ZSZZS.440.684.2018

Na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149) art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000) w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922) i art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h oraz lit. i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po rozpatrzeniu wniosku Pani N.K., o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 maja 2018 r. (DOLIS-440-2558/17) w sprawie jej skargi dotyczącej przetwarzania przez E. sp. z o.o. oraz Państwowego Powiatowego Inspektora Sanitarnego w R. jej danych osobowych oraz danych osobowych jej małoletniej córki A.K., Prezes Urzędu Ochrony Danych Osobowych

  1. uchyla decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 maja 2018 r. (znak: DOLiS-440-2258/17) w części dotyczącej przetwarzania przez Państwowego Powiatowego Inspektora Sanitarnego w R. danych osobowych Pani N.K. w zakresie numeru telefonu;
  2. nakazuje Państwowemu Powiatowemu Inspektorowi Sanitarnemu w R. usunięcie danych osobowych Pani N.K. w zakresie numeru telefonu;
  3. w pozostałym zakresie utrzymuje w mocy zaskarżoną decyzję.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani N.K., zwanej dalej Skarżącą, na przetwarzanie jej danych osobowych oraz danych osobowych jej małoletniej córki A.K., dotyczących niewykonania przez Skarżącą obowiązku szczepień ochronnych w stosunku do małoletniej przez E. sp. z o.o., zwany dalej Przychodnią, oraz Państwowego Powiatowego Inspektora Sanitarnego z siedzibą w R., zwanego dalej Państwowym Powiatowym Inspektorem Sanitarnym lub PPIS.

W treści skargi Skarżąca wskazała, że Przychodnia udostępniła PPIS jej dane osobowe oraz dane jej małoletniej córki bez jej wyraźnej zgody. Dodatkowo, Skarżąca wskazała, iż PPIS naruszyło przepisy o ochronie danych osobowych poprzez żądanie udostępnienia danych jej, jak i jej córki, oraz próbę telefonicznego przekazywania tych danych osobowych, o charakterze danych medycznych, bez możliwości weryfikacji tożsamości rozmówcy. W skardze Skarżąca wskazała, że oczekuje od Generalnego Inspektora wydania decyzji przedmiotowej stwierdzającej naruszenie przepisów o ochronie danych osobowych w wyżej wymienione sposoby oraz nakazującej podmiotom skarżonym usunięcia uchybień.

W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny.

  1. Skarżąca jako osoba sprawująca pieczę nad swoim małoletnim dzieckiem nie wykonała w stosunku do niego obowiązku szczepień ochronnych.
  2. Przychodnia udostępniła dane osobowe Skarżącej oraz jej małoletniej córki A.K. Państwowemu Powiatowemu Inspektorowi Sanitarnemu w R. w związku z nierealizowaniem przez Skarżąca obowiązku szczepień ochronnych w stosunku do jej małoletniej.  
  3. Do zakresu udostępnionych danych należał też numer telefonu Skarżącej, który został przez nią dobrowolnie podany Przychodni i wpisany na kartę uodpornienia, która została przekazana w całości do PPIS.
  4. W dniu […] września 2017 r. pracownik PPIS skontaktował się ze Skarżącą telefonicznie i bez weryfikacji jej tożsamości przekazał jej dane dotyczące jej małoletniej córki.
  5. PPIS w wyjaśnieniach z […] lutego 2018 r. wskazał, że przetwarza dane osobowe Skarżącej oraz jej małoletniej córki A.K. zgodnie z § 13 rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r., w sprawie obowiązkowych szczepień ochronnych (tj. Dz. U. z 2016 r. poz. 849 z późn. zm.), wskazując, iż na podstawie art. 5 pkt 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (tj. Dz. U. z 2017 r. poz. 1261), do zadań Państwowej Inspekcji Sanitarnej należy ustalenie zakresu i terminów szczepień ochronnych oraz sprawowanie nadzoru w tym zakresie.

Po przeprowadzeniu postępowania administracyjnego w sprawie Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia z dnia 23 maja 2018 r. (DOLIS-440-2558/17) mocą której, odmówił uwzględnienia wniosku w przedmiotowej sprawie.

W dniu […] czerwca 2018 r. do Urzędu Ochrony Danych Osobowych (wcześniej: Biuro Generalnego Inspektora Ochrony Danych Osobowych) wpłynął wniosek Skarżącej, o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją (data nadania wniosku w placówce pocztowej – […] czerwca 2018 r., tj. w ustawowym terminie).

