II SA/Wa 17/22
WyrokWSA w Warszawie2022-05-27
Skład orzekający: Tomasz Szmydt, Andrzej Góraj, Joanna Kruszewska-Grońska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy działanie uczestniczki postępowania polegające na logowaniu się na profil skarżącego na Platformie Usług Elektronicznych ZUS i przeglądaniu jego danych osobowych bez podstawy prawnej stanowi nieuprawnione przetwarzanie danych osobowych w rozumieniu RODO?Ratio decidendi
Sąd stwierdził, że kilkukrotne logowanie się na profilu skarżącego na PUE ZUS i przeglądanie jego danych osobowych bez podstawy prawnej stanowi przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO oraz naruszenie zakazu przetwarzania szczególnych kategorii danych osobowych określonego w art. 9 ust. 1 i 2 RODO. Organ administracji nie wyjaśnił prawidłowo stanu faktycznego i nie uzasadnił decyzji, co miało istotny wpływ na wynik sprawy, wobec czego sąd uchylił zaskarżony punkt decyzji i przekazał sprawę do ponownego rozpoznania.Stan faktyczny
Skarżący, lekarz i doktor habilitowany, zarzucił uczestniczce postępowania, również lekarzowi, że w okresie od marca do kwietnia 2019 r. bezprawnie logowała się na jego profil na Platformie Usług Elektronicznych ZUS, posługując się jego numerem PESEL, i przeglądała jego dane osobowe dotyczące zdrowia. Organ wydał decyzję, w której udzielił uczestniczce upomnienia za naruszenie przepisów RODO, ale odmówił uwzględnienia wniosku skarżącego w pozostałym zakresie. Skarżący zaskarżył tę decyzję do WSA w Warszawie.Rozstrzygnięcie
Uchylił punkt 2 zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych i zasądził od organu na rzecz skarżącego kwotę 697 zł tytułem zwrotu kosztów postępowania.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Andrzej Góraj, Sędzia WSA Joanna Kruszewska-Grońska (spr.), Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 27 maja 2022 r. sprawy ze skargi M. S. na pkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 2 zaskarżonej decyzji; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego M. S. kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania
Pismem z [...] marca 2021 r. M. S. (dalej: "skarżący") wniósł do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ") skargę (wniosek) na nieprawidłowości w procesie przetwarzania przez M. S. (dalej: "uczestniczka postępowania") jego danych osobowych, w tym danych dotyczących zdrowia, polegające na tym, że posiadając jako lekarz dostęp do Platformy Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (dalej: "PUE ZUS", "Platforma ZUS"), w okresie od [...] marca 2019 r. do [...] kwietnia 2019 r. kilkukrotnie logowała się na PUE ZUS, posługując się jego numerem ewidencyjnym PESEL, w posiadanie którego weszła bez wiedzy i zgody skarżącego, a także sprawdzała jego profil na Platformie ZUS. W ten sposób uczestniczka postępowania bezprawnie przetwarzała m.in. dane osobowe skarżącego w zakresie zdrowia, leczenia i otrzymywanych świadczeń, przez co dopuściła się występku z art. 107 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781; dalej: "u.o.d.o."). Skarżący domagał się stwierdzenia, iż uczestniczka postępowania dokonywała bezprawnego przetwarzania jego danych osobowych. Ponadto zażądał nakazania uczestniczce postępowania usunięcia wszelkich jego danych osobowych ze wszystkich baz danych administrowanych przez nią oraz zobowiązania do powstrzymywania się od takich bezprawnych działań w przyszłości.
W uzasadnieniu ww. skargi (wniosku) skarżący podał, że uczestniczka postępowania jest lekarzem ginekologiem; posiada stopień naukowy doktora habilitowanego oraz prowadzi praktykę lekarską (gabinet ginekologiczny). W dniach [...] i [...] marca 2019 r., jak również dwukrotnie w dniach [...] i [...] kwietnia 2019 r., uczestniczka postępowania, używając danych osobowych skarżącego, do czego nie była upoważniona, logowała się na PUE ZUS i dokonywała sprawdzeń zawartych tam danych. Skarżący, który również jest doktorem habilitowanym nauk medycznych, a także prowadzi gabinet ginekologiczny, zapewnił, iż nie utrzymuje z uczestniczką postępowania żadnych stosunków uprawniających do uzyskiwania informacji o jego stanie zdrowia; w szczególności uczestniczka postępowania nie jest jego lekarzem, co mogłoby implikować konieczność logowania na Platformę ZUS w celu wystawienia zaświadczenia lekarskiego.
