III OSK 2471/22

III OSK 2471/22 - Wyrok NSA
Data orzeczenia
2025-10-23
orzeczenie prawomocne
Data wpływu
2022-10-11
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Ireneusz Dukiel /sprawozdawca/
Przemysław Szustakiewicz
Zbigniew Ślusarczyk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
II SA/Wa 328/22 - Wyrok WSA w Warszawie z 2022-07-05
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk Sędziowie: sędzia NSA Przemysław Szustakiewicz sędzia del. WSA Ireneusz Dukiel (spr.) Protokolant: starszy sekretarz sądowy Maria Rutkowska po rozpoznaniu w dniu 23 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B.K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lipca 2022 r. sygn. akt II SA/Wa 328/22 w sprawie ze skargi B.K. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 5 lipca 2022 r., sygn. akt II SA/Wa 328/22, oddalił skargę B.K. (dalej jako strona, skarżąca lub skarżąca kasacyjnie) na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej jako organ lub PUODO) z dnia [...] grudnia 2021 r., nr [...], w przedmiocie przetwarzania danych osobowych.
Wskazany wyrok został wydany w następujących okolicznościach faktycznych i prawnych:
W dniu 25 lutego 2020 r. (data wpływu do organu) A.W. i jej małoletni syn M.F. (dalej jako uczestnicy postępowania lub z osobna jako uczestniczka A.F.W. i uczestnik M.F.), reprezentowani przez profesjonalnego pełnomocnika, wnieśli do PUODO skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Niepubliczny Zakład Opieki Zdrowotnej [...] sp. z o.o. w G. (dalej jako Przychodnia), Zakład Ubezpieczeń Społecznych (dalej jako ZUS) oraz stronę polegające na przetwarzaniu, w tym pozyskiwaniu, danych osobowych uczestników postępowania, zgromadzonych na platformie PUE ZUS przez stronę i Przychodnię bez podstawy prawnej oraz udostępnieniu danych osobowych uczestników postępowania przez przychodnię i stronę osobie nieuprawnionej, tj. A.F. (dalej jako A.F.).
W treści skargi wskazano, że Przychodnia i ZUS kilkukrotnie udostępniły dane osobowe uczestników postępowania w dniu 3 października 2019 r. Dane te zostały ujawnione przez T.L. - pracownika przychodni na rzecz A.F. Następnie w dniu 7 października 2019 r. dane osobowe uczestniczki A.F.W. (pozyskane w wyniku bezprawnego wejścia i sprawdzenia danych w portalu ZUS) zostały ujawnione przez stronę na rzecz A.F. Wskazano, że uczestnicy postępowania nie są i nie byli pacjentami strony. Jako potwierdzenie udostępnienia danych, do skargi załączono wydruki z profilu uczestniczki A.F.W. na portalu PUE ZUS, wskazujące na dostęp strony do jej profilu w dniu 7 października 2019 r. oraz rozmowy sms partnera uczestniczki postępowania A.F.W z A.F. (jego byłą żoną).
Decyzją z dnia 9 grudnia 2021 r. organ orzekł w pkt 1 – o udzieleniu stronie, prowadzącej działalność gospodarczą pod firmą Specjalistyczna Praktyka Lekarska (...), upomnienia za naruszenie art. 5 ust. 1 lit. a), art. 6 ust. 1 oraz art. 9 ust. 2 rozporządzenia 2016/679 poprzez pozyskanie danych osobowych uczestniczki A.F.W. z zasobów ZUS na PUE ZUS, bez podstawy prawnej; w pkt 2 – o umorzeniu postępowania w zakresie dotyczącym udostępnienia danych osobowych uczestników postępowania przez Przychodnię na rzecz A.F. oraz przez stronę na rzecz A.F. oraz innych osób nieuprawnionych; w pkt 3 - o odmowie uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu decyzji organ wskazał, że zgodnie z informacjami na portalu PUE ZUS w dniu 7 października 2019 r., strona uzyskała dostęp do profilu uczestniczki A.F.W. (jej danych osobowych), który nie został zakończony wystawieniem zaświadczenia lekarskiego lub jego anulowaniem. Jednocześnie ZUS wskazał, że przetwarza dane osobowe uczestników postępowania w celu realizacji zadań ustawowych, działając na podstawie przepisów ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (t. jedn. Dz.U. z 2020 r. poz. 266 ze zm., dalej jako u.s.u.s.), w tym w szczególności na podstawie przepisów rozdziału 4 powołanej u.s.u.s. oraz zgodnie z przepisami ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (t. jedn. Dz.U. z 2020 r. poz. 870, dalej jako u.ś.p.).