We wniosku o ponowne rozpatrzenie sprawy Skarżąca wskazała na wydanie decyzji z naruszeniem przepisów prawa materialnego w szczególności art. 17 ust. 8 pkt 2 ustawy z dnia 5 grudnia 2008 o zapobieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi (Dz. U. 2008 Nr 234 poz. 1570), zwanej dalej: u.z.z, oraz przepisów ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanej dalej k.p.a., w szczególności art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. W związku z powyższym Skarżąca, na podstawie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., zwanym dalej RODO, ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), zwanej dalej ustawą z 2018 r., wniosła o nałożenie kary na podmiot, przeprowadzenie czynności kontrolnych oraz czasowe wstrzymanie przetwarzania jej danych osobowych oraz danych osobowych jej małoletniej córki A.K.

Po ponownym zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, zważył, co następuje.

W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r., zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora przed 25 maja 2018 r. pozostają skuteczne.

Konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Jednocześnie niniejszy organ podziela stanowisko wyrażone przez Naczelny Sąd Administracyjny w wyroku z dnia 25 listopada 2013 r., wydanym w sprawie o sygn. akt I OPS 6/1, w którym ww. Sąd wskazał cyt.: „W postępowaniu administracyjnym, regulowanym przepisami Kodeksu postępowania administracyjnego, zasadą jest, że organ administracji publicznej załatwia sprawę przez wydanie decyzji, która rozstrzyga sprawę co do jej istoty, według stanu prawnego i faktycznego na dzień wydania decyzji”.

Prezes Urzędu Ochrony Danych Osobowych musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem. Odnosząc powyższe do ustalonego stanu faktycznego, podkreślenia wymaga, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, mają dwie okoliczności. Po pierwsze zaznaczyć należy, że udostępnienia danych osobowych Skarżącej i jej małoletniej córki było zdarzeniem jednorazowym i dokonanym, do którego doszło w okresie obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w związku z czym do oceny zgodności z prawem tej okoliczności zastosowanie mają przepisy materialne tejże ustawy. Po drugie wskazać należy, że udostępnione dane osobowe są nadal przetwarzane przez PPIS, w związku z czym swoje zastosowanie znajdą tu przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy tj. RODO.

Odnosząc się do udostępnienia danych, ponownie wskazać należy, że każda forma przetwarzania danych osobowych tzw. „zwykłych” powinna była znaleźć oparcie w jednej z enumeratywnie wyliczonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r., przesłanek warunkujących legalność tego procesu. Natomiast przetwarzanie danych osobowych tzw. „wrażliwych”, których wyczerpujący katalog określał art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r., powinno było mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Przesłanki warunkujące legalność przetwarzania danych osobowych, były wyczerpująco wyliczone w w/w przepisach. Każda z nich miała charakter autonomiczny i niezależny. Oznacza to, że przesłanki te były równoprawne, a spełnienie co najmniej jednej z nich stanowiło o zgodnym z prawem przetwarzaniu danych osobowych. Wskazać należy, że niezależnie od zgody osoby, której dane dotyczą, przetwarzanie jej danych osobowych było dopuszczalne między innymi wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa w przypadku przetwarzania danych zwykłych (art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r.). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone było m.in. w przypadku, gdy przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzał pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r.).

Jak wskazano w skarżonej decyzji, w odniesieniu do tego zdarzenia zastosowanie mają przepisy specjalne, regulujące obowiązek szczepienny. Zgodnie z art. 5 ust. 1 pkt 1 ppkt b u.z.z. osoby przebywające na terytorium Rzeczpospolitej Polskiej są zobowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. W przypadku osoby bez pełnej zdolności do czynności prawnych, odpowiedzialność za spełnienie tego obowiązku ponosi osoba, która sprawuje prawną pieczę lub faktyczną opiekę nad osobą małoletnią lub bezradną, zgodnie z art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r. o Prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 z późń. zm.). Co więcej, art. 5 ust. 1 pkt 4 u.z.z. zobowiązuje osoby przebywające na terytorium Rzeczpospolitej Polskiej do udzielania danych osobowych i informacji między innymi organom Państwowej Inspekcji Sanitarnej, które są niezbędne do prowadzenia nadzoru epidemiologicznego nad zakażeniami i chorobami zakaźnymi, zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych oraz informacji niezbędnych do realizacji obowiązków wymienionych w art. 5 ust. 1 pkt 1-3 u.z.z.

