ZSZZS.440.748.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149), art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) i art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h oraz i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M.G oraz Pana B.G. na udostępnienie ich danych osobowych oraz danych osobowych ich małoletniego syna I.G. przez N. Sp. z o.o. na rzecz Państwowego Powiatowego Inspektora Sanitarnego w G., Prezes Urzędu Ochrony Danych Osobowych
- nakazuje Państwowemu Powiatowemu Inspektorowi Sanitarnemu w G. usunięcie danych osobowych Pani M.G. w zakresie jej numeru telefonu;
- w pozostałym zakresie odmawia uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani M.G. oraz Pana B.G. na udostępnienie ich danych osobowych oraz danych osobowych I.G., zwanych dalej Skarżącymi, przez N. Sp. z o.o., zwane dalej Przychodnią, na rzecz Państwowego Powiatowego Inspektora Sanitarnego w G., zwanego dalej PPIS.
W treści skargi Skarżący wskazali, że Przychodnia udostępniła PPIS ich dane osobowe bez ich zgody. W przedmiotowym piśmie Skarżący wskazali, że oczekują od Generalnego Inspektora wydania decyzji w przedmiotowej sprawie przywracającej stan sprzed udostępnienia danych poprzez: przeprowadzenie kontroli w Przychodni, nakazanie zaprzestania udostępniania danych przez Przychodnię bez ich zgody, usunięcia przez Przychodnię danych z raportu dotyczącego wykonywania obowiązku szczepiennego, usunięcia danych z wszelkich zasobów PPIS oraz ukarania osób odpowiedzialnych za naruszenie.
W toku postępowania administracyjnego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Skarżący, jako osoby sprawujące pieczę nad swoim małoletnim synem nie wykonali w stosunku do niego obowiązku szczepień ochronnych.
- Fakt niewypełnienia obowiązku szczepień ochronnych w stosunku do małoletniego został odnotowany przez przedstawiciela PPIS prowadzącego kontrolę w Przychodni w zakresie wykonawstwa szczepień ochronnych w rocznikach 2013-2008. Kontrole, zgodnie ze złożonymi wyjaśnieniami, odbyły się w dniach: […].02.2014 r., […].12.2014 r., […].12.2016 r. oraz […].07.2017 r.
- W czasie kontroli PPIS pozyskał dane osobowe małoletniego I.G. w zakresie danych zawartych w karcie uodpornienia, tj. imię, nazwisko, adres zamieszkania, data urodzenia małoletniego, imię, nazwisko oraz numer telefonu Skarżącej.
- W związku z nierealizowaniem przez Skarżących obowiązku szczepień ochronnych w stosunku do ich małoletniej córki, PPIS utrwalił dane osobowe zawarte w karcie uodpornienia małoletniego I.G. poprzez sporządzenie ich fotokopii w celu wyegzekwowania od Skarżących wykonania w stosunku do małoletniego obowiązku szczepień ochronnych.
- W celu wyegzekwowania realizacji obowiązku szczepiennego, PPIS pozyskał od Prezydenta Miasta […] dane osobowe Skarżących w zakresie: imion, nazwisk, adresu zameldowania, dat urodzenia, numerów PESEL oraz dane osobowe małoletniego w zakresie numeru PESEL oraz adresu zameldowania.
- Przychodnia, w związku z ciążącym na niej obowiązku sprawozdawczym w zakresie przeprowadzonych szczepień ochronnych, udostępniła dane małoletniego (w zakresie imienia, nazwiska, daty urodzenia, numeru PESEL) na rzecz PPIS w sprawozdaniach z dnia: [..].04.2015 r., […].07.2014 r., […].10.2014 r., […].01.2015 r., […].04.2015 r., […].07.2015 r., [...].10.2015 r., […].01.2016 r., […].04.2016 r., […].07.2016 r., […].10.2016 r., […].10.2016 r., […].01.2017 r., […].04.2017 r., […].07.2017 r., […].10.2017 r. oraz […].01.2018 r.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), zwanej dalej: ustawą z 2018 r., tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r., zgodnie z zasadami określonymi w ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149), zwanej dalej: k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora przed 25 maja 2018 r. pozostają skuteczne.
Konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Jednocześnie niniejszy organ podziela stanowisko wyrażone przez Naczelny Sąd Administracyjny w wyroku z dnia 25 listopada 2013 r., wydanym w sprawie o sygn. akt I OPS 6/1, w którym ww. Sąd wskazał cyt.: „W postępowaniu administracyjnym, regulowanym przepisami Kodeksu postępowania administracyjnego, zasadą jest, że organ administracji publicznej załatwia sprawę przez wydanie decyzji, która rozstrzyga sprawę co do jej istoty, według stanu prawnego i faktycznego na dzień wydania decyzji”.
Prezes Urzędu Ochrony Danych Osobowych musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem. Podkreślenia wymaga, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, mają dwie okoliczności. Po pierwsze zaznaczyć należy, że pozyskanie danych przez PPIS w czasie przeprowadzonej kontroli należy uznać za udostępnienie danych osobowych przez Przychodnię na rzecz PPIS. Dodatkowo wskazać należy, iż udostępnienie to było zdarzeniem jednorazowym i dokonanym, do którego doszło w okresie obowiązywania ustawy z 1997 r., w związku z czym do oceny zgodności z prawem tej sytuacji zastosowanie mają przepisy tej ustawy. Po drugie wskazać należy, że udostępnione dane osobowe są nadal przetwarzane przez PPIS, w związku z czym zastosowanie do tego procesu mają przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwane dalej: RODO.
Odnosząc się do udostępnienia danych przez Przychodnię na rzecz PPIS wskazać należy, że każda forma przetwarzania danych osobowych tzw. „zwykłych” powinna była znaleźć oparcie w jednej z enumeratywnie wyliczonych w art. 23 ust. 1 ustawy z 1997 r., przesłanek warunkujących legalność tego procesu. Natomiast przetwarzanie danych osobowych tzw. „wrażliwych”, których wyczerpujący katalog określał art. 27 ust. 1 ustawy z 1997 r., powinno było mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2 ustawy z 1997 r. Przesłanki warunkujące legalność przetwarzania danych osobowych, są wyczerpująco wyliczone w wyżej wymienionych przepisach. Każda z nich miała charakter autonomiczny i niezależny. Oznacza to, że przesłanki te były równoprawne, a spełnienie co najmniej jednej z nich stanowiło o zgodnym z prawem przetwarzaniu danych osobowych. Wskazać należy, że niezależnie od zgody osoby, której dane dotyczą, przetwarzanie jej danych osobowych było dopuszczalne między innymi wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa w przypadku przetwarzania danych zwykłych (art. 23 ust. 1 pkt 2 ustawy z 1997 r.). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone było m.in. w przypadku, gdy przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzał pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy z 1997 r.).
Zgodnie z art. 5 ust. 1 pkt 1 ppkt b ustawy z dnia 5 grudnia 2008 o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi (Dz. U. 2008 Nr 234 poz. 1570), zwanej dalej: u.z.z. osoby przebywające na terytorium Rzeczpospolitej Polskiej są zobowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. W przypadku osoby bez pełnej zdolności do czynności prawnych, odpowiedzialność za spełnienie tego obowiązku ponosi osoba, która sprawuje prawną pieczę lub faktyczną opiekę nad osobą małoletnią lub bezradną, zgodnie z art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r. o Prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 z późń. zm.). Jednakże, należy wziąć pod uwagę, iż Państwowa Inspekcja Sanitarna może pozyskać dane osobowe osób uchylających się od wykonania szczepień ochronnych w dwojaki sposób: poprzez udostępnienie ich przez Przychodnię w kwartalnym sprawozdaniu ze stanu zaszczepienia osób objętych profilaktyką lub poprzez przeprowadzenie czynności kontrolnych w podmiocie przeprowadzającym szczepienia ochronne.
