadzone przez organ dotknięte jest istotną wadą, tak samo jak rozstrzygnięcie wydane w jego efekcie, gdyż zgromadzenie niepełnego materiału dowodowego przez organ spowodowało, że Prezes UODO błędnie zarzucił Centrum naruszenie celu przetwarzania danych osobowych pracowników naukowych, mimo że porównanie sekwencji danych "PESEL-status" z danymi o zaszczepieniu, należy zaliczyć do działalności analitycznej Centrum, która jest obecnie jednym z zadań tej instytucji.
Organ dokonał ponadto wadliwej wykładni pojęcia "administrator systemu", występującego w art. 10 ust. 7 SIOZ, utożsamiając zadania wykonywane przez ten podmiot wyłącznie ze świadczeniem wsparcia informatycznego na rzecz Ministra [...]. Dokonanie tymczasem interpretacji ww. pojęcia wymaga nie tylko odwołania się do reguł wykładni lingwistycznej, bazującej na znaczeniu pojęć "obsługa techniczna" i "obsługa organizacyjna", ale również skonfrontowania wyniku takiej wykładni z innymi normami kreującymi zadania Centrum. Wąskie bowiem rozumienie zadań administratora systemu nie koreluje z przepisami, które zobowiązują Centrum do określonych działań lub przyznają mu określone kompetencje, nawet jeśli podmiot ten nie jest wymieniony z nazwy w SIOZ, i mimo tego że nie posiada on osobowości prawnej, będąc jedynie jednostką budżetową korzystającą z osobowości prawnej Skarbu Państwa. Należy bowiem zauważyć, że ustawodawca w SIOZ posługuje się pojęciem "jednostki podległej ministrowi właściwemu do spraw zdrowia właściwej w zakresie systemów informacyjnych
w ochronie zdrowia".
Niemniej jednak nie budzi wątpliwości, co wynika ze Statutu, że za tą jednostką kryje się Centrum. Kluczowym tutaj jest odwołanie się do art. 40 ust. 2 SIOZ, który stanowi, że systemem informacji w imieniu ministra właściwego do spraw zdrowia, administruje jednostka podległa ministrowi właściwemu do spraw zdrowia, właściwa w zakresie systemów informacyjnych ochrony zdrowia. Już samo takie określenie, że Centrum administruje systemem informacji w imieniu Ministra [...] oznacza, że jego kompetencje są daleko szersze niż tylko wsparcie informatyczne Ministra [...]. Można opisać zadania Centrum jako reglamentujące dostęp do danych przetwarzanych w systemach informatycznych Ministra [...] (np. przyznawanie dostępu do IKP pacjenta, blokowanie dostępu do IKP), pełnienie funkcji Krajowego Punktu Kontaktowego ds. recepty transgranicznej, a także prowadzenie prac analitycznych i badawczych w oparciu o dane przetwarzane
w systemach informatycznych, w celu wykonywania analiz na rzecz systemu ochrony zdrowia. Analiza znaczenia ustawowego pojęcia "administrator systemu", mającego przełożenie w Porozumieniu, na cele przetwarzania danych osobowych przez skarżącego, powinna uwzględniać więc wykonywanie przez Centrum szeregu zadań ustawowych, w tym przede wszystkim działalności analitycznej realizowanej na rzecz Ministra [...].