Zgodnie z art. 17 ust. 8 u.z.z. osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień, przechowują karty uodpornienia, dokonują wpisów potwierdzających wykonanie szczepienia, sporządzają sprawozdania z przeprowadzonych szczepień ochronnych oraz sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną  opieka zdrowotna, które przekazywane są do odpowiedniego Państwowego Powiatowego Inspektora Sanitarnego. Artykuł 17 ust. 10 u.z.z. stanowi, iż wzór sprawozdania określa Rozporządzenie Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (t.j. Dz. U. z 2018 r. poz. 753), zwane dalej r.o.s.o., które wymaga umieszczenia w nim wykazu osób uchylających się od szczepień ochronnych (załącznik nr 4, dział drugi r.o.s.o.).

W przedmiotowej sprawie istotne jest rozgraniczenie zakresu danych osobowych przekazanych przez Przychodnię na rzecz PPIS. Jak wykazano, zgodnie z obowiązującym prawem, Przychodnia jest zobowiązana do przygotowania sprawozdania dotyczącego przeprowadzonych szczepień ochronnych i sporządzenia imiennego wykazu osób, które się od szczepień ochronnych uchylają, by umożliwić Państwowej Inspekcji Sanitarnej sprawowanie nadzoru nad wypełnianiem tego obowiązku oraz jego efektywną egzekucję. Wskazać bowiem należy, że przestrzeganie ustawowego obowiązku poddania się szczepieniom ochronnym przeciw chorobom zakaźnym wynikającego z art. 5 ust. 1 pkt 1 ppkt b u.z.z., jak również udzielenie informacji dotyczących jego realizacji zabezpieczone zostało przymusem administracyjnym (tak również: Wojewódzki Sąd Administracyjny w Kielcach wyroku z dnia 21 lutego 2013 r. wydanym w sprawie o sygn. akt II SA/Ke 7/13). Zgodnie bowiem z art. 3 § 1 w zw. z art. 2 §1 pkt 10 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. 2014 r. poz. 1619 ze zm.), zwanej dalej: u.p.e.a. lub ustawą o postępowaniu egzekucyjnym, egzekucję administracyjną stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu. W rozumieniu art. 1a pkt 13 u.p.e.a. wierzycielem jest podmiot uprawniony do żądania wykonania obowiązku lub jego zabezpieczenia w administracyjnym postępowaniu egzekucyjnym lub zabezpieczającym (tu: PPIS), natomiast zgodnie z art. 5 §1 pkt 2 u.p.e.a. uprawnionym do żądania wykonania w drodze egzekucji administracyjnej obowiązku określonego w art. 2 §1 pkt 10 u.p.e.a. jest organ lub instytucja bezpośrednio zainteresowana w wykonaniu przez zobowiązanego obowiązku albo powołana do czuwania nad wykonaniem obowiązku (por. również wyrok Naczelnego Sądu Administracyjnego z dnia 12 czerwca 2014 r. wydany w sprawie o sygn. akt II OSK 1312/13; wyrok Wojewódzkiego Sądu Administracyjnego w Bydgoszczy z dnia 9 czerwca 2015 r. wydany w sprawie o sygn. akt II SA/Bd 423/15). Uznać zatem należy, że sprawozdanie  sporządzane na podstawie art. 17 ust. 8 pkt 2 u.z.z. powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych czynności egzekucyjnych w przypadku niewykonania obowiązku. Podkreślić bowiem należy, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy o postępowaniu egzekucyjnym. Zgodnie z art. 27 § 1 pkt 2 i 3 u.p.e.a., tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL zobowiązanego oraz treść podlegającego egzekucji obowiązku. W materiale dowodowym PPIS wskazuje, iż dane osobowe w postaci numeru PESEL Skarżącej pozyskano na wniosek od Burmistrza […].