Według wyjaśnień ZUS, zgodnie z art. 55a ust. 1 i 2 u.ś.p., w celu wystawiania zaświadczeń lekarskich lekarz tworzy za pomocą systemu teleinformatycznego udostępnionego bezpłatnie przez ZUS profil informacyjny, na którym ZUS udostępnia mu: 1. dane zgromadzone w Centralnym Rejestrze Ubezpieczonych - pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego; Centralnym Rejestrze Płatników Składek - nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL; Centralnym Rejestrze Członków Rodziny Ubezpieczonych Uprawnionych do Ubezpieczenia Zdrowotnego - datę urodzenia chorego członka rodziny i stopień jego pokrewieństwa lub powinowactwa z ubezpieczonym;
2. informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1 u.ś.p., oraz o zaświadczeniach, o których mowa w art. 59 ust. 8 u.ś.p.;
3. informacje, czy płatnik składek posiada profil informacyjny płatnika składek, o którym mowa w art. 58 ust. 1 u.ś.p.
Ponadto obowiązujące przepisy prawa nie upoważniają ZUS do kontrolowania sposobu przetwarzania danych pacjentów przez lekarza. Lekarz, wystawiając zaświadczenie lekarskie, działa za pośrednictwem systemu teleinformatycznego udostępnionego przez ZUS, co nie zmienia faktu, iż jest on samodzielnym administratorem danych osobowych, przetwarzanych w związku z udzielaniem pacjentowi świadczeń zdrowotnych.
Według natomiast wyjaśnień Przychodni, przetwarza ona aktualnie dane osobowe uczestniczki A.F.W. jako pacjentki oraz uczestnika M.F. jako byłego pacjenta w zakresie określonym przepisami prawa, tj. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Przychodnia wskazała, że strona i pielęgniarka w związku z udzielaniem świadczeń medycznych, w ramach działalności przychodni, na podstawie udzielonych upoważnień miały dostęp do danych osobowych zawartych w aplikacji SERUM. Przychodnia nie była w posiadaniu i nie udostępniała danych osobowych uczestników postępowania, pozyskanych z platformy elektronicznej PUE ZUS, nadto niezwłocznie po otrzymaniu zgłoszenia o rzekomym naruszeniu przeprowadziła postępowanie wyjaśniające, w tym m.in. analizowała wszelkie przedłożone przez uczestniczkę A.F.W. dowody, w konsekwencji którego nie stwierdzono żadnych nieuprawnionych dostępów do aktywów przetwarzających dane w Przychodni.
W trakcie przeprowadzonego postępowania pielęgniarka złożyła oświadczenie, że nie przekazywała A.F. danych osobowych uczestników postępowania przetwarzanych przez Przychodnię, natomiast strona złożyła oświadczenie, że dane z platformy usług elektronicznych PUE ZUS wykorzystuje wyłącznie w celach służbowych i nie przekazuje osobom trzecim. Przychodnia wskazała także, że w dniu 7 października 2019 r. uczestnicy postępowania nie korzystali z usług przychodni w zakresie świadczeń opieki zdrowotnej, udzielanych przez stronę i pielęgniarkę oraz, że tego dnia małoletni uczestnik M.F. korzystał z usług medycznych wykonywanych przez inny personel medyczny, co zostało odnotowane w aplikacji SERUM.
Strona wyjaśniła, że nie przetwarzała i nie udostępniała nikomu danych osobowych uczestników postępowania, w tym na rzecz A.F., a podstawę prawną wglądu do danych osobowych uczestniczki postępowania na platformie PUE ZUS stanowi art. 54 u.ś.p. w zw. z art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (L 119 z dnia 4 maja 2016, str. 1, Dz.Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35, dalej jako RODO). Strona oświadczyła również, że wglądu do danych pacjentów zawsze dokonuje tylko i wyłącznie w związku z pełnieniem obowiązków lekarza, nigdy w celach osobistych oraz, że z uwagi na upływ czasu, nie pamięta czy przeglądała dane uczestników postępowania na platformie PUE ZUS w dniu 7 października 2019 r. i czy korzystała przy tym z aplikacji SERUM.
Przychodnia wskazała natomiast, że po przeanalizowaniu zgłoszenia naruszenia ochrony danych osobowych uczestników postępowania nie miała podstaw do stwierdzenia udostępnienia ich danych osobowych, przetwarzanych w ich dokumentacji medycznej nadzorowanej przez Przychodnię, w dniu 3 października 2019 r. osobom nieuprawnionym, w tym A.F. Jednocześnie Przychodnia wyjaśniła, że w dniu 3 października 2019 r. pielęgniarka oraz w dniu 7 października 2019 r. strona, w ramach wykonywania swoich obowiązków zawodowych, logowały się do aplikacji SERUM. Po zalogowaniu do SERUM zalogowany może przeglądać dokumentację medyczną wszystkich pacjentów. Aplikacja SERUM nie umożliwia stwierdzenia, czyją dokumentację medyczną przeglądała zalogowana osoba.
