II SA/Wa 807/24

II SA/Wa 807/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-03-11
orzeczenie prawomocne
Data wpływu
2024-05-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek /sprawozdawca/
Arkadiusz Koziarski
Izabela Głowacka-Klimas /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek (spr.), Asesor WSA Arkadiusz Koziarski, , po rozpoznaniu w trybie uproszczonym w dniu 11 marca 2025 r. sprawy ze skargi M. G. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO/organ) decyzją z dnia [...] kwietnia 2024 roku znak: [...] udzielił Pani A. G. (dalej Lekarz) upomnienia za naruszenie przepisów, polegające na uzyskaniu dostępu do danych osobowych Pani M. G. (dalej Skarżąca).
Do organu wpłynęła skarga Skarżącej, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Lekarza, polegające na uzyskaniu dostępu do jej danych osobowych zlokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (PUE ZUS).
Prezes UODO, ustalił następujący stan faktyczny:
1. [...].04.2022 r., [...].09.2022 r., [...].10.2022 r. Lekarz uzyskał dostęp do danych osobowych Skarżącej zawartych na PUE ZUS, który nie zakończył się wystawieniem zaświadczenia lekarskiego lub jego anulowaniem (dowód: pismo Skarżącej z [...].11.2023 r. z załącznikami, pismo ZUS z [...].12.2023 r.).
2. Lekarz wyjaśnił, że cyt.: "Posiadam jej pesel (tj. Skarżącej) udostępniony mi jeszcze przez jej rodziców kiedy była niepełnoletnia, a związany z jej wyjazdem na kolonie, który ja organizowałam oraz wystawieniem recept. Swoje dane osobowe wysłała mi sama przynajmniej 2 x w oficjalnych dokumentach z uwagi na współwłasność nieruchomości którą ma ze mną. Wpisanie peselu do BAZY ZUS , do której mam oficjalny i prawomocny dostęp nie jest żadnym przetwarzaniem danych. Robię to na co dzień w związku z wykonywanym zawodem. Tak więc dane osobowe osoby skarżącej zostały mi udostępnione przez nią samą. Dane osobowe skarżącej nie były ani nie są przeze mnie przetwarzane jak i wykorzystywane do nieznanych celów podobnie jak i innych osób których pesele wpisuję do bazy ZUS na co dzień" (dowód: pismo Lekarza z [...].02.2024 r.).
3. Zakład Ubezpieczeń Społecznych (ZUS), oświadczył, że Lekarz w dniach [...].04.2022 r., [...].09.2022 r., [...].10.2022 r. uzyskała dostęp do danych Skarżącej, a dostęp nie zakończył się wystawieniem lub anulowaniem zaświadczenia lekarskiego. Lekarz w kreatorze - wystawienia zaświadczenia ZUS ZLA - na PUE ZUS po wpisaniu numeru PESEL Skarżącej uzyskał dostęp do jej danych, które wyświetliły się na ekranie komputera: imię i nazwisko, data urodzenia, adres zamieszkania oraz nazwa skrócona i NIP płatnika składek (pracodawcy). ZUS wskazał ponadto, że po wizualizacji danych pacjenta (Skarżącej) i płatnika składek na ekranie komputera, lekarz zrezygnował z wystawienia zwolnienia lekarskiego lub jego anulowania (dowód: pismo ZUS z [...].12.2023 r.).
Prezes UODO wskazał, że przedmiotem postępowania jest kwestionowany proces przetwarzania danych osobowych Skarżącej przez Lekarza, polegający na uzyskaniu dostępu do danych osobowych Skarżącej zlokalizowanych na PUE ZUS, w związku z wykonywanym zawodem lekarza.
Po przeanalizowaniu wyjaśnień złożonych w tej sprawie przez Lekarza, ZUS oraz Skarżącą, Prezes UODO wydał [...] kwietnia 2024 r. decyzję administracyjną, na mocy której udzielił Lekarzowi upomnienia za naruszenie art. 5 ust. 1 lit. a oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwanego dalej RODO), polegające na uzyskaniu dostępu w dniach [...].04.2022 r., [...].09.2022 r., [...].10.2022 r., do danych osobowych Skarżącej lokalizowanych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych, w zakresie imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz nazwy skróconej i NIP-u płatnika składek (pracodawcy).