Organ tymczasem nie dokonał takich ustaleń, poprzestając na lingwistycznym znaczeniu pojęcia administrator systemu, zawartym w art. 10 ust. 7 SIOZ, uznając bezpodstawnie, w opinii skarżącego, że porównanie sekwencji danych "PESEL-status" otrzymanych od Ministra W. z danymi
o zaszczepieniu, nie mieści się w celach przetwarzania danych przypisanych skarżącemu, a które zostały wymienione w Porozumieniu, a tym samym doszło do naruszenia przez skarżącego (będącego podmiotem przetwarzającym) art. 28 ust. 3 RODO, skutkującego udzieleniem przez organ upomnienia. Występujące w wielu miejscach SIOZ pojęcie "administrator systemu", odnosi się do podmiotu nie tylko świadczącego usługi wsparcia informatycznego na rzecz Ministra [...], ale także do podmiotu, któremu przepisy wykreowały kompetencje dotyczące administrowania w imieniu Ministra [...] systemem informacji, w tym także kompetencje do prowadzenia prac analitycznych w celu sporządzania analiz na rzecz ochrony zdrowia. W ramach realizacji tego celu skarżący przetwarza dane osobowe zgromadzone w systemach teleinformatycznych, do których jest przypisany jajko administrator systemu, a działaniom takim nie można przypisać naruszenia prawa.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał stanowisko zaprezentowane w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Skarga nie jest zasadna albowiem zaskarżony pkt [...] decyzji Prezes Urzędu Ochrony Danych Osobowych z [...] lutego 2024 r. odpowiada prawu.
Jak wynika z akt sprawy Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia skarżącemu za naruszenie art. 28 ust. 3 w zw. z art. 5 ust. 1 lit. b RODO polegające na przetwarzaniu danych osobowych Pana W. W. (uczestnik) w celu nie wynikającym z zawartego z Ministrem [...] w dniu [...] marca 2020 r. porozumienia w sprawie powierzenia przetwarzania danych osobowych, których administratorem jest minister właściwy do spraw zdrowia na podstawie ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.
Dla przypomnienia należy wskazać, że Minister [...] (M[...]) jest administratorem danych osobowych zawartych w systemie [...] (Systemie [...]), tj. Elektronicznej Platformie Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U.
z 2022 r. poz. 1555 ze zm.), zwanej dalej także SIOZ, w ramach którego przetwarzane są dane osób, które poddały się zaszczepieniu przeciwko chorobie COVID-19. System [...] ([...]) obsługuje System Informacji Medycznej ([...]), który służy przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej. System
[...] zasilany jest również danymi pochodzącymi z systemu e-rejestracji,
z którego przekazywane są do niego dane dotyczące szczepień ochronnych przeciwko COVID-19. C[...] jest jednostką podległą M[...], o której mowa w art. 2 pkt 2 SIOZ i jednocześnie administratorem systemu odpowiedzialnym za techniczno-organizacyjną obsługę systemu [...] (i jednocześnie podmiotem przetwarzającym),
w szczególności administruje on w imieniu M[...] systemem informacji w ochronie zdrowia obejmującym bazy danych funkcjonujące w ramach: [...], dziedzinowych systemów teleinformatycznych oraz rejestrów medycznych.
W dniu [...] marca 2020 r. pomiędzy M[...] a Centrum [...] zawarte zostało "Porozumienie w sprawie powierzenia przetwarzania danych osobowych, których administratorem jest minister właściwy do spraw zdrowia na podstawie ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia". Przedmiotem ww. porozumienia jest powierzenie skarżącemu przetwarzania danych osobowych w celu niezbędnym do realizacji obsługi organizacyjno-technicznej systemu informacji obejmującego ustrukturyzowane bazy danych funkcjonujące w ramach: 1) Systemu Informacji Medycznej, 2) dziedzinowych systemów teleinformatycznych oraz 3) rejestrów medycznych, tworzonych przez podmioty obowiązane do ich prowadzenia zgodnie z art. 5 ust. 1 SIOZ, obsługiwanych przez Elektroniczną Platformę Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych Rejestrów Medycznych oraz przez Platformę Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych, które stanowią instrumenty służące wymianie informacji w systemie ochrony zdrowia.