W toku postępowania zainicjowanego powyższą skargą (wnioskiem), organ pozyskał stanowisko uczestniczki, która w piśmie z [...] czerwca 2021 r. oświadczyła, że nie przetwarzała danych osobowych skarżącego (nie zbierała, nie utrwalała, nie przechowywała, nie opracowywała jego danych, jak też ich nie zmieniała, nie udostępniała i nie usuwała). Uzyskany za pośrednictwem Platformy ZUS dostęp do danych w nim zawartych miał jedynie charakter szkoleniowy, w ramach zapoznawania się z systemem PUE ZUS, a więc nie miał na celu żadnego przetwarzania i udostępniania danych osobowych.
Skarżący (reprezentowany przez adwokata P. H.) w piśmie z [...] lipca 2021 r. uznał twierdzenia uczestniczki postępowania o nauce systemu za niedorzeczne, gdyż proceder logowania na jego profil na Platformie ZUS trwał miesiąc.
Decyzją z [...] października 2021 r. nr [...], mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.; dalej: "k.p.a."), art. 7 ust. 1 i 2 u.o.d.o. oraz art. 9 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z 4 maja 2016 r.; dalej: "RODO"), w punkcie pierwszym udzielił upomnienia uczestniczce postępowania za naruszenie art. 9 RODO, polegające na pozyskaniu za pośrednictwem PUE ZUS danych dotyczących zdrowia skarżącego bez podstawy prawnej, a w punkcie drugim odmówił uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu decyzji organ przedstawił następujący stan faktyczny, jaki ustalił w niniejszej sprawie: [...] marca 2019 r. oraz [...] kwietnia 2019 r. uczestniczka postępowania - lekarz korzystała z danych osobowych skarżącego, zamieszczonych na PUE ZUS, przy czym to korzystanie nie zostało zakończone wystawieniem zaświadczenia lekarskiego lub jego anulowaniem (to ustalenie PUODO poczynił w oparciu o skargę/wniosek skarżącego z [...] marca 2021 r.). Uczestniczka postępowania wskazała, że kilkukrotnie uzyskała dostęp do zawartych na Platformie ZUS danych osobowych skarżącego wyłącznie w celach szkoleniowych polegających na zapoznawaniu się z systemem PUE ZUS. Obecnie nie jest ona w posiadaniu danych osobowych skarżącego, a także ich nie przetwarza (tę okoliczność organ ustalił na podstawie pisma uczestniczki postępowania z [...] czerwca 2021 r.).
PUODO podkreślił, iż przetwarzanie szczególnej kategorii danych osobowych, o których mowa w art. 9 ust. 2 RODO, w tym informacji o stanie zdrowia, powinno znaleźć oparcie w jednej z enumeratywnie wymienionych w tym przepisie przesłanek przetwarzania danych. Przetwarzanie ww. kategorii danych jest legalne m.in. wtedy, gdy jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3. Według organu, w przedmiotowej sprawie nie została spełniona żadna z przesłanek określonych w art. 9 ust. 2 RODO odnośnie pozyskania przez uczestniczkę postępowania danych dotyczących zdrowia skarżącego.
Z zebranego materiału dowodowego wynika, że uczestniczka postępowania kilkukrotnie uzyskała dostęp do danych osobowych skarżącego dla nieuzasadnionych celów prywatnych. Organ stwierdził, iż brak jest przepisów, które legalizowałyby takie wykorzystywanie danych, tj. w celu uzyskania przez uczestniczkę postępowania nieuzasadnionego względami medycznymi dostępu do danych osobowych skarżącego, znajdujących się na PUE ZUS. Dane osobowe, udostępniane wystawiającym zaświadczenie lekarskie na PUE ZUS, obejmują dane dotyczące zdrowia pacjentów, a zatem dane, które na mocy przepisów RODO podlegają szczególnej ochronie. Za naruszenie art. 9 RODO poprzez uzyskanie dostępu do zawartych na Platformie ZUS danych osobowych skarżącego bez podstawy prawnej PUODO udzielił uczestniczce postępowania upomnienia.