Skargę na powyższą decyzję wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie Skarżąca, zarzucając:
• rażące naruszenie przepisu art. 83 ust. 1 i 2 RODO poprzez brak jego zastosowania w niniejszej sprawie i nie obciążenie Lekarza administracyjną karą pieniężną za dokonywanie umyślnych naruszeń dotyczących procesu przetwarzania i pozyskiwania danych osobowych Skarżącej i poprzestanie wyłącznie na zastosowaniu w stosunku do Lekarza środków naprawczych w postaci upomnienia, które to środki są nieadekwatne do naruszeń dokonanych przez Lekarza.
Wskazała, ze z przeprowadzonego postępowania wyjaśniającego wynika, że Lekarz trzykrotnie uzyskiwała dostęp do danych osobowych Skarżącej bez żadnego uzasadnionego powodu, tj. w dniach [...] kwietnia 2022 roku, [...] września 2022 roku i [...] października 2022 roku. W ocenie Skarżącej, Lekarz chciała uzyskać informacje ojej stanie zdrowia lub podleganiu ubezpieczeniom społecznym, które to informacje mogłaby wykorzystywać na swój prywatny użytek. W ocenie skarżącej takie zachowanie Lekarza jest co najmniej naganne, tym bardziej mając na względzie konflikt pomiędzy stronami.
W związku z powyższym wnosiła o zmianę zaskarżonej decyzji poprzez nałożenie dodatkowo obok upomnienia administracyjnej kary pieniężnej na Lekarza stosownie do treści art. 83 ust. 1 i 2 RODO.
W odpowiedzi na skargę organ podtrzymał stanowisko.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Przedmiotem skargi jest decyzja organu z [...] kwietnia 2024 roku znak: [...] w mocą której udzielono Lekarzowi upomnienia za naruszenie przepisów, polegające na uzyskaniu dostępu do danych osobowych Skarżącej.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (t.j. z dnia 2 grudnia 2022 r., Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. z dnia 8 lutego 2023r., Dz. U. z 2023 r., poz. 259 -zwaną dalej P.p.s.a.").
Sprawa rozpoznana została w trybie uproszczonym. Zgodnie z art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935), zw. dalej "p.p.s.a.", sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
W sprawie tej Sąd dokonując oceny legalności decyzji Prezesa UODO w zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami RODO.
Analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem decyzja Prezesa UODO nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w tym k.p.a., w stopniu, który miałby istotny wpływ na wynik sprawy zakończonej wydaniem zaskarżonej decyzji.
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych Dz.U. z 2019 r., poz. 1781 dalej u.o.d.o.) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
W sprawie tej Sąd stwierdził, że - wbrew zarzutom skargi – organ, rozstrzygając sprawę, nie dopuścił się - mogącego mieć wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 8 k.p.a. art. 11 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., czy art. 107 § 3 k.p.a., albowiem organ wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia niniejszej sprawy, w granicach prowadzonego postępowania, wyznaczonych skargą Skarżącej. Prezes UODO dokonał także zdaniem Sądu właściwej oceny zebranego w sprawie materiału dowodowego, dokonując tej oceny w kontekście prawidłowo zastosowanych przepisów RODO.
W działaniach Prezesa UODO w tej sprawie Sąd nie stwierdził jakichkolwiek istotnych nieprawidłowości, zarówno w zakresie dokonanych ustaleń stanu faktycznego, jak i zastosowania do jego oceny przepisów prawa materialnego. Uzasadnienie zaskarżonej decyzji odpowiada wymogom art. 107 § 3 k.p.a., Prezes UODO wyjaśnił motywy podjętego rozstrzygnięcia i powody, jakie legły u jego podstaw. Argumentacja organu jest w tym zakresie wyczerpująca i wyjaśnia dlaczego zapadło takie a nie inne rozstrzygnięcie.
Podkreślenia wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych. W sprawie tej organ dokonał niezbędnych ustaleń faktycznych, opartych na wyjaśnieniach złożonych w tej sprawie przez Lekarza, ZUS oraz Skarżącą.
Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować.
Proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Organ zasadnie wskazał, że Lekarz - jako podmiot zobowiązany do oceny zasadności wystawienia zaświadczenia lekarskiego - jest upoważniony do dostępu do danych zgromadzonych na platformie PUE ZUS, ale dostęp taki jest możliwy w sytuacji służącej do udostępniania osobom wystawiającym zaświadczenia lekarskie usług, umożliwiających wystawienie zaświadczenia lekarskiego. Okoliczność ta wskazuje, że mimo, iż lekarz ma dostęp do zgromadzonych na PUE ZUS danych, to jednak nie może on korzystać z dostępu do nich w sposób dowolny, jak miało to miejsce w niniejszym przypadku. W ocenie Sądu, organ zasadnie uznał, że dostęp Lekarza do danych Skarżącej na PUE ZUS w dniach [...].04.2022 r., [...].09.2022 r., [...].10.2022 r. odbywał się bez podstawy prawnej i odbywał się bez zamierzonego celu.
Wskazać należy, że Prezes UODO jest organem właściwym, niezależnym i podejmującym działania w sprawach dotyczących ochrony danych osobowych. Prezes UODO jest organem nadzorczym w rozumieniu przepisów RODO. Należy w związku z tym zaznaczyć, że przysługujące Prezesowi UODO, na mocy art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym dotyczące nakładania administracyjnych kar pieniężnych, należą do autonomicznych kompetencji Prezesa UODO. Okoliczność ta sprawia, że organ może zastosować określone przepisami art. 58 ust. 2 RODO działania naprawcze, lecz dokonuje tego typu działań w zależności od oceny okoliczności konkretnej sprawy, analizując ustalony stan faktyczny i prawny samodzielnie, co sprawia, iż nie podejmuje rozstrzygnięć wskazanych w art. 58 ust. 2 RODO na wniosek osoby składającej skargę.
W wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 29 września 2021 r., sygn. akt II SA/Wa 1724/21, Sąd stwierdził, iż "kary pieniężne mogą być stosowane - jak stanowi art. 83 ust. 2 rozporządzenia - oprócz lub zamiast innych uprawnień naprawczych (Sąd niniejszym składzie podziela to stanowisko). W ocenie Sądu, oznacza to, że organ nie jest zobligowany do nałożenia kary w każdym przypadku naruszenia przepisów rozporządzenia. Organ może uznać, że nałożenie kary pieniężnej jest sankcją nieproporcjonalną do rodzaju naruszenia i poprzestać na zastosowaniu innych środków nadzorczych.
Tak więc organ może skorzystać z określonego uprawnienia naprawczego (np. upomnieć administratora danych), nakładając równocześnie administracyjną karę pieniężną, może także ograniczyć się do upomnienia lub nałożenia kary, stosując wówczas zasady jej wymiaru określone w art. 83 rozporządzenia." Należy wskazać, że w związku z nieprawidłowościami dokonanymi przez Lekarza, Prezes UODO uznał, że właściwym było nałożenie na Lekarza kary upomnienia za stwierdzone w toku postępowania administracyjnego nieprawidłowości. Jednocześnie Sąd podziela stanowisko organu, że Prezes Urzędu zasadnie uznał, iż w rozpatrywanej sprawie nie wystąpiły przesłanki wystarczające do nałożenia administracyjnej kary pieniężnej (art. 58 ust. 2 lit. i RODO), o których mowa w art. 83 ust. 1 i 2 RODO.
Prawidłowo zatem organ uznał, że Lekarz dopuścił się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez
W związku z powyższym Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO zasadnie udzielił Spółce upomnienia.
Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez Prezesa UODO. Organ pomimo tego, że nie poświęcił więcej uwagi w uzasadnieniu decyzji wyjaśnieniu proporcjonalności zastosowanego środka do stwierdzonej nieprawidłowości w przetwarzaniu danych osobowych nie przekroczył zasad proporcjonalności. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO. Waga stwierdzonego naruszenia i jego charakter dawały podstawę do zastosowania upomnienia.
Decyzja Prezesa UODO nie narusza norm prawa materialnego jak również procesowego, w stopniu który miałby wpływ na wynik sprawy. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 2 i art. 120 p.p.s.a., orzekł jak w wyroku.