Jak wynika z załącznika nr [...] do ww. porozumienia, celem przetwarzania powierzonych danych osobowych jest zapewnienie obsługi organizacyjno-technicznej systemu informacji obejmującego bazy danych funkcjonujące w ramach: Systemu Informacji Medycznej, dziedzinowych systemów teleinformatycznych oraz rejestrów medycznych tworzonych przez podmioty obowiązane do ich prowadzenia zgodnie z art. 5 ust. 1 SIOZ oraz dotyczy danych usługobiorców, danych usługodawców oraz pracowników medycznych w rozumieniu SIOZ.
Zakres powierzonych danych to: dane zawarte w Systemie Informacji Medycznej obejmujące dane z baz danych funkcjonujących w ramach systemów wskazanych w art. 10 ust 1 i 2 SIOZ, tj. dane osobowe i jednostkowe dane medyczne o usługobiorcy gromadzone w Centralnym Wykazie Usługobiorców, w zakresie określonym w art. 4 ust. 3 SIOZ; dane o usługodawcach z Centralnego Wykazu Usługodawców w zakresie określonym w art. 16 ust. 2 SIOZ; dane o pracownikach medycznych z Centralnego Wykazu Pracowników Medycznych w zakresie określonym w art. 17 ust. 2 SIOZ oraz dane osobowe i jednostkowe dane medyczne gromadzone w dziedzinowych systemach teleinformatycznych, tj. w: Systemie Statystyki w Ochronie Zdrowia, w zakresie określonym w art. 23 ust. 2 SIOZ; Systemie Ewidencji Zasobów Ochrony Zdrowia, w zakresie określonym w art. 24 ust. 2 SIOZ; Systemie Monitorowania Dostępności do Świadczeń Opieki Zdrowotnej,
w zakresie określonym w art. 27 ust. 1 SIOZ; Systemie Monitorowania Kształcenia Pracowników Medycznych, w zakresie określonym w art. 30 ust 2 SIOZ; Systemie Obsługi List Refundacyjnych, w zakresie określonym w art. 30a ust. 1 i 2 SIOZ; Instrumencie Oceny Wniosków Inwestycyjnych, w zakresie określonym w art. 31 a ust. 1 SIOZ; Rejestrze Asystentów Medycznych, w zakresie określonym w art. 31 b ust. 7 SIOZ.
W dniu [...] grudnia 2021 r. pomiędzy M[...] a M T. zostało zawarte Porozumienie. Celem porozumienia było pozyskania informacji statystycznej
o poziomie zaszczepienia przeciwko chorobie COVID-19 (model statystyczny) następujących członków wspólnot uczelni: pracowników (nauczycieli akademickich, osób prowadzących zajęcia, osób prowadzących działalność naukową, osób biorących udział w prowadzeniu działalności naukowej), studentów oraz osób ubiegających się o stopień doktora.
Jak wnika z ustaleń organu, które nie są kwestionowane, O[...] na zlecenie M T. przygotował listę osób z [...], zawierającą m. in. PESEL i status uczestnika jako nauczyciela akademickiego i udostępnił ją Centrum [...], działającemu na rzecz M[...], w celu weryfikacji poziomu zaszczepienia we wskazanych grupach osób na uczelniach. Centrum dokonało porównania udostępnionych danych z danymi
z "Systemu informacji" i wytworzyło statystyczne zestawienie w zakresie: nazwa uczelni, ID uczelni, grupa (student, doktorant, pracownik), stan zaszczepienia
w grupie (brak, jedna dawka, pełna dawka), liczba osób w dane grupie, informacja po jakim identyfikatorze nastąpiło porównanie po stronie Centrum w celu uzyskania wyniku statystycznego, które zwrotnie przekazano do O[...]/M T.. O[...] zaś przygotował do publikacji ww. zestawienie statystyczne pod nazwą "Podsumowanie akcji szczepień na polskich uczelniach", udostępnione na ww. stronach internetowych.
