Decyzja
ZSZZS.440.632.2018
DECYZJA
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000) w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922) i art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h oraz lit. i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po rozpatrzeniu wniosku Pani K.S. oraz Pana A.S., o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 stycznia 2017 r. (DOLIS/DEC-2/17/360, 366) w sprawie ich skargi dotyczącej przetwarzania przez S. sp. z o.o., prowadzącą zakład leczniczy o oznaczeniu NZOZ [...], Państwowego Powiatowego Inspektora Sanitarnego w G. oraz Wojewodę [...] danych osobowych ich oraz ich małoletniego syna A.S., Prezes Urzędu Ochrony Danych Osobowych
utrzymuje w mocy zaskarżoną decyzję.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani K.S. i Pana A.S., zwanych dalej Skarżącymi, na przetwarzanie ich danych osobowych oraz danych osobowych ich małoletniego syna A.S., dotyczących niewykonania przez Skarżących obowiązku szczepień ochronnych w stosunku do małoletniego, przez S. sp. z o.o., prowadzącą zakład leczniczy o oznaczeniu NZOZ, zwany dalej Przychodnią, Państwowego Powiatowego Inspektora Sanitarnego w G., zwany dalej PPIS oraz Wojewodę [...], zwanego dalej Wojewodą.
W treści skargi Skarżący wskazali, że Przychodnia udostępniła PPIS ich dane osobowe oraz dane ich małoletniego syna z naruszeniem ustawy o ochronie danych osobowych. W skardze Skarżący wskazali, że oczekują od Generalnego Inspektora wydania decyzji przedmiotowej nakazującej zabezpieczenie ich danych, które zostały przekazane przez Przychodnię do PPIS i przez PPIS do Wojewody oraz usunięcia ich danych osobowych z zasobów tych podmiotów.
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Skarżący, jako osoba sprawująca pieczę nad swoim małoletnim dzieckiem, nie wykonali w stosunku do niego obowiązku szczepień ochronnych.
- Przychodnia udostępniła dane osobowe Skarżących oraz ich syna w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL Państwowemu Powiatowemu Inspektorowi Sanitarnemu w G. w związku z nierealizowaniem przez Skarżących obowiązku szczepień ochronnych w stosunku do ich małoletniego syna.
- PPIS wskazał, że przetwarza dane osobowe Skarżących oraz ich małoletniego syna A.S. zgodnie z § 13 rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r., w sprawie obowiązkowych szczepień ochronnych (tj. Dz. U. z 2016 r. poz. 849 z późn. zm.), wskazując, iż na podstawie art. 5 pkt 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (tj. Dz. U. z 2017 r. poz. 1261), do zadań Państwowej Inspekcji Sanitarnej należy ustalenie zakresu i terminów szczepień ochronnych oraz sprawowanie nadzoru w tym zakresie.
- W związku z uchylaniem się Skarżących od wykonania obowiązku szczepiennego wobec ich małoletniego syna PPIS przekazał ich dane osobowe do Wojewody, jako organu egzekucyjnego w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym.
Po przeprowadzeniu postępowania administracyjnego w sprawie Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia z dnia 3 stycznia 2017 r. (DOLiS/DEC-2/17/360,366,372,377,380) mocą której, odmówił uwzględnienia wniosku w przedmiotowej sprawie.
W dniu […] stycznia 2017 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynął wniosek Skarżących, o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją (data nadania wniosku w placówce pocztowej – […] stycznia 2017 r., tj. w ustawowym terminie).
We wniosku o ponowne rozpatrzenie sprawy Skarżący wnieśli o nakazanie usunięcia uchybień w procesie przetwarzania danych osobowych poprzez wypełnienie w stosunku do nich obowiązku informacyjnego z art. 25 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), usunięcie ich danych osobowych z rejestrów prowadzonych niezgodnie z przepisami lub bez ich zgody, rozpoczęcie postępowania wyjaśniającego w przedmiotowej sprawie, skierowanie do skarżonych podmiotów wystąpienia dotyczącego doskonaleniu ochrony danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wydanie decyzji lub postanowienia stwierdzającej wadliwość dokumentów wydanych przez organy Inspekcji Sanitarnej, które naruszyły przepisy o ochronie danych osobowych, uznanie naruszenia prawa w czynnościach Inspekcji Sanitarnej, wszczęcia postępowania dyscyplinarnego wobec osobom winnym uchybień oraz w razie konieczności, skierowanie sprawy do organów ścigania przestępstw.