Ze złożonych w sprawie karnej zeznań A.F. wynika m.in., że ze strona ma kontakt tylko w związku ze zdrowiem i opieką nad jej córkami, nie przekazywała jej żadnych danych dotyczących uczestniczki A.F.W., nie zna pielęgniarki, jakiekolwiek informacje o uczestniczce A.F.W. uzyskała ze znalezionych maili P.F. (dalej jako P.F.) z uczestniczką A.F.W., z Facebooka, od córek, teścia oraz innych osób.
Strona zeznała natomiast, że nie zna uczestniczki A.F.W., nie wiedziała, że P.F. ma z nią syna. Odnosząc się do ewentualnego sprawdzania danych osobowych uczestników postępowania za pośrednictwem ZUS PUE, strona wskazała, że pacjentów wyszukuje po nr PESEL lub nazwisku, wówczas zdarza się, że wyskakuje kilka osób o tym samym nazwisku oraz, że zdarzały się w Przychodni sytuacje, że inny lekarz logował się na jej (lub innego lekarza) koncie na platformie PUE ZUS, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera oraz, że ona nie logowała się do konta uczestniczki A.F.W. w celu uzyskana jej danych i przekazania ich A.F., nie wie w jaki sposób logowanie nastąpiło i być może było to błędne logowanie.
Organ uznał, że przedmiotem postępowania jest proces przetwarzania danych osobowych uczestników postępowania przez: 1) ZUS, polegający na udostępnieniu bez podstawy prawnej danych osobowych uczestniczki A.F.W. za pośrednictwem PUE ZUS na rzecz strony;
2) strony, polegający na uzyskaniu nieuprawnionego dostępu do danych osobowych uczestniczki A.F.W. za pośrednictwem PUE ZUS, w związku z wykonywanym zawodem lekarza, w celu prywatnym i udostępnieniu danych osobowych uczestników postępowania na rzecz A.F. oraz innych osób nieuprawnionych;
3) Przychodnię, polegające na udostępnieniu danych osobowych uczestników postępowania na rzecz A.F.
W konsekwencji organ stwierdził, że w sprawie nie doszło do niezgodnego z prawem przetwarzania danych osobowych uczestniczki A.F.W. przez ZUS. ZUS, udostępniając stronie za pośrednictwem PUE ZUS dane osobowe uczestniczki A.F.W., działał na podstawie art. 55a ust. 2 u.ś.p., co stanowi wypełnienie przesłanek, legalizujących proces przetwarzania danych osobowych, określonych w art. 6 ust. 1 lit. c) RODO w zakresie danych osobowych tzw. "zwykłych" uczestniczki A.F.W. oraz art. 9 ust. 2 lit. h) RODO w zakresie szczególnych kategorii danych osobowych. Udostępnienie danych osobowych nastąpiło w sposób legalny.
W sprawie – zdaniem organu – doszło natomiast do niezgodnego z prawem przetwarzania danych osobowych uczestniczki A.F.W. przez stronę. Jak wskazano strona nie była lekarzem uczestniczki A.F.W. Ponadto brak jest przepisów, które legalizowałyby pozyskiwanie przez lekarzy dostępu do danych osobowych za pośrednictwem PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. Dane osobowe, udostępniane wystawiającym zaświadczenie lekarskie w PUE ZUS, dotyczą m.in. stanu zdrowia pacjentów, zatem danych, które podlegać powinny szczególnej ochronie. Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b) RODO, organ udzielił stronie upomnienia za naruszenie art. 5 ust. 1 lit. a), art. 6 ust. 1 oraz art. 9 ust. 2 RODO poprzez pozyskanie danych osobowych uczestniczki A.F.W. bez podstawy prawnej z zasobów PUE ZUS.
Organ ocenił dalej, że przeprowadzona w sprawie analiza materiału dowodowego nie wykazała w sposób jednoznaczny i bezsporny, aby Przychodnia lub strona udostępniły lub umożliwiły dostęp A.F. do danych osobowych uczestników postępowania. Zarówno przychodnia jak i strona w toku postępowania zaprzeczyli stawianym zarzutom. Przychodnia przeprowadziła czynności wyjaśniające celem weryfikacji stawianych zarzutów, w tym pozyskała wyjaśnienia od osób podejrzewanych o udostępnienie danych – strony i na rzecz A.F., które nie potwierdziły, aby doszło do ujawnienia osobom nieuprawnionym danych uczestników postępowania. Uczestniczka A.F.W. oparła skargę na własnym przekonaniu i nie przedstawiła niebudzących wątpliwości dowodów na potwierdzenie stawianych zarzutów. Dowodu na udostępnienie danych osobowych przez Przychodnię i stronę na rzecz A.F. nie stanowią rozmowy sms P.F. (partnera uczestniczki A.F.W.) z A.F., bowiem nie wskazują na źródło pozyskania danych osobowych uczestników postępowania.
