II SA/Wa 788/20

II SA/Wa 788/20 - Wyrok WSA w Warszawie
Data orzeczenia
2020-11-16
orzeczenie prawomocne
Data wpływu
2020-04-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Izabela Głowacka-Klimas /przewodniczący/
Karolina Kisielewicz /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 4936/21 - Wyrok NSA z 2024-10-15
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 2, art. 6 ust. 1 lit. c, art. 9 ust. 2 lit. h
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2019 poz 125
art. 23 ust. 1 pkt 2, art. 27 ust. 2 pkt 2,
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Dz.U. 2019 poz 1239
art. 5 ust. 1 pkt 1 lit. b, art. 5 ust. 2, art. 17 ust. 1, art. 17 ust. 8 pkt 2
Ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek, Asesor WSA Karolina Kisielewicz (spr.), , , po rozpoznaniu na posiedzeniu niejawnym w dniu 16 listopada 2020 r. spraw ze skarg A. J. i J. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargi.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] lutego 2020 r. (nr [...]), zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie dwiema skargami przez J. J. i A. J., odmówił uwzględnienia wniosku skarżących, dotyczącego niezgodnego z prawem przetwarzania ich danych osobowych oraz ich małoletniego syna L. J.
Z okoliczności faktycznych sprawy, ustalonych i przyjętych przez organ administracji za podstawę rozstrzygnięcia, wynika, że J. i A. J. w dniu 9 maja 2018 r. złożyli do Generalnego Inspektora Ochrony Danych Osobowych skargę na niezgodne z prawem przetwarzanie ich danych osobowych oraz danych osobowych i wrażliwych ich małoletniego syna L. J. przez J. K., prowadzącego działalność gospodarczą pod nazwą Niepubliczny Zakład Opieki Zdrowotnej Ośrodek Zdrowia w T. i Państwowego Powiatowego Inspektora Sanitarnego w B.
Skarżący podali, że z dniem 28 grudnia 2017 r. wypisali się całą rodziną z Przychodni (Niepublicznego Zakładu Opieki Zdrowotnej Ośrodka Zdrowia w T.), natomiast z dniem [...] stycznia 2018 r. zastrzegli w Przychodni swoje oraz dzieci dane osobowe oraz dane o stanie zdrowia, w tym dotyczące szczepień. Mimo to, Niepubliczny Zakład Opieki Zdrowotnej Ośrodek Zdrowia w T. bez ich zgody (w styczniu 2018 r.) przesłał (udostępnił) Państwowemu Powiatowemu Inspektorowi Sanitarnemu w B. dane osobowe ich oraz syna (m. in. datę urodzenia syna, pesele i adres zamieszkania). J. i A. J. dodali, że powyższe dane zostały przekazane na podstawie "bezprawnego załącznika" nr 4 do rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (Dz.U. z 2018 r. poz. 753). Wnioskodawcy wnieśli o "doprowadzenie do całkowitego zaprzestania udostępniania" ich danych osobowych przez placówkę medyczną bez ich zgody, ustalenie przez organ, do jakich urzędów lub osób przychodnia przekazała ich dane, usunięcie tych danych z zasobów inspekcji sanitarnej oraz innych podmiotów, którym placówka medyczna i "dalsze urzędy" przekazały te dane.
Prezes Urzędu Ochrony Danych Osobowych (następca prawny Generalnego Inspektora Ochrony Danych Osobowych), decyzją z [...] października 2019 r. wydaną na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) w związku z art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922) oraz art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016 ze zm.), odmówił uwzględnienia żądania skarżących, a po rozpoznaniu ich wniosku o ponowne rozpatrzenie sprawy, w dniu [...] lutego 2020 r. wydał zaskarżoną decyzję (nr ), którą utrzymał w mocy swoje dotychczasowe rozstrzygnięcie.
W uzasadnieniu zaskarżonej decyzji, Prezes Urzędu Ochrony Danych Osobowych powołał się na art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i stwierdził, że w myśl tych przepisów, wszelkie czynności podejmowane przez Generalnego Inspektora Danych Osobowych przed dniem 25 maja 2018 r. pozostają w mocy. Jeżeli jednak proces przetwarzania danych osobowych w sprawach wszczętych przed dniem 25 maja 2018 r. (a taka sytuacja występuje w rozpatrywanej sprawie) nadal trwa, to należy go oceniać na podstawie ustawy z 29 sierpnia 1997 r. oraz przepisów obecnie obowiązującego rozporządzenia RODO (do zdarzeń powstałych po 25 maja 2018 r.).