Powyższa decyzja w zakresie punktu drugiego stała się przedmiotem skargi skarżącego (nadal reprezentowanego przez ww. profesjonalnego pełnomocnika) do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której zarzucono naruszenie:
1. przepisów postępowania, mające wpływ na wynik sprawy, a mianowicie art. 6, art. 7, art. 77 oraz art 80 k.p.a. poprzez brak wszechstronnego i wnikliwego rozważenia materiału dowodowego sprawy oraz brak poczynienia istotnych w sprawie ustaleń, w szczególności dotyczących zakresu stwierdzonego naruszenia, jego ciężaru, okoliczności, a w konsekwencji uznanie, że uczestniczka postępowania mogła pozyskać dane skarżącego dla celów szkoleniowych, nie dokonując ich przetwarzania;
2. art. 9 ust. 1 i ust. 2 lit. h oraz ust. 3 RODO poprzez uznanie, iż działanie uczestniczki postępowania polegające na inwigilowaniu kolegi zawodowego w postaci logowania się na PUE ZUS, pobieranie i przeglądanie zawartości nie stanowiło bezprawnego przetwarzania danych osobowych skarżącego, mimo że przedmiotowe przetwarzanie nie służyło, a tym bardziej nie było niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO;
3. art. 4 pkt 2 RODO poprzez uznanie, że bezprawne działania uczestniczki postępowania nie stanowią przetwarzania danych, pomimo że zgodnie z definicją legalną pojęcie to oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, pobieranie, przeglądanie lub innego rodzaju udostępnianie, co bezsprzecznie miało miejsce w tej sprawie;
4. art. 58 ust. 2 lit. i w związku z art. 83 RODO poprzez ich niezastosowanie i niewymierzenie uczestniczce postępowania administracyjnej kary pieniężnej, stosownej do stwierdzonego naruszenia.
W oparciu o tak sformułowane zarzuty skarżący wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie punktu drugiego oraz przekazanie w tym zakresie sprawy organowi do ponownego rozpoznania.
W uzasadnieniu skargi skarżący zaznaczył, że jako mężczyzna nie mógł leczyć się w gabinecie ginekologicznym prowadzonym przez uczestniczkę postępowania; nigdy nie upoważnił jej do zasięgania informacji o jego stanie zdrowia ani nie przekazał jej jakichkolwiek danych, w tym numeru PESEL. Jednocześnie skarżący nadmienił, iż posiada stopień naukowy doktora habilitowanego w reprezentowanej przez uczestniczkę specjalności, zaś oboje są pracownikami naukowymi tego samego uniwersytetu. Nadto system informatyczny, którego dotyczy niniejsze postępowanie, został wdrożony na rok przed korzystaniem z niego przez uczestniczkę postępowania, co - zdaniem skarżącego - potwierdza nieautentyczność jej wyjaśnień.
Skarżący zgodził się z organem, że uczestniczka postępowania pozyskała bez podstawy prawnej jego dane wrażliwe, jednak dostrzegł, iż PUODO "zdaje się kwestionować fakt przetwarzania wbrew obowiązującym przepisom owych danych, co wydaje się nielogiczne i wewnętrznie sprzeczne". Tymczasem okoliczność przetwarzania przez uczestniczkę danych osobowych skarżącego jawi się jako oczywista, zwłaszcza, jeśli zważy się, iż przetwarzanie to "pobieranie, przeglądanie, wykorzystywanie", czego organ nie kwestionuje.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji. W ocenie organu, zarzut dotyczący naruszenia przez niego art. 9 ust. 1 i ust. 2 lit. h oraz ust. 3 RODO jest niezrozumiały, ponieważ ustalił, że w niniejszej sprawie nie została spełniona żadna z przesłanek wymienionych w art. 9 ust. 2 oraz ust. 3 RODO, która stanowiłaby uzasadnienie w zakresie pozyskania, za pośrednictwem PUE ZUS, danych dotyczących zdrowia skarżącego przez uczestniczkę postępowania. PUODO podkreślił, iż w oparciu o art. 58 ust. 2 lit. b RODO udzielił upomnienia uczestniczce postępowania za naruszenie art. 9 RODO, polegające na pozyskaniu, za pośrednictwem systemu teleinformatycznego Platformy ZUS, danych dotyczących zdrowia skarżącego bez podstawy prawnej.