Organ wyjaśnił, że według zeznań A.F. (przez policję w postępowaniu dot. opisywanego naruszenia), strona nie przekazywała jej żadnych danych, dotyczących uczestniczki A.F.W., nie zna ona pielęgniarki, a jakiekolwiek informacje o uczestnikach postępowania uzyskała ze znalezionych e-maili P.F. z uczestniczką A.F.W., z Facebooka, od córek, teścia oraz innych osób. Tak więc materiał dowodowy zebrany w sprawie nie świadczy o prawdziwości opisanych w skardze okoliczności w zakresie udostępnienia danych osobowych uczestników postępowania przez Przychodnię i stronę na rzecz A.F.
W sprawie nie została uprawdopodobniona okoliczność ewentualnego korzystania z konta strony w PUE ZUS przez innego lekarza przychodni celem sprawdzenia danych osobowych uczestniczki A.F.W.
W konsekwencji organ ocenił, iż w sprawie spełniona została ustawowa przesłanka umorzenia postępowania w zakresie dotyczącym udostępnienia danych osobowych uczestników postępowania przez Przychodnię na rzecz A.F. i stronę na rzecz A.F. oraz innych osób nieuprawnionych, zgodnie z pkt 2 decyzji.
Na marginesie organ wskazał, że na stronie (lekarzu), jako administratorze udostępnianych jej przez ZUS za pośrednictwem PUE ZUS danych, spoczywają obowiązki wynikające z RODO w zakresie m.in. odpowiedniego zabezpieczenia danych osobowych. W związku z tym strona ponosi odpowiedzialność za ewentualne naruszenia ochrony danych osobowych, będące wynikiem dostępu osób nieuprawnionych do danych w PUE ZUS za pośrednictwem jej konta i jest zobowiązana, zgodnie z art. 33 RODO, do podjęcia działań celem przeciwdziałania negatywnym skutkom naruszenia oraz poinformowania PUODO o zaistniałym naruszeniu ochrony danych osobowych i poinformowania zgodnie z art. 34 RODO osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
Z pkt 1 decyzji PUODO nie zgodziła się strona, natomiast Sąd Wojewódzki wskazanym na wstępie wyrokiem z dnia 5 lipca 2022 r. oddalił skargę uznając ją za niezasadną.
Jak wyjaśniono w uzasadnieniu stan faktyczny w sprawie jest bezsporny. Skarżąca kwestionuje tylko przyjęcie, że to ona logowała się do konta uczestniczki A.F.W. i jej małoletniego syna. Sam fakt logowania z konta skarżącej nie został zakwestionowany.
Sąd nie zakwestionował ustaleń organu, dotyczących administrowania danymi za pośrednictwem konta na platformie PUE ZUS. Wskazano nadto, że nie został uprawdopodobniony argument skargi o zalogowaniu się na jej konto przez inną osobę (innego lekarza lub pracownika przychodni), w celu wejścia na konto uczestniczki A.F.W. lub jej małoletniego dziecka. Gdyby nawet tak było, musiałoby mieć miejsce udostępnienie przez skarżącą danych do logowania w systemie tymże osobom, a jest to okoliczność obciążająca ją, a nie usprawiedliwiająca. Skarżąca jako lekarz korzysta bowiem z indywidualnego konta w systemie ZUS, a udostępnienie danych do logowania osobom trzecim- bez względu na przyczynę – obciąża ją jako administratora i generuje jej odpowiedzialność za nieprzestrzeganie przepisów RODO, dotyczących prawidłowego i legalnego przetwarzania i zabezpieczania danych.
Sąd Wojewódzki uznał na nietrafny zarzut naruszenia przez organ art. 7, art. 75, art. 77 § 1 i art. 80 k.p.a., jednocześnie podzielając stanowisko organu, że materiał dowodowy w sprawie jest pełny i został oceniony rzetelnie, logicznie i wyczerpująco.
W uzasadnieniu wyroku wskazano także, iż UODO w toku postępowania zwracał się kilkukrotnie o złożenie wyjaśnień przez lekarza, przychodnię i ZUS oraz potwierdzających je dowodów w sprawie. Zrzuty ekranu z profilu skarżącej na platformie PUE ZUS potwierdziły fakt przeglądania danych osobowych uczestniczki A.F.W. z konta skarżącej. Jeżeli z konta skarżącej dane przeglądała inna osoba, skarżąca jako lekarz powinna wiedzieć o zakazie udostępnienia danych do logowania z jej konta osobom trzecim, a jej zarzut, dotyczący logowania z jej konta na skutek błędnego logowania, oceniono jako zupełnie nieprawdopodobny.