W związku z powyższym, stwierdzić należy że dane osobowe Skarżących w zakresie imienia, nazwiska oraz adresu zamieszkania zostały udostępnione przez Przychodnię na rzecz PPIS na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r., a dane jej małoletniej córki w zakresie informacji o niewykonanych szczepieniach na podstawie art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r., co w obu przypadkach należy ponownie uznać za adekwatne i celowe w świetle obowiązku nadzorczego pełnionego przez PPIS. Dodatkowo, pozyskanie i przetwarzanie numeru PESEL Skarżącej również było zgodne z obowiązującymi przepisami o ochronie danych osobowych. Niemniej jednak, dane osobowe w postaci numeru telefonu do Skarżącej nie są niezbędne do przekazania w sprawozdaniu, zgodnie z zakresem danych wymaganych do wydania skutecznego tytułu egzekucyjnego. Wobec tego, za zasadne należy uznać zakwestionowanie przez Skarżącą udostępnienie jej numeru telefonu przez Przychodnię na rzecz PPIS oraz przetwarzanie tego numeru przez PPIS. Tym samym uznać należy, iż dane osobowe Skarżącej w zakresie numeru telefonu zostały udostępnione niezgodnie z przepisami ustawy z 1997 r. w związku z brakiem konieczności przetwarzania tego rodzaju danych osobowych przez PPIS w celu realizacji jego zadań ustawowych. Dodatkowo, udostępnienie danych osobowych zbędnych do realizacji celu ustawowego, uznać należy za nieadekwatne i merytorycznie niepoprawne, a tym samym sprzeczne z art. 26 ust. 1. pkt 3 ustawy z 1997 r., który nakłada na administratora danych obowiązek zapewnienia merytorycznej poprawności i adekwatności danych w stosunku do celów ich przetwarzania. W tym kontekście, adekwatność definiuje się poprzez uznanie, iż „rodzajem i treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. (…) wymóg [ten] sprzeciwia się też zbieraniu zarówno wszelkich danych dla (…) celu nieistotnych, niemających znaczenia, jak i danych o "większym - niż uzasadniony z tego względu - stopniu szczegółowości" (Barta, Janusz, Fajgielski, Paweł i Markiewicz, Ryszard. Art. 26. W: Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015.). Odnosząc się do przetwarzania danych Skarżącej w zakresie numeru telefonu, podkreślić należy, że w związku z brakiem podstawy prawnej zezwalającej na udostępnienie przez Przychodnię numeru telefonu, PPIS nie powinien przetwarzać danych osobowych w zakresie numeru telefonu. Wynika to z ograniczonego katalogu danych  niezbędnych do wystawienia tytułu wykonawczego, jaki został wskazany przez ustawodawcę w art. 27 § 2 ustawy o postępowaniu egzekucyjnym. Należy wskazać, że ustawa z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz. U. z 2018 r. poz. 1314 z późn. zm.) narzuca pisemność wszczęcia postępowania egzekucji administracyjnej, w związku z art. 15 § 1, który zobowiązuje wierzyciela do pisemnego przesłania upomnienia wzywające do realizacji obowiązku prawnego z zagrożeniem skierowania sprawy na drogę postępowania egzekucyjnego. Co więcej, że art. 6 § 1b tej samej ustawy zezwala na podjęcie działań informacyjnych, w celu uzyskania dobrowolnego wykonania obowiązku, jednak mogą być one podejmowane przed czynnościami zmierzającymi do zastosowania środków egzekucyjnych, a takim środkiem jest upomnienie wysłane przez PPIS do Skarżącej, które zostało wysłane przed podjęciem próby kontaktu telefonicznego. Jak określa się w literaturze przedmiotu: „przez czynności wierzyciela zmierzające do zastosowania środków egzekucyjnych należy rozumieć zarówno upomnienie zobowiązanego oraz wystawienie tytułu wykonawczego i złożenie wniosku o wszczęcie egzekucji, jak i inne czynności wierzyciela podejmowane w toku postępowania egzekucyjnego warunkujące zastosowanie środków egzekucyjnych wobec zobowiązanego” (Przybysz, Piotr Marek. Art. 6. W: Postępowanie egzekucyjne w administracji. Komentarz, wyd. VIII. Wolters Kluwer, 2018.).Zaznaczyć należy jednak, iż podjęty kontakt telefoniczny był zdarzeniem o charakterze jednorazowym. Odnosząc się do zarzutu udostępnienia i niezabezpieczenia danych osobowych Skarżącej i jej małoletniej córki poprzez podanie ich telefonicznie rozmówcy przez PPIS bez należytej weryfikacji odbiorcy wskazać należy, iż rozmowa została przeprowadzona z osobą uprawnioną, w związku z czym nie doszło do naruszenia danych osobowych. Jednakże, zgodnie z art. 36 ust. 1 ustawy z 1997 r. administrator jest zobowiązany stosować środki techniczne i organizacyjne, które zapewniają ochronę przetwarzanych danych dostosowaną do zagrożeń oraz kategorii danych. Dane powinny być zabezpieczone między innymi przed ich udostępnieniem osobom nieupoważnionym. W przedmiotowej sprawie, zabezpieczenia te nie zostały zastosowane, w związku z brakiem weryfikacji rozmówcy przez pracownika PPIS, który wykonał telefon.