Rozpatrując niniejszą sprawę, organ podał, że na podstawie wyjaśnień Niepublicznego Zakładu Opieki Zdrowotnej Ośrodek Zdrowia w T. (pismo z 19 listopada 2018 r.) oraz Państwowego Powiatowego Inspektora Sanitarnego w B. (pismo z 20 listopada 2018 r.), ustalił, że Niepubliczny Zakład Opieki Zdrowotnej Ośrodek Zdrowia w T., w piśmie z 10 stycznia 2018 r. poinformował Państwowego Powiatowego Inspektora Sanitarnego w B. o tym, że J. i A. J., jako osoby sprawujące prawną pieczę nad L. J., nie dopełnili obowiązku szczepień ochronnych ich syna i przekazał temu organowi "formularz zgłoszenia osób uchylających się od obowiązku wykonania szczepień ochronnych", zawierający dane osobowe skarżących oraz ich małoletniego syna L. (imię, nazwisko, PESEL, adres zamieszkania) wraz z informacją o stanie szczepień małoletniego.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Niepublicznemu Zakładowi Opieki Zdrowotnej w T. oraz Państwowemu Powiatowemu Inspektorowi Sanitarnemu w B. nie można zarzucić niezgodnego z prawem przetwarzania danych osobowych J., A. i L. J. oraz danych wrażliwych dotyczących L. J.
Z przepisów ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu chorób zakaźnych u ludzi (Dz.U. z 2020 r. poz. 1845), wynika, że rodzic dziecka małoletniego przebywającego na terytorium Rzeczypospolitej Polskiej jako sprawujący nad nim pieczę, jest obowiązany, na zasadach określonych w tej ustawie, do poddawania go szczepieniom ochronnym (art. 5 ust. 1 pkt 1 ppkt b i art. 5 ust. 2) oraz do udzielania m. in. organom PIS, danych i informacji niezbędnych do prowadzenia nadzoru epidemiologicznego nad zakażeniami i chorobami zakaźnymi i zapobiegania oraz zwalczania zakażeń i chorób zakaźnych oraz innych danych niezbędnych do sprawowania nadzoru nad realizacją obowiązków, o których mowa w art. 5 ust. 1 pkt 1-3 ustawy (5 ust. 1 pkt 4 lit. a i c tej ustawy).
Zgodnie z art. 17 ust. 8 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. z 2020 r. poz. 1845), osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień ochronnych, w tym przechowują karty uodpornienia oraz dokonują wpisów potwierdzających wykonanie szczepienia (pkt 1) i sporządzają sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu (pkt 2). Rozporządzenie wydane na podstawie art. 17 ust. 10 tej ustawy, określa w załączniku (nr 4) wzór sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych, zgodnie z którym w dziale drugim znajduje się wykaz osób uchylających się od szczepień ochronnych.
Organ dodał, że Państwowy Powiatowy Inspektor Sanitarny na podstawie art. 5 pkt 3 w zw. z art. 10 ust. 1 pkt 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz.U. z 2019 r., poz. 59) w zw. z art. 5 ust. 1 pkt 4 ppkt c ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, sprawuje nadzór w zakresie realizacji obowiązku poddawania się szczepieniom ochronnym i jest uprawniony do dochodzenia wykonania tego obowiązku na drodze postępowania egzekucyjnego w administracji (art. 5 § 1 pkt 2 ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, Dz.U. z 2019 r. poz. 1438). Oznacza to, że przetwarzanie danych osobowych skarżących i ich syna (imię, nazwisko, adres zamieszkania, data urodzenia i numer PESEL) oraz danych wrażliwych L. J. przez Przychodnię oraz Państwową Inspekcję Sanitarną, w zakresie niewykonania obowiązkowego szczepienia ochronnego, było niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a więc miało oparcie w art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, natomiast w zakresie pozostałych danych (o stanie uodpornienia małoletniego) - w art. 27 ust. 2 pkt 2 tej ustawy, który stanowi, że przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone jest m. in. w przypadku, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony.