Podkreślono, że Sąd nie może zaakceptować bezpodstawnych twierdzeń skarżącej, jakoby przychodnia odpowiadała jako administrator za dane osobowe, do których (tylko) skarżąca jako lekarz uzyskuje dostęp za pośrednictwem przyznanego jej indywidualnie przez ZUS konta na platformie PUE ZUS. W ocenie Sądu Wojewódzkiego konto w ZUS PUE jest indywidualnym kontem przydzielanym odrębnie dla każdej osoby w określonych dla niej celach i jest zabezpieczane indywidualnym dla każdej osoby loginem i hasłem. W niniejszej sprawie skarżącej przydzielono konto jako lekarzowi, w konsekwencji lekarz jest administratorem danych, do których uzyskuje dostęp. Skoro zatem z konta skarżącej miał miejsce dostęp do danych osobowych uczestniczki A.F.W. to było to bezprawne, gdyż nie była ona jej pacjentką ani nie istniała inna prawnie uzasadniona przyczyna pozyskania jej danych przez skarżącą. Fakt wejścia na profil uczestniczki A.F.W. z konta skarżącej, jako lekarza na platformie PUE ZUS, jest bezsporny. Twierdzenia skarżącej o (hipotetycznym) skorzystaniu z jej konta przez osoby trzecie nie usprawiedliwiają jej, a wręcz przeciwnie, gdyż udostępnianie hasła i loginu innym osobom do własnego konta przez lekarza jako pozbawione podstawy prawnej, co powoduje jego odpowiedzialność.
Końcowo Sąd pierwszej instancji zwrócił uwagę, że organ wymierzył łagodną karę, bo "zaledwie" upomniał skarżącą, stosując art. 5 ust. 1 lit. a), art. 6 ust. 1 oraz art. 9 ust. 2 RODO, z uwagi na bezsporne i nie mające podstawy prawnej pozyskanie danych osobowych uczestniczki A.F.W. z zasobów ZUS na platformie PUE ZUS.
Z wydanym wyrokiem nie zgodziła się skarżąca zaskarżając go w całości. W wywiedzionej skardze kasacyjnej zarzucono naruszenie:
1. prawa materialnego, tj. art. 4 pkt 7 w zw. z art. 5 ust. 2 RODO, poprzez jego błędną wykładnię i w konsekwencji niewłaściwe zastosowanie, a mianowicie uznanie, że na skarżącej spoczywają obowiązki wynikające z RODO w zakresie odpowiedniego zabezpieczenia danych osobowych, wobec czego ponosi ona odpowiedzialność za ewentualne naruszenia ochrony danych osobowych będące wynikiem dostępu osób nieuprawnionych do danych w PUE ZUS za pośrednictwem jej konta - wskutek błędnego przyjęcia, że skarżąca jest administratorem danych osobowych, podczas gdy działała ona na podstawie upoważnienia udzielonego jej przez Przychodnię i na tej podstawie nieuprawnione jest stwierdzenie, że irrelewantne prawnie pozostaje kto w rzeczywistości pozyskał dane osobowe A.F.W. za pośrednictwem konta skarżącej w PUE ZUS;
2. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 141 § 4 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (obecnie t. jedn. Dz.U. z 2024 r. poz. 935 ze. zm., dalej jako u.p.p.s.a.) poprzez niewyjaśnienie przez Sąd Wojewódzki w uzasadnieniu wyroku podstawy prawnej rozstrzygnięcia i ograniczenie się w tym zakresie do zacytowania treści przepisu art. 4 pkt 7 RODO definiującego administratora danych osobowych, co uniemożliwia dokonanie kontroli instancyjnej orzeczenia;
3. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. a) i lit. c) u.p.p.s.a. w zw. z art. 151 u.p.p.s.a. poprzez oddalenie skargi wskutek błędnego uznania, że "materiał dowodowy w sprawie jest pełny i został oceniony rzetelnie, logicznie i wyczerpująco", w sytuacji gdy wydanie decyzji przez PUODO nastąpiło z naruszeniem przepisów art. 7 k.p.a., art. 75 § 1 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. - a mianowicie dokonania wybiórczej oraz dowolnej, niezgodnej z zasadami doświadczenia życiowego i przy tym wewnętrznie sprzecznej oceny zgromadzonego materiału dowodowego, a także niepodjęcia czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy, a mianowicie:
a) uznania li tylko na podstawie wydruku z profilu uczestniczki A.F.W. na platformie usług elektronicznych (PUE) ZUS, iż skarżąca w dniu 7 października 2019 r. uzyskała dostęp do jej danych osobowych, przy jednoczesnym bezpodstawnym odmówieniu wiary zeznaniom skarżącej złożonym w toku postępowania karnego na IlI Komisariacie Policji w G., w których zaprzeczyła, aby logowała się do konta A.F.W., wyjaśniając jednocześnie, iż "zdarzały się w Przychodni sytuacje, że inny lekarz logował się na jej lub innego lekarza koncie na platformie PUE ZUS, gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera" – wskutek nieuprawnionego przyjęcia, iż to na skarżącej spoczywał ciężar wykazania tej okoliczności;
b) zdyskwalifikowania wyjaśnień skarżącej złożonych w toku postępowania przeprowadzonego przez Przychodnię oraz następnie w toku postępowania administracyjnego, w których wskazała, że wglądu do danych pacjentów zawsze dokonuje tylko i wyłącznie w związku z pełnieniem obowiązków lekarza – pomimo jednoczesnego ustalenia, że skarżąca nie miała żadnego interesu w przetwarzaniu danych osobowych uczestniczki w celach prywatnych, nie zna uczestniczki i nikomu nie przekazywała ani w jakikolwiek inny sposób nie wykorzystywała jej danych osobowych;
- co doprowadziło do błędnych ustaleń faktycznych przyjętych za podstawę rozstrzygnięcia polegających na uznaniu, że skarżąca pozyskała dane osobowe A.F.W. z zasobów ZUS na platformie usług elektronicznych (PUE ZUS) w celach niezwiązanych ze świadczeniem usług medycznych - naruszając tym samym reguły przetwarzania danych osobowych.