Wobec powyższego uznać należy że, Przychodnia nie miała podstawy prawnej zezwalającej na udostępnienie numeru telefonu Skarżącej na rzecz PPIS, a co więcej, zgodnie z obowiązującymi przepisami dotyczącymi egzekucji administracyjnej, dana ta była zbędna do efektywnej egzekucji obowiązku szczepiennego i nie powinna była być przez PPIS przetwarzana. W związku z powyższym, Prezes Urzędu zdecydował o nakazaniu usunięcia danych osobowych Skarżącej przez PPIS w tym zakresie.

Odnosząc się natomiast do trwającego procesu przetwarzania danych Skarżącej i jej małoletniej córki, wskazać należy iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze  (art. 6 ust. 1 lit. c RODO). Jak wskazano wyżej, na PPIS ciąży prawny obowiązek sprawowania nadzoru nad realizacją obowiązku wykonywania szczepień ochronnych, w związku z czym art. 6 ust. 1 lit. c RODO należy uznać za podstawę prawną zezwalającą na przetwarzanie danych „zwykłych” Skarżącej i jej małoletniej córki jakimi są imiona, nazwiska, i adres zamieszkania.

Co więcej, ze względu na szczególną kategorię danych (tzw. danych „wrażliwych”) jakimi są dane o stanie zdrowia dotyczące informacji o poddaniu szczepieniom ochronnym małoletniej A.K., przetwarzanych w przedmiotowej sprawie zastosowanie ma również art. 9 RODO, zgodnie z którym przetwarzanie danych wrażliwych jest dozwolone tylko jeśli spełniony jest jeden z warunków art. 9 ust. 2 RODO. Jako możliwe przesłanki zezwalającą na przetwarzanie przepis ten wymienia: przetwarzanie danych do celów profilaktyki zdrowotnej (…) na podstawie prawa Unii lub prawa państwa członkowskiego z zastrzeżeniami ust. 3 (lit. h), przetwarzanie niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i).

W przedmiotowej sprawie za podstawę prawną można uznać zarówno art. 9 ust. 2 lit h, w związku z prowadzoną profilaktyką zdrowotną, jak i art. 9 ust. 2 lit. i, w związku z interesem publicznym w dziedzinie zdrowia publicznego, jakim jest zapobieganie epidemiom chorób zakaźnych. Obie te podstawy zakładają istnienie podstawy prawnej w postaci przepisu na szczeblu Unii Europejskiej bądź przyjętym przez państwo członkowskie Unii Europejskiej. W tym przypadku, wskazać należy przepisy ustawy o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi.

Zgodnie z powyższą analizą, art. 17 ust. 8 pkt 2 u.z.z. należy uznać za przepis zezwalający również na przetwarzanie danych osobowych wrażliwych przez PPIS (tj. dotyczących informacji o poddaniu szczepieniom ochronnym małoletniej A.K.). Ponadto, ustawodawca przewidział uprawnienia do pozyskiwania informacji o osobach w celu umożliwienia efektywnego nadzoru nad realizacją obowiązku szczepień ochronnych zgodnie z art. 5 ust. 1 pkt 1 lit. b u.z.z. w zw. z art. 3 ust. 1 u.p.e.a. Powyższe oznacza, że przetwarzanie danych osobowych przez PPIS w zakresie informacji o poddaniu się szczepieniom ochronnym ma oparcie w przesłankach określonych w art. 9 ust. 2 lit. h oraz i RODO.

Odnosząc się do żądania Skarżącej w zakresie skontrolowania sposobów zabezpieczenia danych osobowych wrażliwych przez PPIS i jego zgodności z przepisami o ochronie danych osobowych wyjaśnić należy, że w sferze kompetencji Prezesa Urzędu Ochrony Danych Osobowych (jak i wcześniej w sferze kompetencji Generalnego Inspektora Ochrony Danych Osobowych) mieści się przeprowadzanie takiej kontroli, ale organ podejmuje tego rodzaju działania z urzędu, nie zaś na wniosek. Kompleksowe czynności kontrolne w sprawie przetwarzania i zabezpieczania danych przez określonego administratora danych mogą więc zostać podjęte przez Prezesa z urzędu, po otrzymaniu informacji o niezgodnych z prawem działaniach podmiotu i po dokonaniu wstępnej oceny zasadności stawianych mu zarzutów, jednak decyzję o przeprowadzeniu tych czynności organ podejmuje samodzielnie w oparciu o uzasadnione podejrzenie naruszania przepisów RODO. W przedmiotowej sprawie skazać należy, iż kwestionowane przez Skarżącą okoliczności wynikały z celowego działania PPIS, a nie z nieprawidłowości w sposobie zabezpieczania danych osobowych.