Nie jest również uzasadnione żądanie skarżących, dotyczące "spowodowania zaprzestania przetwarzania danych osobowych" skarżących oraz ich syna przez inspektora sanitarnego. Inspektor Sanitarny sprawuje nadzór nad wykonywaniem obowiązku szczepień ochronnych oraz określa ich zakres i termin (art. 5 ust. 1 pkt 4 ppkt c ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi) i jest uprawniony do dochodzenia jego wykonania na drodze postępowania egzekucyjnego w administracji.
Organ podkreślił, że rezygnacja skarżących z wyboru lekarza podstawowej opieki zdrowotnej dla małoletniego L. J. (z dniem [...] grudnia 2017 r.) oraz zastrzeżenie udostępnienia tych danych bez ich zgody, nie miały wpływu na legalność przekazania Inspektorowi Sanitarnemu danych osobowych skarżących i ich dziecka w związku z niewykonaniem obowiązkowych szczepień ochronnych i wyjaśnił, że zgoda nie jest jedyną przesłanką przetwarzania danych osobowych.
W dalszej części uzasadnienia organ podał, że po wejściu w życie rozporządzenia RODO, przetwarzanie przez Przychodnię i Państwową Inspekcję Sanitarną danych osobowych skarżących i ich syna odbywa się na podstawie art. 6 ust. 1 lit. c) tego rozporządzenia, który stanowi, że przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, natomiast o legalności przetwarzania przez te podmioty danych wrażliwych, przesądza art. 9 ust. 2 lit. h) oraz i) rozporządzenia.
J. i A. J., działając przez pełnomocnika, zaskarżyli dwiema skargami (z 18 marca 2020 r.) do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] lutego 2020 r. i wnieśli o uchylenie zaskarżonej decyzji oraz poprzedzającej ją decyzji z [...] października 2019 r. oraz o zasądzenie zwrotu kosztów postępowania.
W jednobrzmiących skargach skarżący zarzucili, że zaskarżona decyzja została wydana z naruszeniem art. 5 ust. 1 lit. a oraz b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych (...) przez nieuzasadnione przyjęcie, że NZOZ Ośrodek Zdrowia w T. miał prawo przetwarzać dane osobowe skarżących oraz ich małoletniego syna, mimo że złożyli oni rezygnację z wyboru lekarza podstawowej opieki zdrowotnej w tej placówce, zastrzegli dane osobowe, co skutkowało wygaśnięciem celu przetwarzania i okresu, niezbędnego do osiągnięcia celu. Skarżący podnieśli, że podstawą do przetwarzania danych osobowych pacjentów przez lekarza podstawowej opieki zdrowotnej jest deklaracja wyboru lekarza (art. 9 ustawy o podstawowej opiece zdrowotnej), w celu realizacji świadczeń zdrowotnych. Składając rezygnację, pacjent wyraża wolę zaprzestania korzystania z usług medycznych danego podmiotu, a więc dochodzi do ustalania celu przetwarzania jego danych (art. 5 ust. 1 lit. b powołanego Rozporządzenia). Zdaniem skarżących, przyjęta przez organ wykładnia prawa prowadzi do absurdalnych wniosków, kiedy podmiot niemający informacji o aktualnym stanie uodpornienia dziecka (wykonanych szczepieniach), bo rodzice złożyli rezygnację z wyboru lekarza, będzie przekazywać inspektorowi sanitarnemu dane, których nie posiada i nie ma możliwości ich zweryfikowania. Prowadziłoby to do przekazywania przez placówki medyczne danych nieprawdziwych.
Zdaniem skarżących, przepisy ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych, na które powołał się organ w zaskarżonej decyzji, nie stanowią o dopuszczalności (legalności) przetwarzania spornych danych bez ich zgody. Powołane przepisy posługują się niedookreślonymi pojęciami, takimi jak: "sprawozdania", "informacje", "dane". Nakładają na osoby przeprowadzające szczepienia jedynie obowiązek sporządzania i przekazywania "sprawozdań ze stanu szczepienia", ale nie wskazują zakresu danych osobowych jakie mają się znaleźć w sprawozdaniach (w szczególności nie wskazują, że chodzi o tzw. sensytywne dane osobowe) oraz celu przekazywania danych. Aby móc przekazać takie dane, w tym wrażliwe, konieczne byłoby określenie powyższego w treści ustawy albo w rozporządzeniu wydanym na podstawie właściwej delegacji ustawowej.