Mając powyższe na uwadze wniesiono o rozpoznanie skargi kasacyjnej na rozprawie, uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi, tj. uchylenie decyzji PUODO w zaskarżonej części i umorzenie postępowania w tym zakresie, ewentualnie wniesiono o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Sądowi Wojewódzkiemu do ponownego rozpoznania, zasądzenie od organu na rzecz skarżącej kosztów postępowania kasacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych.
W odpowiedzi na skargę kasacyjną organ wniósł o oddalenie skargi kasacyjnej.
W odpowiedzi na skargę kasacyjną uczestników postępowania wniesiono o oddalenie skargi w całości, zasądzenie niezbędnych kosztów postępowania od skarżącej na rzecz uczestników według norm przepisanych oraz o rozpoznanie sprawy na posiedzeniu niejawnym.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do treści art. 183 § 1 Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej z urzędu biorąc pod rozwagę jedynie nieważność postępowania. Wobec niestwierdzenia żadnej z wad wymienionych w art. 183 § 2 u.p.p.s.a., a nadto w związku z niezaistnieniem przesłanek, o których mowa w art. 189 u.p.p.s.a., Naczelny Sąd Administracyjny dokonał kontroli zaskarżonego wyroku jedynie w zakresie wyznaczonym podstawami kasacyjnymi, dochodząc do przekonania, że są one nieusprawiedliwione, a skarga kasacyjna nie zasługuje na uwzględnienie.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie (art. 174 pkt 1 u.p.p.s.a.),
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 pkt 2 u.p.p.s.a.).
W pierwszej kolejności wskazać należy, że nie mógł zostać uwzględniony zarzut naruszenia art. 141 § 4 u.p.p.s.a. Dyspozycja wskazanego przepisu tworzy po stronie wojewódzkiego sądu administracyjnego obowiązek wyjaśnienia motywów podjętego rozstrzygnięcia w taki sposób, który umożliwi przeprowadzenie kontroli instancyjnej zaskarżonego orzeczenia w sytuacji, gdy strona postępowania zażąda, poprzez wniesienie skargi kasacyjnej, jego kontroli. Generalnie prawidłowe uzasadnienie zaskarżonego wyroku było niezbędne do przeprowadzenia właściwej kontroli instancyjnej. Zatem naruszenie art. 141 § 4 u.p.p.s.a. przez Sąd pierwszej instancji może zostać uwzględnione przez Naczelny Sąd Administracyjny, jeśli zawarta w uzasadnieniu relacja jest niepełna, niejasna, niespójna lub zawierająca innego rodzaju wadę, która nie pozwala na dokonanie kontroli kasacyjnej. Stwierdzić należy, że tego rodzaju nieprawidłowości Naczelny Sąd Administracyjny nie dopatrzył się w niniejszej sprawie. Uzasadnienie wyroku Sądu pierwszej instancji sporządzone w danej sprawie umożliwia Naczelnemu Sądowi Administracyjnemu dokonanie oceny zasadności motywów, na których oparto zaskarżone orzeczenie. Uzasadnienie zaskarżonego wyroku zawierało wszelkie elementy uzasadnienia przewidziane w art. 141 § 4 u.p.p.s.a. Nie jest jednocześnie zasadne twierdzenie autora skargi kasacyjnej jakoby Sąd Wojewódzki ograniczył się w uzasadnieniu zaskarżonego wyroku wyłącznie do przytoczenia treści art. 4 pkt 7 RODO, co miałoby uniemożliwić dokonanie kontroli instancyjnej. Nie może bowiem umykać z pola widzenia, że zaraz po wskazaniu treści art. 4 pkt 7 RODO Sąd pierwszej instancji dokonał subsumpcji ustalonego stanu faktycznego pod wskazaną normę prawną. W tym zakresie Sąd Wojewódzki stwierdził, że: "Konto w ZUS PUE jest indywidualnym kontem przydzielanym odrębnie dla każdej osoby w określonych dla niej celach; jest zabezpieczane indywidualnym dla każdej osoby loginem i hasłem. W niniejszej sprawie skarżącej przydzielono konto jako lekarzowi, w konsekwencji lekarz jest administratorem danych, do których uzyskuje dostęp".