Po ponownym zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, zważył, co następuje.
W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r., zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora przed 25 maja 2018 r. pozostają skuteczne.
Konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Jednocześnie niniejszy organ podziela stanowisko wyrażone przez Naczelny Sąd Administracyjny w wyroku z dnia 25 listopada 2013 r., wydanym w sprawie o sygn. akt I OPS 6/1, w którym ww. Sąd wskazał cyt.: „W postępowaniu administracyjnym, regulowanym przepisami Kodeksu postępowania administracyjnego, zasadą jest, że organ administracji publicznej załatwia sprawę przez wydanie decyzji, która rozstrzyga sprawę co do jej istoty, według stanu prawnego i faktycznego na dzień wydania decyzji”.
Prezes Urzędu Ochrony Danych Osobowych musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem. Odnosząc powyższe do ustalonego stanu faktycznego, podkreślenia wymaga, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, mają dwie okoliczności. Po pierwsze zaznaczyć należy, że udostępnienia danych osobowych Skarżących i ich małoletniego syna, zarówno przez Przychodnię na rzecz PPIS oraz przez PPIS na rzecz Wojewody, było zdarzeniem jednorazowym i dokonanym, do którego doszło w okresie obowiązywania ustawy z 1997 r. o ochronie danych osobowych, w związku z czym do oceny zgodności z prawem tej okoliczności zastosowanie mają przepisy materialne tejże ustawy. Po drugie wskazać należy, że udostępnione dane osobowe są nadal przetwarzane przez PPIS oraz Wojewodę, w związku z czym swoje zastosowanie znajdą tu przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy tj. RODO.
AD. 2
Odnosząc się do udostępnienia danych przez Przychodnię na rzecz PPIS, ponownie wskazać należy, że każda forma przetwarzania danych osobowych tzw. „zwykłych” powinna była znaleźć oparcie w jednej z enumeratywnie wyliczonych w art. 23 ust. 1 ustawy 1997 r., przesłanek warunkujących legalność tego procesu. Natomiast przetwarzanie danych osobowych tzw. „wrażliwych”, których wyczerpujący katalog określał art. 27 ust. 1 ustawy z 1997 r., powinno było mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2 ustawy z 1997 r. Przesłanki warunkujące legalność przetwarzania danych osobowych, były wyczerpująco wyliczone w w/w przepisach. Każda z nich miała charakter autonomiczny i niezależny. Oznacza to, że przesłanki te były równoprawne, a spełnienie co najmniej jednej z nich stanowiło o zgodnym z prawem przetwarzaniu danych osobowych. Wskazać należy, że niezależnie od zgody osoby, której dane dotyczą, przetwarzanie jej danych osobowych było dopuszczalne między innymi wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa w przypadku przetwarzania danych zwykłych (art. 23 ust. 1 pkt 2 ustawy z 1997 r.). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone było m.in. w przypadku, gdy przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzał pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy z 1997 r.).
Jak wskazano w skarżonej decyzji, w odniesieniu do tego zdarzenia zastosowanie mają przepisy specjalne, regulujące obowiązek szczepienny. Zgodnie z art. 5 ust. 1 pkt 1 ppkt b u.z.z. osoby przebywające na terytorium Rzeczpospolitej Polskiej są zobowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. W przypadku osoby bez pełnej zdolności do czynności prawnych, odpowiedzialność za spełnienie tego obowiązku ponosi osoba, która sprawuje prawną pieczę lub faktyczną opiekę nad osobą małoletnią lub bezradną, zgodnie z art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r. o Prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 z późń. zm.). Co więcej, art. 5 ust. 1 pkt 4 u.z.z. zobowiązuje osoby przebywające na terytorium Rzeczpospolitej Polskiej do udzielania danych osobowych i informacji między innymi organom Państwowej Inspekcji Sanitarnej, które są niezbędne do prowadzenia nadzoru epidemiologicznego nad zakażeniami i chorobami zakaźnymi, zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych oraz informacji niezbędnych do realizacji obowiązków wymienionych w art. 5 ust. 1 pkt 1-3 u.z.z.