Odnosząc się do przekazywania danych osobowych przez Przychodnię do PPIS w formie kwartalnych sprawozdań, wskazać należy iż zgodnie z art. 17 ust. 8 u.z.z., osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień, przechowują karty uodpornienia, dokonują wpisów potwierdzających wykonanie szczepienia, sporządzają sprawozdania z przeprowadzonych szczepień ochronnych oraz sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieka zdrowotna, które przekazywane są do odpowiedniego Państwowego Powiatowego Inspektora Sanitarnego. Artykuł 17 ust. 10 u.z.z. wskazuje, iż wzór sprawozdania określa Rozporządzenie Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (t.j. Dz. U. z 2018 r. poz. 753), zwane dalej: r.o.s.o., które wymaga umieszczenia w nim wykazu osób uchylających się od szczepień ochronnych (załącznik nr 4, dział drugi r.o.s.o.). Podkreślenia wymaga, że wyżej wymienione rozporządzenie dotyczy kwestii technicznych i organizacyjnych pozwalających usystematyzować obieg opisanych w nim dokumentów. Natomiast w odniesieniu do pozyskania danych w trakcie kontroli, wskazać należy iż zgodnie z art. 1, art. 2 oraz art. 5 ust. 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2017 r. poz. 1261 z późn. zm.), zwana dalej ustawą o PIS, do kompetencji Państwowej Inspekcji Sanitarnej należy prowadzenie nadzoru sanitarnego, w szczególności nad terminowym wykonywaniem obowiązku szczepień ochronnych. Dodatkowo, zgodnie z art. 25 ust. 1 ustawy o PIS, Państwowa Inspekcja Sanitarna uprawniona jest do prowadzenia kontroli, w czasie której, zgodnie z art. 25 ust. 1 pkt 3 ustawy o PIS, ma prawo żądać okazania dokumentów i udostępnienia wszelkich danych.
Jak wskazano w wyjaśnieniach, PPIS pozyskał dane osobowe dotyczące małoletniego I.G. i wypełnienia w stosunku do niego obowiązku szczepień ochronnych zarówno w trakcie kontroli przeprowadzanych w Przychodni, jak również poprzez kwartalne sprawozdania przekazywane przez Przychodnię na rzecz PPIS. Wobec powyższego, na podstawie art. 23 ust. 1 pkt 2 oraz art. 27 ust. 2 pkt 2 ustawy 1997 r. w zw. z art. 25 ust. 1 ustawy o PIS, art. 5 ust. 1 pkt 1-3 oraz art. 17 ust. 8 pkt 2 u.z.z. pozyskanie danych w zakresie imienia, nazwiska, adresu zamieszkania oraz daty urodzenia małoletniego, jak również w zakresie imienia i nazwiska matki małoletniego, Pani M.G., należy uznać za zasadne i zgodne z obowiązującymi przepisami.
Jednocześnie, należy również wskazać, że w zakresie danych osobowych pozyskanych przez PPIS w czasie kontroli był również numer telefonu do Pani M.G.. Koniecznym jest by podnieść, że przestrzeganie ustawowego obowiązku poddania się szczepieniom ochronnym przeciw chorobom zakaźnym wynikającego z art. 5 ust. 1 pkt 1 ppkt b u.z.z., zabezpieczone zostało przymusem administracyjnym (tak również: Wojewódzki Sąd Administracyjny w Kielcach wyroku z dnia 21 lutego 2013 r. wydanym w sprawie o sygn. akt II SA/Ke 7/13). Zgodnie z art. 3 § 1 w zw. z art. 2 §1 pkt 10 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. 2014 r. poz. 1619 ze zm.), zwanej dalej: u.p.e.a. lub ustawą o postępowaniu egzekucyjnym, egzekucję administracyjną stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu. W rozumieniu art. 1a pkt 13 u.p.e.a. wierzycielem jest podmiot uprawniony do żądania wykonania obowiązku lub jego zabezpieczenia w administracyjnym postępowaniu egzekucyjnym lub zabezpieczającym (tu: PPIS), natomiast zgodnie z art. 5 §1 pkt 2 u.p.e.a. uprawnionym do żądania wykonania w drodze egzekucji administracyjnej obowiązku określonego w art. 2 §1 pkt 10 u.p.e.a. jest organ lub instytucja bezpośrednio zainteresowana w wykonaniu przez zobowiązanego obowiązku albo powołana do czuwania nad wykonaniem obowiązku (por. również wyrok Naczelnego Sądu Administracyjnego z dnia 12 czerwca 2014 r. wydany w sprawie o sygn. akt II OSK 1312/13; wyrok Wojewódzkiego Sądu Administracyjnego w Bydgoszczy z dnia 9 czerwca 2015 r. wydany w sprawie o sygn. akt II SA/Bd 423/15). Uznać zatem należy, że zakres danych pozyskany przez PPIS w celu egzekucji obowiązku szczepień ochronnych powinien zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych czynności egzekucyjnych w przypadku niewykonania obowiązku. Podkreślić bowiem należy, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy o postępowaniu egzekucyjnym. Zgodnie z art. 27 § 1 pkt 2 i 3 u.p.e.a., tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL zobowiązanego oraz treść podlegającego egzekucji obowiązku. Wobec powyższego, numer telefonu do Skarżącej należy uznać za daną zbędną do efektywnej egzekucji administracyjnej obowiązku szczepień ochronnych i w związku z tym, nie powinna była być przez PPIS przetwarzana. Z uwagi na to, Prezes Urzędu zdecydował o usunięciu przez PPIS danych osobowych Skarżącej w tym zakresie, natomiast w zakresie pozostałych danych odmówił nakazania PPIS ich usunięcia.