Zdaniem strony skarżącej, załącznik nr 4 do rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych, na podstawie którego w praktyce przekazuje się Państwowej Inspekcji Sanitarnej sprawozdania z prowadzonych obowiązkowych szczepień ochronnych, nie może stanowić źródła obowiązku ograniczającego prawa obywatelskie, w tym prawa do prywatności. Załącznik ten został wydany z naruszeniem delegacji ustawowej. Przepis art. 17 ust. 10 pkt 8 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, zawiera bowiem delegacje do ustalenia wzoru sprawozdań, a więc odnosi się do danych o charakterze statystycznym.
Skarżący stwierdzili, że "proceder" przekazywania danych osobowych osób niewyrażających zgody na szczepienia przymusowe, do innych podmiotów jest nielegalny, ponieważ "uprawnienie" takie nie zostało uregulowane w ustawie. W orzecznictwie Trybunału Konstytucyjnego zwraca się uwagę, że z zasady zaufania do państwa i tworzonego prawa wynika obowiązek stanowienia norm precyzyjnych, jasnych, w szczególności jeżeli dotyczą one praw i wolności obywatelskich. Ustawodawca nie może, poprzez niejasne formułowanie tekstu przepisów pozostawiać organom mającym je stosować nadmiernej swobody przy ustalaniu w praktyce zakresu podmiotowego i przedmiotowego ograniczeń konstytucyjnych wolności i praw jednostki (wyrok z 22 maja 2020 r. K 6/02, OTK-A 2002, nr 3, poz. 33).
W konsekwencji powoływanie się przez Prezesa UODO na art. 27 ust. 2 pkt 2 w zw. z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz art. 6 ust. 1 lit. c i art. 6 ust. 3 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 jako podstawę przetwarzania danych osobowych (wrażliwych) nie jest uzasadnione.
W skardze do Sądu postawiono również zarzuty naruszenia prawa procesowego, tj. art. 7 w związku z art. 77 i art. 86 k.p.a., art. 15 k.p.a. i art. 138 § 1 pkt 1 k.p.a.
W uzasadnieniu tych zarzutów skarżący podnieśli, że organ wydając zaskarżoną decyzję nie dokonał ponownego badania sprawy i ograniczył się do przepisania swojej wcześniejszej decyzji, naruszając w ten sposób zasadę dwuinstancyjności postępowania. Prezes UODO nie przesłuchał skarżących na okoliczność przekazania przez przychodnię Inspektorowi Sanitarnemu ich numerów telefonów komórkowych, na które niejednokrotnie były wykonywane przez pracowników inspekcji sanitarnej połączenia celem przymuszenia skarżącego do wykonania szczepień.
Z tego wynika, zdaniem skarżących, że organ niegodnie z prawem utrzymał w mocy decyzję z dnia [... października 2019 r. mimo że żaden przepis prawa nie nakłada na podmioty lecznicze, m. in. przychodnie, obowiązku przekazywania Inspektorom Sanitarnym danych osobowych małoletnich pacjentów oraz ich rodziców oraz danych "medycznych" dziecka.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie w dniu 16 listopada 2020 r. postanowił połączyć do wspólnego rozpoznania i rozstrzygnięcia na podstawie art. 111 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm.), sprawy o sygn. akt II SA/Wa 788/20 (ze skargi A. J.) i II SA/Wa 789/20 (ze skargi J. J.) i prowadzić je dalej pod sygn. akt II SA/Wa 788/20.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zaskarżona przez J. i A. J. decyzja Prezesa Urzędu Ochrony Danych Osobowych nie narusza prawa i dlatego ich skargi są nieuzasadnione.
W zaskarżonej decyzji organ stwierdził, że w rozpatrywanej sprawie zachodzą, określone w art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. h) rozporządzenia RODO, przesłanki uchylające zakaz przetwarzania danych osobowych (wrażliwych).