Zgodnie z art. 17 ust. 8 u.z.z. osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień, przechowują karty uodpornienia, dokonują wpisów potwierdzających wykonanie szczepienia, sporządzają sprawozdania z przeprowadzonych szczepień ochronnych oraz sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieka zdrowotna, które przekazywane są do odpowiedniego Państwowego Powiatowego Inspektora Sanitarnego. Artykuł 17 ust. 10 u.z.z. stanowi, iż wzór sprawozdania określa Rozporządzenie Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (t.j. Dz. U. z 2018 r. poz. 753), zwane dalej r.o.s.o., które wymaga umieszczenia w nim wykazu osób uchylających się od szczepień ochronnych (załącznik nr 4, dział drugi r.o.s.o.).
W przedmiotowej sprawie istotne jest rozgraniczenie zakresu danych osobowych udostępnionych przez Przychodnię na rzecz PPIS. Jak wykazano, zgodnie z obowiązującym prawem, Przychodnia jest zobowiązana do przygotowania sprawozdania dotyczącego przeprowadzonych szczepień ochronnych i sporządzenia imiennego wykazu osób, które się od szczepień ochronnych uchylają, by umożliwić Państwowej Inspekcji Sanitarnej sprawowanie nadzoru nad wypełnianiem tego obowiązku oraz jego efektywną egzekucję. Sprawozdanie to powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego. Podkreślić należy, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz.U.2018 poz. 1314), zwanej dalej ustawą o postępowaniu egzekucyjnym bądź u.p.e.a.. Zgodnie z art. 27 § 1 pkt 2 i 3, tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL zobowiązanego oraz treść podlegającego egzekucji obowiązku.
W związku z powyższym, stwierdzić należy że dane osobowe Skarżących w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL zostały udostępnione przez Przychodnię na rzecz PPIS na podstawie art. 23 ust. 1 pkt 2 ustawy z 1997 r., a dane ich małoletniego syna w zakresie informacji o niewykonanych szczepieniach na podstawie art. 27 ust. 2 pkt 2 ustawy z 1997 r., co w obu przypadkach należy ponownie uznać za adekwatne i celowe w świetle obowiązku nadzorczego pełnionego przez PPIS.
AD. 3
Odnosząc się natomiast do trwającego procesu przetwarzania danych Skarżących i ich małoletniego syna, wskazać należy iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Jak wskazano wyżej, na PPIS ciąży prawny obowiązek sprawowania nadzoru nad realizacją obowiązku wykonywania szczepień ochronnych, w związku z czym art. 6 ust. 1 lit. c RODO należy uznać za podstawę prawną zezwalającą na przetwarzanie danych „zwykłych” Skarżących i ich małoletniego syna jakimi są imiona, nazwiska, adres zamieszkania oraz PESEL.
Co więcej, ze względu na szczególną kategorię danych (tzw. danych „wrażliwych”) jakimi są dane o stanie zdrowia dotyczące informacji o poddaniu szczepieniom ochronnym małoletniego A.S., przetwarzanych w przedmiotowej sprawie zastosowanie ma również art. 9 RODO, zgodnie z którym przetwarzanie danych wrażliwych jest dozwolone tylko jeśli spełniony jest jeden z warunków art. 9 ust. 2 RODO. Jako możliwe przesłanki zezwalającą na przetwarzanie przepis ten wymienia: przetwarzanie danych do celów profilaktyki zdrowotnej (…) na podstawie prawa Unii lub prawa państwa członkowskiego z zastrzeżeniami ust. 3 (lit. h), przetwarzanie niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i).