Odnosząc się do zarzutu Skarżącej dotyczącego naruszenia przepisów postępowania administracyjnego w kwestii zasady prawdy obiektywnej (art. 7 k.p.a.), postępowania dowodowego (art. 77 k.p.a.), swobodnej oceny dowód (art. 80 k.p.a.) oraz elementów składowych decyzji, a w szczególności wskazanie faktów uznanych za udowodnione oraz dowodów, którym odmówiono wiarygodności (art. 107 § 3 k.p.a.), wskazać należy iż zarzuty te są bezpodstawne. W myśl art. 7 k.p.a. organ podjął wszelkie czynności w jego zakresie kompetencji, mające na celu dokładnie wyjaśnienie stanu faktycznego. W toku prowadzonego wyjaśnienia zgromadzono wyczerpujący materiał dowodowy, który został przez organ wyczerpująco rozpatrzony (zgodnie z art. 77 k.p.a.) z uwzględnieniem całości zebranego materiału dowodowego (zgodnie z art. 80 k.p.a.). Wskazać należy, iż zgodnie z ugruntowanym orzecznictwem, wyczerpujące rozpatrzenie materiału dowodowego polega na takim ustosunkowaniu się do każdego ze zgromadzonych w sprawie dowodów z uwzględnieniem wzajemnych powiązań między nimi, aby uzyskać jednoznaczność ustaleń faktycznych i prawnych (por. wyrok WSA w Lublinie z dnia 12 lutego 2015 r. sygn. akt III SA/Lu 777/14). Strony postępowania w udzielonych wyjaśnieniach odniosły się do wszystkich faktów i zarzutów wymienionych przez Skarżącą w przedmiotowej skardze. W ocenie Prezesa materiał zebrany w sprawie jest wystarczający do ustalenia stanu faktycznego sprawy, a ponadto spójny i niebudzący wątpliwości. Co więcej, strony niniejszego postępowania miały możność wypowiedzenia się co do zgromadzonych dowodów. Do złożonych wyjaśnień złożone zostały również dowody potwierdzające dane okoliczności. Wobec czego, nieprawidłowym byłoby uznanie że organ nie dopełnił obowiązków ustanowionych w kpa. Odnosząc się natomiast do zarzutu z art. 107 § 3 k.p.a, organ nie podziela stanowiska Skarżącej. Skarżona decyzja zawierała opis stanu faktycznego, który należy traktować jako wskazanie przez organ udowodnionych faktów, jak również uzasadnienie prawne z przytoczeniem przepisów prawa mających zastosowanie w przedmiotowej sprawie.

Zważyć w tym miejscu należy, iż postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r., zgodnie z którym postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy, Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6). W związku ze stwierdzeniem zgodności procesu przetwarzania z istniejącymi przepisami prawa oraz częściowej zgodności udostępnienia danych z ówcześnie obowiązującymi przepisami, uznać należy że stan zgodny z prawem zostanie przywrócony po wykonaniu przez PPIS nakazu usunięcia części danych osobowych Skarżącej zgodnie z art. 18 ust. 1 pkt 6 ustawy z 1997r.

Odnosząc powyższe do żądania Skarżącej o podjęcie przez Prezesa Urzędu działań przewidzianych w art. 83 RODO, należy wskazać iż w świetle art. 160 ustawy z 2018 r., przepis ten nie ma zastosowania do niniejszej sprawy. Zgodnie z ustawą z 2018 r. do spraw wszczętych przed 25 maja 2018 r. przez Generalnego Inspektora Ochrony Danych Osobowych, między innymi w kwestii kompetencji, zastosowanie mają przepisy ustawy z 1997 r. Dodatkowo, art. 18 ust. 1 ustawy z 1997 r. nie nadaje Prezesowi kompetencji tożsamych z tymi, które zawarte zostały w art. 83 RODO. Wobec powyższego, wskazać należy iż żądanie to nie znajduje poparcia w przepisach stosowanych do niniejszej sprawy i nie może zostać przez Prezesa Urzędu zrealizowane.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2017 r., poz. 1369 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Jan Nowak
date 2018-12-27
Wprowadził informację:
user Mateusz Wnuk
date 2019-06-19 08:53:09
Ostatnio modyfikował:
user Izabela Pawelczyk
date 2020-03-04 10:55:39