Sąd uznaje to zapatrywanie organu za prawidłowe, ponieważ znajduje ono uzasadnienie w powołanych przepisach prawa oraz w okolicznościach faktycznych sprawy.
Z powołanych przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych wynika, że przetwarzanie danych osobowych, bez zgody osoby, której dotyczą, jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, natomiast przetwarzanie danych wrażliwych (m. in. o stanie zdrowia) jest dopuszczalne wówczas, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. W myśl rozporządzenia RODO, przetwarzanie jest zgodne z prawem jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c), natomiast danych dotyczących stanu zdrowia, gdy jest niezbędne dla celów profilaktyki zdrowotnej (art. 9 ust. 2 lit. h rozporządzenia).
Obowiązek poddania dziecka obowiązkowym szczepieniom ochronnym wynika wprost z przepisów prawa, tj. z art. 5 ust. 1 pkt 1 lit. b i ust. 2 oraz art. 17 ust. 1 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi. Według tych przepisów osoby przebywające na terytorium Rzeczpospolitej Polskiej są zobowiązane, na zasadach określonych w ustawie, do poddawania się szczepieniom ochronnym przeciw chorobom zakaźnym. W przypadku osoby małoletniej, odpowiedzialność za wypełnienie tego obowiązku spoczywa na osobach sprawujących prawną pieczę nad małoletnim, a więc m. in. na rodzicach. Według art. 17 ust. 8 pkt 2 tej ustawy, osoby przeprowadzające szczepienia ochronne sporządzają sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu. Przepis art. 17 ust. 10 ustawy stanowi natomiast, że minister właściwy do spraw zdrowia określi, w drodze rozporządzenia m. in. wykaz chorób zakaźnych objętych obowiązkiem szczepień ochronnych (pkt 1), osoby (grupy osób) obowiązane do poddawania się obowiązkowym szczepieniom ochronnym przeciw chorobom zakaźnym (pkt 2), sposób przeprowadzania szczepień ochronnych (pkt 4), wzory sprawozdań z przeprowadzonych obowiązkowych szczepień ochronnych oraz tryb i terminy ich przekazywania (pkt 8), uwzględniając dane epidemiologiczne dotyczące zachorowań, aktualną wiedzę medyczną oraz zalecenia Światowej Organizacji Zdrowia.
Minister Zdrowia w załączniku nr 4 do rozporządzenia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych, wydanym na podstawie delegacji zawartej w art. 17 ust. 10 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, określił wzór sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz tryb i terminy ich przekazywania. Sprawozdanie to, w formie określonej w tym załączniku, obejmuje dane o liczbie kart uodpornienia, przechowywanych przez składającego sprawozdanie, według określonych kryteriów, oraz o liczbie osób uchylających się od obowiązku szczepień. Z wzoru wynika, że imienny wykaz osób uchylających się od obowiązku szczepień stanowi załącznik do sprawozdania.
Zdaniem Sądu, przepis art. 17 ust. 8 pkt 2 ustawy, w myśl którego osoby przeprowadzające szczepienia ochronne sporządzają sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu zaszczepienia, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu, stanowi dostateczną podstawę do przekazania inspekcji sanitarnej spornych danych. Sąd nie podziela stanowiska skarżących, że rozporządzenie Ministra Zdrowia (załącznik nr 4) został wydany z przekroczeniem upoważnienia, gdyż załącznik ten nie obejmuje "danych sprawozdawczych". Sprawozdanie może bowiem obejmować nie tylko dane statystyczne, ale także inne dane, jak np. o osobach uchylających się od obowiązku szczepień oraz ich opiekunach prawnych.