W przedmiotowej sprawie za podstawę prawną można uznać zarówno art. 9 ust. 2 lit h, w związku z prowadzoną profilaktyką zdrowotną, oraz art. 9 ust. 2 lit. i w związku z interesem publicznym w dziedzinie zdrowia publicznego, jakim jest zapobieganie epidemiom chorób zakaźnych. Obie te podstawy zakładają istnienie podstawy prawnej w postaci przepisu na szczeblu Unii Europejskiej bądź przyjętym przez państwo członkowskie Unii Europejskiej. W tym przypadku, wskazać należy przepisy ustawy o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi.
Zgodnie z powyższą analizą, art. 17 ust. 8 pkt 2 u.z.z. należy uznać za przepis zezwalający na przetwarzanie danych osobowych wrażliwych przez PPIS (tj. dotyczących informacji o poddaniu szczepieniom ochronnym małoletniego A.S.) zgodnie z wymogiem art. 9 ust. 2 lit. h oraz lit. i. Ustawodawca przewidział powyższe uprawnienia umożliwiające efektywny nadzór nad realizacją obowiązku szczepień ochronnych wraz z możliwością przetwarzania danych osobowych przez organy realizujące takie zadania. Co więcej, obowiązek szczepień ochronnych został zabezpieczony przymusem administracyjnym zgodnie z art. 5 ust. 1 pkt 1 ppkt b u.z.z.
AD. 4
W odniesieniu do udostępnienia danych osobowych Skarżących przez PPIS na rzecz Wojewody, wskazać należy co następuje. Z uwagi na niewykonanie przez Skarżących obowiązku szczepiennego w stosunku do małoletniego A.S., PPIS zobowiązany był podjąć działania do wszczęcia postępowania egzekucyjnego. Zgodnie z art. 26 § 1 u.p.e.a. organ egzekucyjny wszczyna egzekucję administracyjną na wniosek wierzyciela i na podstawie wystawionego przez niego tytułu wykonawczego, sporządzonego według ustalonego wzoru. PPIS jako wierzyciel, sporządził tytuły wykonawcze, w stosunku do każdego ze Skarżących. Każdy z tytułów zawierał dane osobowe jednego ze Skarżących, w zakresie imienia, nazwiska, adresu zamieszkania, numeru PESEL, treść podlegającego egzekucji obowiązku, a więc informację o niewykonania w stosunku do syna Skarżących obowiązku szczepień ochronnych. Powyższe dane osobowe PPIS zobowiązany był wskazać w tytule wykonawczym, zgodnie z regulacją art. 27 § 1 u.p.e.a. Ponownie należy podnieść, że obowiązek poddania się szczepieniom ochronnym jest zastrzeżony przymusem administracyjnym, jako obowiązek wynikający wprost z przepisów prawa, gdzie w roli wierzyciela występuje organ PPIS, natomiast w roli organu egzekucyjnego, Wojewoda. Zgodnie bowiem z art. 20 § 1 u.p.e.a. organem egzekucyjnym w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym jest co do zasady wojewoda. Zaznaczyć należy, że kierownik wojewódzkiej inspekcji lub kierownik powiatowej inspekcji są organami egzekucyjnymi w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym jedynie w odniesieniu do obowiązków wynikających z wydawanych przez te organy decyzji i postanowień (por. art. 20 § 1 pkt 3 i 4 u.p.e.a.). Podmioty te nie są zatem organami egzekucyjnymi w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym w odniesieniu do obowiązków wynikających bezpośrednio z przepisu prawa (por. wyrok Naczelnego Sadu Administracyjnego z 12 czerwca 2014 r. sygn. akt II OSK 1312/13). W niniejszej sprawie zatem PPIS prawidłowo zidentyfikował organ egzekucyjny tj. Wojewodę, do którego skierował tytuły wykonawcze, zawierające dane osobowe Skarżących i ich syna.