Ze względu na faktyczne powiązanie zarzutu naruszenia art. 141 § 4 u.p.p.s.a. z zarzutem naruszenia art. 4 pkt 7 RODO Naczelny Sąd Administracyjny uznał za stosowne odniesienie się w następnej kolejności do zarzutu naruszenia prawa materialnego, czyli art. 4 pkt 7 w zw. z art. 5 ust. 2 RODO. Zarzut ten również okazał się niezasadny. Autor skargi kasacyjnej wskazuje, że skarżąca nie była administratorem danych osobowych uczestników postępowania, a administratorem tym jest zatrudniająca ją Przychodnia. W skardze kasacyjnej zaznaczono bowiem, że skarżąca kasacyjnie świadcząc usługi na rzecz Przychodni przetwarza dane pacjentów tejże Przychodni na podstawie udzielonego upoważnienia zgodnie z art. 29 RODO. Nadto wskazano, że w przypadku, gdy działalność jest wykonywana przez lekarza w siedzibie podmiotu leczniczego i jest to swego rodzaju quasi zatrudnienie, to lekarz taki nie ma statusu podmiotu odrębnego od administratora danych. W rezultacie zarzucono, że wadliwe jest stanowisko Sądu Wojewódzkiego, zgodnie z którym skarżąca ponosi odpowiedzialność za ewentualne naruszenia ochrony danych osobowych będące wynikiem dostępu osób nieuprawnionych do danych w PUE ZUS za pośrednictwem jej konta.
Wyjaśnić należy zatem, że zgodnie z art. 4 pkt 7 RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Zgodnie natomiast z art. 5 ust. 2 RODO "Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie («rozliczalność»)".
Jak zatem wynika z treści art. 5 ust. 1 RODO: "Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą («zgodność z prawem, rzetelność i przejrzystość»);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami («ograniczenie celu»);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane («minimalizacja danych»);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane («prawidłowość»);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą («ograniczenie przechowywania»);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych («integralność i poufność»)."
Autor skargi kasacyjnej całkowicie zdaje się pomijać jednak treść art. 54 ust. 1 u.ś.p. Zgodnie z nim: "Zakład Ubezpieczeń Społecznych upoważnia do wystawiania zaświadczeń lekarskich o czasowej niezdolności do pracy z powodu choroby, pobytu w szpitalu albo innym zakładzie leczniczym podmiotu leczniczego wykonującego działalność leczniczą w rodzaju stacjonarne i całodobowe świadczenia zdrowotne albo o konieczności osobistego sprawowania opieki nad chorym członkiem rodziny, zwanych dalej "zaświadczeniem lekarskim", lekarza, lekarza dentystę, felczera lub starszego felczera, zwanych dalej "wystawiającym zaświadczenie lekarskie", po złożeniu, w formie pisemnej lub w formie dokumentu elektronicznego, podpisanego kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym albo z wykorzystaniem sposobu potwierdzania pochodzenia oraz integralności danych dostępnego w systemie teleinformatycznym udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych, na elektroniczną skrzynkę podawczą Zakładu Ubezpieczeń Społecznych utworzoną zgodnie z przepisami wydanymi na podstawie art. 16 ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t. jedn. Dz. U. z 2024 r. poz. 1557 i 1717), zwaną dalej "elektroniczną skrzynką podawczą Zakładu Ubezpieczeń Społecznych", lub na adres do doręczeń elektronicznych, o którym mowa w art. 2 pkt 1 ustawy z dnia 18 listopada 2020 r. o doręczeniach elektronicznych (t. jedn. Dz. U. z 2024 r. poz. 1045 i 1841), zwany dalej "adresem do doręczeń elektronicznych", oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z przepisów ustawy i przepisów o ochronie danych osobowych". Natomiast na podstawie ust. 2 wskazanego wyżej przepisu upoważnienia, udziela ZUS w formie decyzji.
Przepisy te mają – w ocenie Naczelnego Sądu Administracyjnego – rozstrzygające znaczenie w sprawie. Co istotne uprawnienia do wystawiania zaświadczeń lekarskich, w tym do związanego z tym przetwarzania danych osobowych osób ubezpieczonych, przysługują lekarzom, a nie zatrudniającym ich placówkom. W sytuacji bowiem, kiedy to lekarz uzyskuje dostęp do indywidualnego konta przydzielanego przez ZUS (bez udziału przychodni) to lekarz ten, a nie zatrudniający go podmiot ustala cele i sposoby przetwarzania danych osobowych. Niewątpliwie zatem to skarżąca jest administratorem danych osobowych udostępnionych w systemie teleinformatycznym wykorzystywanym zasadniczo do wystawiania zaświadczeń lekarskich (por. https://www.zus.pl/portal/pomoc/index.html?kle0000.html).