Prowadzi to do wniosku, że NZOZ Ośrodek Zdrowia w T. przekazując dane osobowe skarżących i ich syna do właściwej inspekcji sanitarnej, spełnił obowiązek wynikający z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Przekazanie danych dotyczące stanu jego uodpornienia miało natomiast oparcie w art. 27 ust. 2 pkt 2 tej ustawy. Trzeba dodać, że NZOZ Ośrodek Zdrowia w T. przekazał dane osobowe skarżących i ich syna do właściwej inspekcji sanitarnej (tym informację o uchylaniu się od obowiązku szczepienia), dotyczące okresu, sprzed złożenia przez skarżących rezygnacji z wyboru lekarza podstawowej opieki zdrowotnej w tej placówce. W związku tym złożenie przez skarżących rezygnacji z wyboru lekarza podstawowej opieki zdrowotnej dla L. J. z dniem 28 grudnia 2017 r. nie miało wpływu na legalność przekazania inspektorowi sanitarnemu spornych danych, w związku z niewykonaniem obowiązkowych szczepień ochronnych. Z tego powodu organ prawidłowo stwierdził, że nie można zarzucić przychodni niezgodnego z prawem przetwarzania danych osobowych (wrażliwych). Można dodać, że inspektor sanitarny sprawuje nadzór nad wykonywaniem obowiązku szczepień ochronnych i jest upoważniony do dochodzenia wykonania tego obowiązku na drodze postępowania egzekucyjnego w administracji. Według art. 36 ust. 1 ustawy o zwalczaniu chorób zakaźnych, wobec osoby, która nie poddaje się obowiązkowi szczepienia, może być zastosowany środek przymusu bezpośredniego polegający na przytrzymywaniu, unieruchomieniu lub przymusowym podaniu leków. Zgodnie zaś z art. 3 § 1 w zw. z art. 2 § 1 pkt 10 ustawy o postępowaniu egzekucyjnym w administracji egzekucję administracyjną stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu.
Nie jest więc usprawiedliwione żądanie skarżących, dotyczące usunięcia spornych danych "z zasobów inspekcji sanitarnej". Organ inspekcji sanitarnej przechowuje obecnie (a więc przetwarza - por. art. 4 pkt 2 rozporządzenia RODO) te dane, na mocy art. 6 ust. 1 lit c i art. 9 ust. 2 lit h rozporządzenia. Jak już powiedziano, z powołanych przepisów wynika, że przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c), natomiast danych dotyczących stanu zdrowia, gdy jest niezbędne dla celów profilaktyki zdrowotnej (art. 9 ust. 2 lit. h rozporządzenia).
Z przedstawionych powodów nie są uzasadnione postawione w skardze zarzuty naruszenia przez organ art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych z 1997 r. w związku z art. 5 ust. 1 pkt 4, art. 17 ust. 8 pkt 2 i ust. 10 pkt 2 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.
Sąd uznaje za nieuzasadniony zarzut dotyczący naruszenia art. 5 ust. 1 lit. a oraz b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych (...). Z powołanych przepisów wynika, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (lit. a) oraz zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (lit. b). Jak już powiedziano, podstawą przetwarzana danych jest obecnie art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h rozporządzenia.
Niezasadny jest również naruszenia zasady dwuinstancyjności postępowania (art. 15 k.p.a.), przy ponownym rozpoznaniu sprawy przez Prezesa UODO. Okoliczność, że organ podzielił swoje dotychczasowe ustalenia, analogicznie ocenił zgromadzony w sprawie materiał dowodowy i na jego podstawie wysnuł takie same wnioski nie świadczy o tym, że nie rozpoznał ponownie sprawy administracyjnej zgodnie z zasadą dwuinstancyjności postępowania. W ocenie Sądu Prezes UODO przeprowadził postępowanie zgodnie z regułami postępowania, o których mowa w art. 7, art. 77, art. 86 k.p.a. Trzeba zresztą zauważyć, że skarżący nie kwestionują ustaleń faktycznych organu, ale jego stanowisko, że w rozpoznawanej sprawie wystąpiły przesłanki uzasadniające przetwarzanie danych osobowych (wrażliwych) bez ich zgody. Nie jest wreszcie uzasadniony zarzut dotyczący naruszenia art. 138 § 1 pkt 1 k.p.a., ponieważ Prezes UODO prawidłowo utrzymał w mocy swoją decyzję z [...] października 2019 r.
Sąd kontrolując zaskarżoną decyzję w zakresie wykraczającym poza granice wyznaczone zarzutami zawartymi w skargach (art. 134 § 1 ustawy Prawo o postępowaniu przed sądami administracyjnymi) stwierdził, że nie ma podstaw do jej uchylenia lub orzeczenia o jej nieważności, które Wojewódzki Sąd Administracyjny byłby zobowiązany uwzględnić z urzędu.
Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 powołanej ustawy, orzekł jak w sentencji.