Odnosząc się do zarzutu naruszenia art. 4 pkt 2 RODO poprzez uznanie, że bezprawne działania uczestniczki postępowania nie stanowią przetwarzania danych wbrew definicji legalnej tego pojęcia, PUODO stwierdził, iż czynności polegające na pozyskaniu przez uczestniczkę z PUE ZUS danych dotyczących zdrowia skarżącego stanowiły, zgodnie z art. 4 pkt 2 RODO, przetwarzanie jego danych osobowych, "na co organ zwrócił uwagę oraz co zakwestionował w zaskarżonej decyzji". Przedstawione przez PUODO w treści zaskarżonej decyzji stanowisko dotyczyło braku podstaw prawnych, które legalizowałyby uzyskiwanie przez lekarzy dostępu do danych osobowych zawartych w systemie PUE ZUS w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. W wyniku analizy zebranego materiału dowodowego ustalono, że uczestniczka postępowania pozyskała dane dotyczące zdrowia skarżącego w celach prywatnych, co według organu, stanowiło wskazane w punkcie pierwszym decyzji naruszenie przepisów RODO polegające na przetwarzaniu danych osobowych skarżącego bez podstawy prawnej.
PUODO zaakcentował również, iż przysługujące mu na mocy art. 58 ust. 2 lit. i RODO uprawnienie do nakładania administracyjnych kar pieniężnych należy do jego autonomicznych kompetencji, a czynności polegające na karaniu nie są podejmowane na wniosek strony skarżącej. Organ skonstatował, że zaskarżona decyzja została wydana w oparciu o wystarczający i niebudzący jego wątpliwości materiał dowodowy pozyskany w wyniku postępowania administracyjnego prowadzonego zgodnie z zasadami określonymi w k.p.a.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie, bowiem organ, wydając zaskarżoną decyzję, dopuścił się naruszenia przepisów postępowania administracyjnego, tj. art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. w stopniu mogącym mieć istotny wpływ na wynik sprawy. W konsekwencji doszło też do naruszenia przepisów prawa materialnego – art. 4 pkt 2 w związku z art. 9 ust. 2 RODO.
Stosownie do treści art. 7 k.p.a. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Przepis art. 77 § 1 k.p.a. stanowi, że organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Natomiast wedle art. 80 k.p.a., organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. W myśl art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych (uregulowane w rozdziale 7 u.o.d.o.) jest jednym z postępowań administracyjnych przed PUODO. O takim jego charakterze rozstrzyga art. 7 ust. 1 u.o.d.o., który postępowanie to kwalifikuje jako administracyjne i nakazuje w sprawach nieuregulowanych w u.o.d.o. stosowanie przepisów k.p.a. Zaznaczyć przy tym należy, iż ustawodawca w art. 7 ust. 1 u.o.d.o. nie przewidział stosowania odpowiedniego, co oznacza stosowanie przepisów ogólnej procedury administracyjnej wprost, z uwzględnieniem modyfikacji wynikających z regulacji u.o.d.o. Nadto użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma szeroki zakres i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w RODO, jak i przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie danych definiuje art. 4 pkt 2 RODO jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przepis art. 9 ust. 1 RODO zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Powyższy zakaz nie ma charakteru bezwzględnego. Wyjątek od niego przewiduje art. 9 ust. 2 RODO, który zawiera zamknięty katalog przesłanek legalizujących przetwarzanie ww. szczególnej kategorii danych osobowych. Otóż przetwarzanie takich danych jest możliwe m.in. w przypadku, gdy jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (art. 9 ust. 2 lit. h RODO). Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h, jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe (art. 9 ust. 3 RODO).
Dla stwierdzenia dopuszczalności przetwarzania szczególnych kategorii danych w oparciu o omawianą przesłankę nie wystarczy wykazanie realizacji jednego z wymienionych w tym przepisie celów; potrzeba jeszcze istnienia szczególnego przepisu prawa (unijnego bądź krajowego) albo umowy, na podstawie których przetwarzanie tego rodzaju danych jest dopuszczalne (vide P. Fajgielski Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowany w Systemie Informacji Prawnej LEX, WKP 2022, komentarz do art. 9).
W polskim systemie prawnym ujęte w art. 9 ust. 2 lit. h RODO odstępstwo od zakazu przetwarzania tzw. wrażliwych danych osobowych (w tym tych zamieszczonych na PUE ZUS) koresponduje z art. 54 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2020 r., poz. 870 ze zm.). Według tego ostatniego przepisu, Zakład Ubezpieczeń Społecznych udziela lekarzom upoważnienia do wystawiania zaświadczeń lekarskich o czasowej niezdolności do pracy z powodu choroby, pobytu w szpitalu albo innym zakładzie leczniczym podmiotu leczniczego wykonującego działalność leczniczą w rodzaju stacjonarne i całodobowe świadczenia zdrowotne albo o konieczności osobistego sprawowania opieki nad chorym członkiem rodziny po złożeniu oświadczenia, że zobowiązuje się do przestrzegania zasad orzekania o czasowej niezdolności do pracy i wykonywania obowiązków wynikających z przepisów ustawy i przepisów o ochronie danych osobowych.