Zgodnie z powyższą analizą, należy rozgraniczyć sposoby pozyskania danych osobowych Skarżących przez PPIS. W przedmiotowej sprawie Przychodnia dokonała udostępnienia w związku z ciążącym na niej obowiązkiem sprawozdawczości oraz w związku z działaniami podjętymi z urzędu przez PPIS. W odniesieniu do udostępnienia za pomocą sprawozdań, wskazać należy, iż art. 17 ust. 8 pkt 2 u.z.z. należy uznać za przepis zezwalający na pozyskanie danych osobowych wrażliwych przez PPIS (tj. dotyczących informacji o poddaniu szczepieniom ochronnym małoletniego I.G.). Ponadto, w odniesieniu do działań podjętych przez PPIS z urzędu, wskazać należy, iż zgodnie z zapisem art. 25 ust. 1 pkt 3 ustawy o PIS, który pozwala PIS na żądanie okazania i udostępnienia wszelkich danych, wynika uprawnienie do przetwarzania tych danych. W obu przypadkach zastosowanie mają również przepisy przyznające PPIS kompetencje do pozyskiwania i przetwarzania danych osobowych osób objętych obowiązkiem szczepień ochronnych. Ustawodawca przewidział te uprawnienia dla PPIS w celu umożliwienia efektywnego nadzoru nad realizacją obowiązku szczepień ochronnych zgodnie z art. 5 ust. 1 pkt 1 lit. b u.z.z. w zw. z art. 3 § 1 u.p.e.a. Udostępnienie danych osobowych Skarżących przez Przychodnię na rzecz PPIS miało oparcie dla danych zwykłych w art. 23 ust. 1 pkt 2, a dla danych wrażliwych w art. 27 ust. 2 pkt 2 ustawy z 1997 r. Ponadto, PPIS zgodnie z art. 1, art. 2 oraz art. 5 ust. 3 oraz art. 25 ust. 1 ustawy o PIS jest uprawniony do przeprowadzania kontroli oraz do pozyskania danych osobowych poprzez zażądanie udostępnienie wszelkich danych oraz dokumentów od podmiotu kontrolowanego.
Odnosząc się do pozyskania danych osobowych Skarżących i ich małoletniego syna od Prezydenta Miasta […], wskazać należy, iż zgodnie z art. 46 ust. 1 pkt 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382), zwanej dalej ustawą o ewidencji ludności, dane z rejestru PESEL oraz rejestru mieszkańców w zakresie niezbędnym do realizacji ich ustawowych zadań udostępnia się organom administracji publicznej. Jak wskazano wyżej, do ustawowych zadań Państwowej Inspekcji Sanitarnej należy nadzór nad wykonywaniem szczepień ochronnych, wobec czego wniosek złożony do Prezydenta Miasta […] był zasadny. Co więcej, biorąc pod uwagę opisany powyżej zakres danych niezbędnych do przeprowadzenia efektywnej egzekucji administracyjnej obowiązku szczepiennego (tj. danych niezbędnych do wystawienia tytułu wykonawczego), pozyskanie przez PPIS od Prezydenta Miasta […] danych osobowych Skarżących w zakresie: imion, nazwisk, adresu, dat urodzenia, numerów PESEL oraz dane osobowe małoletniego w zakresie numeru PESEL i adresu należy uznać za zgodne z art. 23 ust. 1 pkt 2 oraz art.. 27 ust. 2 pkt 2 ustawy z 1997 r. Należy również wskazać, iż dane te były pozyskane i przetwarzane w określonym celu – wyegzekwowanie przeprowadzenia szczepień kontrolnych, a ich zakres był niezbędny do efektywnej realizacji tego celu poprzez wystawienie tytułu wykonawczego.
Odnosząc się natomiast do trwającego procesu przetwarzania danych Skarżących przez PPIS, wskazać należy, iż RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Zgodnie z artykułem 5 ust. 3 ustawy o PIS, do kompetencji PPIS należy ustalanie zakresu i terminów obowiązkowych szczepień ochronnych oraz sprawowanie nadzoru w zakresie wykonywalności obowiązku wykonania szczepień ochronnych. Co więcej, ze względu na szczególną kategorię danych (tzw. danych „wrażliwych”) przetwarzanych w przedmiotowej sprawie rozważyć należy również art. 9 RODO który enumeratywnie określa sytuacje w których takie dane mogą być przetwarzane. Zgodnie z art. 9 RODO przetwarzanie danych wrażliwych jest dozwolone tylko jeśli spełniony jest jeden z warunków art. 9 ust. 2 RODO. Jako możliwe przesłanki zezwalającą na przetwarzanie przepis ten wymienia między innymi przetwarzanie danych do celów profilaktyki zdrowotnej (…) na podstawie prawa Unii lub prawa państwa członkowskiego z zastrzeżeniami ust. 3 (lit. h) oraz przetwarzanie niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i). W przedmiotowej sprawie za podstawę prawną należy uznać zarówno art. 9 ust. 2 lit h, w związku z profilaktycznym stosowaniem szczepionek, jak i art. 9 ust. 2 lit. i w związku z interesem publicznym w dziedzinie zdrowia publicznego, jakim jest zapobieganie epidemiom chorób zakaźnych. Obie te podstawy zakładają istnienie podstawy prawnej w postaci przepisu na szczeblu Unii Europejskiej bądź przyjętym przez państwo członkowskie Unii Europejskiej. W Rzeczpospolitej Polskiej takie przepisy zawarte są w ustawie o zabieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.
Powyższe oznacza, że przetwarzanie danych osobowych przez PPIS w zakresie informacji o poddaniu się szczepieniom ochronnym ma oparcie w przesłankach określonych w art. 9 ust. 2 lit. h oraz i RODO, natomiast w zakresie pozostałych danych osobowych dotyczących Skarżącej i jej syna – w art. 6 ust. 1 lit. c RODO.
Zauważyć w tym miejscu należy, iż postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy, Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6).
Odnosząc się do żądania Skarżących w zakresie przeprowadzenia kontroli w Przychodni wyjaśnić należy, że w sferze kompetencji Prezesa Urzędu Ochrony Danych Osobowych (jak i wcześniej w sferze kompetencji Generalnego Inspektora Ochrony Danych Osobowych) mieści się przeprowadzanie takiej kontroli, ale organ podejmuje tego rodzaju działania z urzędu, nie zaś na wniosek. Kompleksowe czynności kontrolne w sprawie przetwarzania i zabezpieczania danych przez określonego administratora danych mogą więc zostać podjęte przez Prezesa z urzędu, po otrzymaniu informacji o niezgodnych z prawem działaniach podmiotu i po dokonaniu wstępnej oceny zasadności stawianych mu zarzutów, jednak decyzję o przeprowadzeniu tych czynności organ podejmuje samodzielnie w oparciu o uzasadnione podejrzenie naruszania przepisów RODO.
W tym stanie faktycznym oraz prawnym Prezes Urzędu Ochrony Danych Osobowych orzekł, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.