Nie można przyznać również słuszności zarzutowi naruszenia przez Sąd pierwszej instancji art. 145 § 1 pkt 1 lit. a) i lit. c) u.p.p.s.a. w zw. z art. 151 u.p.p.s.a. Wskazane przepisy wynikowe powiązane zostały z art. 7 k.p.a., art. 75 § 1 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. Autor skargi kasacyjnej wskazuje bowiem, że: "pomimo wątpliwości co do kluczowej dla rozstrzygnięcia w niniejszej sprawie kwestii, li tylko na podstawie wydruku z portalu ZUS organ - i za nim sąd - stwierdził, że skarżąca uzyskała za pośrednictwem ww. platformy dane osobowe A.F., jednocześnie odmawiając wiary wyjaśnieniom skarżącej, która zaprzeczyła, aby logowała się do konta uczestniczki i wskazała, że zdarzały się w Przychodni sytuacje, że inny lekarz logował się na jej lub innego lekarza koncie na platformie PUE ZUS, «gdy system się zawieszał lub ktoś korzystał z czyjegoś komputera", dodając przy tym, że nie wie, jak doszło do logowania i "być może było ono błędne" w tym sensie, że pacjentów wyszukuje się po numerze PESEL lub nazwisku - wówczas zdarza się, że wyskakuje kilka pozycji. Wojewódzki Sąd Administracyjny nie wyjaśnił przy tym, dlaczego w jego ocenie zarzut dotyczący błędnego logowania jest "zupełnie nieprawdopodobny» (s. 10 uzasadnienia)".
Należy zatem zauważyć, że sam fakt wejścia na profil uczestniczki postępowania z konta PUE ZUS skarżącej nie był i nie jest kwestionowany. Pośrednio potwierdzają to przywołane przez autora skargi kasacyjnej wyjaśnienia skarżącej, zgodnie z którymi: "być może było ono błędne". Sama skarżąca nie wyklucza zatem możliwości przetwarzania danych osobowych uczestniczki postępowania. Zwraca ona przy tym uwagę, że – w okolicznościach sprawy – nie ma możliwości ustalenia, kto dokładnie uzyskał dostęp do danych osobowych uczestniczki postępowania. Nie można jednak pomijać, że skarżąca wskazała jednocześnie na swoistą praktykę uzyskiwania dostępu do platformy PUE ZUS przez lekarzy z innych kont (nienależących do nich samych, lecz innych lekarzy). W tym zakresie sygnalizowane przez skarżącą kasacyjnie udostępnienie swoich danych dostępowych do indywidualnego konta PUE ZUS (które pozwala na dostęp do danych osobowych pacjentów) nie może stanowić czynnika, który uwalniałby ją od odpowiedzialności. Sąd Wojewódzki podkreślił, że dostęp do danych osobowych uczestniczki postępowania miał miejsce z konta skarżącej. Zwrócono przy tym uwagę na fakt, że uczestniczka nie była pacjentką skarżącej ani nie istniała inna prawnie uzasadniona przyczyna pozyskania jej danych (co również nie jest kwestionowane przez skarżącą kasacyjnie). W konsekwencji doszło do nieuzasadnionego prawnie przetwarzania danych osobowych z indywidualnego konta PUE ZUS skarżącej, co miało bezpośredni wpływ na przyjęte przez Sąd Wojewódzki stanowisko. Naczelny Sąd Administracyjny zwraca przy tym uwagę, że Sąd pierwszej instancji nie wskazał jednocześnie, że to skarżąca dokonała pozyskania danych osobowych, lecz że miało ono miejsce z jej indywidualnego konta. Jeszcze raz podkreślić należy, że kwestią oczywistą pozostaje, iż dostęp do tego konta w PUE ZUS powinna mieć wyłącznie skarżąca kasacyjnie. W rezultacie skarżąca jako administrator nie zapewniła przetwarzania danych w sposób gwarantujący odpowiednie bezpieczeństwo danych osobowych zawartych w systemie PUE ZUS.
Naczelny Sąd Administracyjny ze wskazanych dotychczas powodów podziela stanowisko Sądu pierwszej instancji. Zaznaczyć przy tym przyjdzie, że nie może świadczyć o naruszeniu prawa przyjęta przez organy, a następnie przez Sąd Wojewódzki odmienna ocena zgromadzonego materiału dowodowego.
Skoro zatem skarga kasacyjna nie zawierała usprawiedliwionych podstaw, gdyż żaden z podniesionych w niej zarzutów nie zasługiwał na uwzględnienie, to Naczelny Sąd Administracyjny, działając na podstawie art. 184 u.p.p.s.a., oddalił skargę kasacyjną.
Odnośnie wniosku pełnomocnika uczestników postępowania o zasądzenie zwrotu kosztów postępowania to wskazać należy, że nie mógł on zostać uwzględniony. Wskazać należy bowiem, że art. 204 pkt 1 i 2 u.p.p.s.a. przewiduje zwrot kosztów, w przypadku oddalenia skargi kasacyjnej jedynie w stosunku do organu i do skarżącego, a tym samym a contrario brak jest podstawy prawnej do zwrotu kosztów dla uczestnika postępowania.