Istota problemu w niniejszej sprawie sprowadza się do udzielenia odpowiedzi na pytanie, czy Centrum było uprawnione do przetwarzania danych osobowych pozyskanych od O[...] w celu dokonania statystycznego zestawienie w zakresie wszczepialności danej grupy osób, innymi słowy należy odpowiedzieć na pytanie, czy istniała podstawa prawna przetwarzania powyższych danych we wskazanym zakresie.
Odpowiadając na to pytanie należy wskazać, że Sąd analizując niniejszą sprawę nie dopatrzył się podstawy prawnej umożliwiającej przetwarzanie powyższych danych przez skarżącego we wskazanym zakresie.
Skarżący upatruje podstawę przetwarzania danych w art. 2 pkt 2 ustawy|
o systemie informacji w ochronie zdrowia oraz w fakcie, że jest jednostką podległą M[...], a także w porozumieniu o powierzeniu przetwarzania danych zawartym z M[...].
W tym miejscu należy wskazać, że w ocenie Sadu skarżący jest administratorem systemu [...] odpowiedzialnym za jego techniczno-organizacyjną obsługę, jednocześnie jest uprawnionym, na mocy porozumienia zawartego z M[...] o powierzeniu przetwarzania danych osobowych zawartych
systemie [...], które dotyczy przetwarzania danych osobowych przez skarżącego w celu niezbędnym do realizacji obsługi organizacyjno-technicznej systemu informacji obejmującego System Informacji, do przetwarzania danych
w zakresie wskazanym w porozumieniu.
Jak wskazano powyżej, przedmiotem porozumienia z [...] marca 2020 r. zawartego przez Centrum z M[...] jest przetwarzanie danych w celu niezbędnym
do realizacji obsługi organizacyjno-technicznej systemu informacji obejmującego [...], dziedzinowe systemy teleinformatyczne oraz rejestry medyczne. W ocenie Sądu dane przekazane przez O[...]działające na rzecz M T. w postaci zestawienia zawierającego konfigurację danych PESEL z przypisanym statusem osób (student, doktorant i pracownik naukowy) do Centrum w celu ich porównania przez skarżącego z danymi zawartymi w systemie [...] dotyczącymi zaszczepienia jak i dokonane przez skarżącego porównanie danych, nie znajduje umocowania w powołanym porozumieniu zawartym przez M[...] z Centrum i było działaniem zbędnym do realizacji obsługi organizacyjno- technicznej systemu informacji, gdyż w ogóle nie dotyczyło ono obsługi organizacyjno-technicznej.
Tym samym przetwarzanie danych osobowych przez skarżącego odbywało się z naruszeniem art. 28 ust. 3 RODO, z którego wynika, że procesor - Centrum może przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora, czego w niniejszej sprawie nie wykazano. Udokumentowanie polecenia ma również istotne znaczenie dla wypełnienia wymogów ograniczenia celu przetwarzania danych osobowych, o którym mowa w art. 5 ust.1 lit. b RODO - zbierane dane mogą być przetwarzane w konkretnych wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, co w niniejszej sprawie nastąpiło.
Jak wynika z akt sprawy stwierdzenie naruszenia przepisów art. 5 ust. 1 lit. b RODO i art. 28 ust. 3 RODO, określających wprost obowiązki administratora
i procesora – Centrum w zakresie przetwarzania danych osobowych, jest elementem postępowania wyjaśniającego prowadzonego przez Prezesa UODO w ramach postępowania nakierowanego na wydanie aktu stosowania prawa na podstawie art. 58 ust. 2 lit. b RODO. Stwierdzenie niedochowania art. 5 ust. 1 lit. b RODO i art. art. 28 ust. 3 RODO jest przesłanką materialną do zastosowania przepisu art. 58 ust. 2 lit. b RODO i orzeczenia wskazanej w nim sankcji administracyjnej – upomnienia
za naruszenia mające miejsce przy przetwarzaniu danych osobowych.
Biorąc powyższe pod rozwagę działając na postawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U.
z 2024 r. poz. 935), Sąd skargę oddalił.
-----------------------
4