Stosownie do art. 55a ust. 2 ww. ustawy, Zakład Ubezpieczeń Społecznych w celu wystawienia zaświadczenia lekarskiego udostępnia bezpłatnie wystawiającemu zaświadczenie lekarskie na jego profilu informacyjnym:
1. dane zgromadzone w prowadzonych na podstawie ustawy o systemie ubezpieczeń społecznych:
a) Centralnym Rejestrze Ubezpieczonych – pierwsze imię, nazwisko, datę urodzenia i adres zamieszkania ubezpieczonego,
b) Centralnym Rejestrze Płatników Składek – nazwę skróconą oraz NIP lub numer PESEL albo serię i numer paszportu płatnika składek, jeżeli nie ma obowiązku posługiwania się NIP i nie nadano numeru PESEL,
c) Centralnym Rejestrze Członków Rodziny Ubezpieczonych Uprawnionych do Ubezpieczenia Zdrowotnego – datę urodzenia chorego członka rodziny i stopień jego pokrewieństwa lub powinowactwa z ubezpieczonym;
2. informacje o wcześniejszych zaświadczeniach lekarskich wystawionych ubezpieczonemu, zgromadzone w rejestrze, o którym mowa w art. 55b ust. 1, oraz o zaświadczeniach, o których mowa w art. 59 ust. 8;
3. informacje, czy płatnik składek posiada profil informacyjny płatnika składek, o którym mowa w art. 58 ust. 1.
Analizując okoliczności faktyczne kontrolowanej sprawy w kontekście powołanych przepisów, Sąd uznał, że działania podjęte przez uczestniczkę postępowania stanowiły przetwarzanie danych osobowych skarżącego w rozumieniu art. 4 pkt 2 RODO. Wprawdzie w wyniku przeprowadzonego postępowania administracyjnego organ ustalił, iż uczestniczka postępowania pozyskała za pośrednictwem Platformy ZUS dane osobowe skarżącego bez podstawy prawnej, jednak – jak trafnie odnotował skarżący – PUODO nie wskazał w decyzji expressis verbis, że w ten sposób doszło do przetwarzania danych osobowych. Organ przyznał to dopiero w odpowiedzi na skargę, która nie podlega ocenie Sądu. Uzasadnienie zaskarżonej decyzji w zakresie przypisanego uczestniczce naruszenia przepisu RODO jest niejasne i lakoniczne, w szczególności nie wynika z niego jednoznacznie prawna kwalifikacja stwierdzonego "pozyskania za pośrednictwem PUE ZUS danych dotyczących zdrowia skarżącego bez podstawy prawnej".
Tut. Sąd podkreśla, iż już sam fakt przeglądania danych zawartych na Platformie ZUS stanowi ich przetwarzanie w świetle art. 4 pkt 2 RODO. Przeglądanie oznacza bowiem operacje na przechowywanych lub bieżąco pozyskiwanych (zbieranych przy użyciu metod zautomatyzowanych) danych osobowych nadających się do kontekstowego klasyfikowania i wyszukiwania we wszystkich dostępnych środowiskach (niezależnie od ich formy), umożliwiające zapoznanie się z wynikami owego procesu (możliwość utrwalenia wyników nie stanowi w tym aspekcie cechy relewantnej) - vide M. Sakowska-Baryła [red.] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018.
W niniejszej sprawie bezsprzecznie nie została spełniona żadna z przesłanek wynikających z art. 9 ust. 2 RODO. Uczestniczka postępowania na przestrzeni miesiąca logowała się na profilu skarżącego na PUE ZUS w celach prywatnych. W tym miejscu dostrzec wypada, że ustalając stan faktyczny organ podał, iż oparł się na skardze (wniosku) skarżącego z [...] marca 2021 r. Tymczasem w piśmie tym, tak jak w kolejnych pismach, skarżący konsekwentnie wskazywał następujące daty i liczbę tych logowań – jednokrotnie w dniach [...] i [...] marca 2019 r. oraz dwukrotnie w dniach [...] i [...] kwietnia 2019 r., podczas gdy PUODO przyjął, że uczestniczka postępowania korzystała z danych osobowych skarżącego [...], [...] i [...] marca 2019 r. oraz [...] kwietnia 2019 r. Organ nie wyjaśnił tych rozbieżności w motywach zaskarżonej decyzji.