Wobec powyższego, udostępnienie Wojewodzie danych osobowych dotyczących stanu zdrowia syna Skarżących przez PPIS, w zakresie niewykonania obowiązkowego szczepienia ochronnego, miało zatem oparcie w przesłance określonej w art. 27 ust. 2 pkt 2 ustawy z 1997 r., natomiast w przypadku danych osobowych Skarżących, w przesłance wskazanej w art. 23 ust. 1 pkt 2 ustawy z 1997 r.
W przedmiocie przetwarzania danych osobowych Skarżących oraz ich syna przez Wojewodę wskazać należy, że zgodnie art. 122 §1 u.p.e.a. grzywnę w celu przymuszenia nakłada organ egzekucyjny, który doręcza zobowiązanemu odpis tytułu wykonawczego zgodnie z art. 32 u.p.e.a. oraz postanowienie o nałożeniu grzywny. Zgodnie natomiast z § 2 tego artykułu postanowienie powinno zawierać wezwanie do wykonania obowiązku określonego w tytule wykonawczym. Z uwagi na powyższe uznać należy, że przetwarzanie danych osobowych dotyczących stanu zdrowia syna Skarżących przez Wojewodę, w zakresie niewykonania obowiązkowego szczepienia ochronnego, również ma oparcie w przesłance określonej w art. art. 9 ust. 2 RODO, natomiast w przypadku danych osobowych Skarżących, w przesłance wskazanej w art. art. 6 ust. 1 lit. c RODO.
Odnosząc się do żądania Skarżących w zakresie spełnienia w stosunku do nich obowiązku informacyjnego wynikającego z art. 25 ustawy z 1997r., wskazać należy, iż zgodnie z ustępem 2 pkt 1 tego przepisu, obowiązek ten nie był stosowany w przypadku gdy zbieranie i przetwarzanie danych było przewidziane w zapisie innej ustawy, jak w przypadku przedmiotowej sprawy. W odniesieniu do żądań Skarżących z zakresu nakazania usunięcia ich danych z rejestrów skarżonych podmiotów prowadzonych niezgodnie z prawem lub bez ich zgody, skierowanie do skarżonych podmiotów wystąpienia, stwierdzenie wadliwości dokumentów wydanych przez PPIS oraz uznanie naruszenia prawa w czynnościach PPIS, wskazać należy iż wraz ze stwierdzoną celowością, adekwatnością i zgodnością z przepisami o ochronie danych osobowych przetwarzania danych osobowych Skarżących, żądania te są bezpodstawne. Dodatkowo, nie stwierdzono istnienia pobudek, które wskazywałyby na konieczność zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe. Odnosząc się do żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem w stosunku do osób winnych uchybień, wskazać należy iż bez względu na obecność lub brak stwierdzonego naruszenia, żądanie to wykracza poza kompetencje Prezesa Urzędu.
Kompleksowe czynności kontrolne w sprawie przetwarzania i zabezpieczania danych przez określonego administratora danych mogą więc zostać podjęte przez Prezesa z urzędu, po otrzymaniu informacji o niezgodnych z prawem działaniach podmiotu i po dokonaniu wstępnej oceny zasadności stawianych mu zarzutów, jednak decyzję o przeprowadzeniu tych czynności organ podejmuje samodzielnie w oparciu o uzasadnione podejrzenie naruszania przepisów RODO. W przedmiotowej sprawie skazać należy, iż kwestionowane przez Skarżących okoliczności wynikały z celowego działania PPIS, a nie z nieprawidłowości w sposobie zabezpieczania danych osobowych.
Zważyć w tym miejscu należy, iż postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r., zgodnie z którym postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy, Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6). W związku ze stwierdzeniem zgodności procesu przetwarzania z istniejącymi przepisami prawa oraz częściowej zgodności udostępnienia danych z ówcześnie obowiązującymi przepisami, uznać należy że stan zgodny z prawem zostanie przywrócony po wykonaniu przez PPIS nakazu usunięcia części danych osobowych Skarżących zgodnie z art. 18 ust. 1 pkt 6 ustawy z 1997r.
W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2017 r., poz. 1369 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.