Ponadto z treści zaskarżonej decyzji wynika, że PUODO zaaprobował wyjaśnienia uczestniczki postępowania, iż jej dostęp do danych skarżącego na Platformie ZUS był podyktowany celami szkoleniowymi. Organ właściwie ocenił, że wskazany przez nią cel stanowi nieuzasadniony cel prywatny, gdyż aktualnie brak jest norm prawnych legalizujących wykorzystywanie danych osobowych w celach nieuzasadnionych względami medycznymi (chodzi tu o wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego o czasowej niezdolności do pracy z powodu choroby, co w przedmiotowej sprawie nie miało miejsca). Nie sposób jednak nie zauważyć, iż wyjaśnienia uczestniczki postępowania w kwestii odbywanego szkolenia z systemu PUE ZUS nie zostały poparte żadną dokumentacją, dlatego zasadnie skarżący podważa ich wiarygodność, wskazując, iż logowania uczestniczki na profilu skarżącego miały miejsce w znanym tylko jej celu. W konsekwencji PUODO bezpodstawnie przyjął argumentację uczestniczki postępowania (aczkolwiek akurat to uchybienie nie miało wpływu na prawidłowość kwalifikacji prawnej), pomijając podnoszone przez skarżącego okoliczności, zgodnie z którymi skarżący i uczestniczka są naukowcami w tej samej specjalności medycznej i pracują na tej samej uczelni.
Tut. Sąd w pełni aprobuje stanowisko skarżącego, w myśl którego kilkukrotne logowanie na profilu PUE ZUS dla celów innych niż medyczne stanowi o nieuprawnionym przetwarzaniu danych osobowych w świetle art. 4 pkt 2 w związku z art. 9 ust. 2 RODO.
Poza ww. uchybieniami, PUODO nie przedstawił żadnego uzasadnienia dla wymierzonej uczestniczce postępowania kary upomnienia za stwierdzone naruszenie, a przede wszystkim – w aspekcie zakresu zaskarżenia rozstrzygnięcia - nie podał żadnego powodu odmowy uwzględnienia wniosku skarżącego w pozostałym zakresie, co uniemożliwia kontrolę sądowoadministracyjną tej części decyzji. Organ uczynił to dopiero na etapie odpowiedzi na skargę, wskazując, iż na dzień wydania decyzji uczestniczka postępowania nie przetwarzała już danych osobowych skarżącego. Jednakże, jak już wzmiankowano, odpowiedź na skargę nie podlega kontroli sądowej, ponieważ nie stanowi uzupełnienia zaskarżonego aktu, a tym samym nie może sanować braków uzasadnienia decyzji.
W tym miejscu podkreślenia wymaga, że właściwe uzasadnienie decyzji należy do podstawowych obowiązków organu. Uzasadnienie to powinno być zrozumiałe i nie może pozostawiać wątpliwości, dlaczego organ rozstrzygnął sprawę w taki, a nie w inny sposób. Powinny w nim znaleźć odzwierciedlenie wszystkie istotne dla sprawy okoliczności poczynione przez organ w toku postępowania administracyjnego.
Wbrew twierdzeniu PUODO, w zaskarżonej decyzji nie przedstawiono wyczerpująco stanu faktycznego sprawy, jak również zabrakło dokładnego wyjaśnienia motywów przyjętego rozwiązania, przez co naruszono art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. w stopniu mogącym mieć istotny wpływ na wynik sprawy, a także art. 4 pkt 2 w związku z art. 9 ust. 2 RODO. Ponownie rozpoznając sprawę, organ uwzględni przedstawioną wyżej ocenę prawną i wskazania Sądu.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i lit. c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.), orzekł w punkcie pierwszym sentencji wyroku o uchyleniu pkt 2 zaskarżonej decyzji.
O zwrocie kosztów postępowania w łącznej kwocie 697 zł (obejmujących wpis sądowy od skargi - 200 zł, wynagrodzenie profesjonalnego pełnomocnika skarżącego – 480 zł i opłatę skarbową od pełnomocnictwa – 17 zł) rozstrzygnięto w punkcie drugim sentencji wyroku na mocy art. 200 i art. 205 § 2 ww. ustawy.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło