Naczelny Sąd Administracyjny w składzie następującym:
Przewodniczący |
Sędzia NSA Małgorzata Masternak - Kubiak |
Sprawozdawca |
Sędzia NSA Joanna Runge Lissowska |
Sędzia del. WSA Dariusz Chaciński |
|
Protokolant |
starszy inspektor sądowy Kamil Wertyński |
po rozpoznaniu w dniu 21 kwietnia 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 stycznia 2014 r. sygn. akt II SA/Wa 1819/13 w sprawie ze skargi W.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych
oddala skargę kasacyjną
Wyrokiem z dnia 29 stycznia 2014 r., sygn. akt II SA/Wa 1819/13, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi W. P., uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2013 r., nr [...], którą utrzymano w mocy decyzję tego organu z dnia [...] lutego 2013 r., nr [...] wydaną w przedmiocie przetwarzania danych osobowych.
Wyrok powyższy zapadł w następujących okolicznościach faktycznych i prawnych:
Wnioskiem z dnia 25 czerwca 2012 r. W. P. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o:
1) spowodowanie zaprzestania przetwarzania jego danych osobowych i usunięcia wynikłych z tego skutków przez [...] Sp. z o.o.;
2) wszczęcie z urzędu postępowania wobec Spółki ze względu na masowość tego zjawiska wobec ludzi pracujących w służbie zdrowia;
3) przekazanie sprawy w razie podejrzenia naruszenia prawa karnego i/lub handlowego do rozpatrzenia przez inne właściwe organy;
4) zabezpieczenie dla celów dowodowych zgromadzonych danych osobowych oraz korespondencji z systemu informatycznego Spółki.
Decyzją z dnia [...] lutego 2013 r. Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku strony. W uzasadnieniu organ wskazał, iż z regulaminu korzystania z serwisu www.[...].pl wynika, że Spółka świadczy usługi drogą elektroniczną na rzecz użytkowników tego serwisu internetowego, polegające na umożliwieniu użytkownikom serwisu wymiany informacji, komentarzy i opinii na temat lekarzy i zakładów opieki. Jednocześnie z postanowień regulaminu Spółki wynika, że decyduje ona o zamieszczeniu na jej stronie internetowej bądź też usunięcia z niej informacji, komentarzy lub opinii użytkowników. Zatem Spółka jest administratorem danych osobowych W. P., bowiem decyduje o celach i środkach przetwarzania tych danych.
Ustawa o ochronie danych osobowych w art. 23 ust. 1 pkt 5 wymaga, aby przetwarzanie danych osobowych przez administratora nie naruszało praw i wolności, której dane dotyczą. W ocenie Inspektora w analizowanej sprawie do takiego naruszenia nie doszło, warunkiem bowiem dopuszczalności przetwarzania danych na gruncie powołanego przepisu jest to, aby przetwarzanie nie naruszało żadnego z praw, czy wolności konstytucyjnych. Zdaniem organu, z uwagi na to, iż dane osobowe skarżącego udostępniane na stronie internetowej Spółki dotyczą wyłącznie jego życia zawodowego, nie sposób uznać, iż doszło do naruszenia jego prawa do ochrony życia prywatnego, rodzinnego czy też prawa do decydowania o swoim życiu osobistym. Ponadto podkreślono, iż zawód lekarza uznawany jest za zawód zaufania publicznego, którego wykonywanie jest istotne z punktu widzenia interesu publicznego. Ze względu na specyfikę wykonywanego zawodu lekarz udzielający świadczeń zdrowotnych musi liczyć się z tym, iż jego dane osobowe w zakresie dotyczącym wykonywanego przez niego zawodu podlegają słabszej ochronie. Nie ulega bowiem wątpliwości, iż świadczona przez lekarza praca, w szczególności sposób jej wykonywania i uzyskane efekty, podlegają społecznej kontroli. Natomiast serwis internetowy, umożliwiający użytkownikom zamieszczanie opinii i komentarzy dotyczących lekarzy, jest jednym z narzędzi, za pomocą których pacjenci mogą wykonywać tę społeczną kontrolę.
Decyzją z dnia [...] lipca 2013 r., Generalny Inspektor Ochrony Danych Osobowych, po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, utrzymał w mocy swoje rozstrzygnięcie. Organ przywołał wcześniejsze rozważania i dodał, że jeżeli w ocenie skarżącego doszło do naruszenia jego dóbr osobistych, którymi zgodnie z art. 23 Kodeksu cywilnego są w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalności mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, to może on dochodzić swych roszczeń z tego tytułu w drodze powództwa cywilnego, wytoczonego przed właściwym sądem powszechnym.
W skardze na powyższą decyzję W. P. podniósł, że organ, poprzez zignorowanie i negowanie okoliczności niekorzystnych dla Spółki dokonał błędnej wykładni art. 23 ustawy o ochronie danych osobowych i podniósł, że celem działania Spółki jest zorganizowanie płatnego pośrednictwa w umawianiu konsultacji i zabiegów medycznych za pomocą portalu internetowego. W ocenie skarżącego jego dane osobowe są wykorzystywane bez jego wiedzy, zgody i umowy oraz przy sprzeciwie do ogłaszania rodzaju i miejsca konsultacji medycznych, co jest niezgodne z zasadami współżycia społecznego.
Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.
Uchylając wydane w sprawie decyzje, Wojewódzki Sąd Administracyjny w Warszawie wskazał, iż organ, jako materialną przesłankę przetwarzania danych osobowych skarżącego, wskazał art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Uznał zatem, że przetwarzanie tych danych było niezbędne dla wypełnienia prawnie usprawiedliwionego celu realizowanego przez administratora danych, a przetwarzanie tych danych nie narusza praw i wolności skarżącego.
Ponadto organ uznał, że prawnie usprawiedliwionym celem w niniejszej sprawie jest wykonywanie przez skarżącego zawodu zaufania publicznego zawodu lekarza. Rozpoznając sprawę, organ nie wziął jednak pod uwagę, że dane osobowe skarżącego (lekarza) są przetwarzane w rejestrze o charakterze stricte komercyjnym, przy czym w przypadku skarżącego nie wyraził on zgody na przetwarzanie jego danych.
Inspektor pominął także okoliczności związane z faktem, że regulowanym przez prawo rejestrem lekarzy, którzy uzyskali prawo wykonywania zawodu jest rejestr prowadzony przez właściwą okręgową radę lekarską, zgodnie z art. 8 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz.U. z 2011 r. Nr 277, poz. 1634 ze zm.).
W ocenie Sądu tylko rejestr prowadzony przez właściwą okręgową izbę lekarską pełni zarówno funkcję informacyjną, jak też ochronną i to nie tylko dla osób korzystających ze świadczeń medycznych, ale również i dla samych lekarzy. Zdaniem Sądu organ nie zbadał, czy w sprawie rzeczywiście mamy do czynienia z przesłanką legalizującą określoną w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, a w rezultacie czy dla przetwarzania danych nie jest konieczne uzyskanie zgody lekarza. Organ nie ustalił też, czy właściciel portalu zapewnia należytą ochronę danych osobowych lekarza jako administrator, już choćby w zakresie obowiązków informacyjnych wymienionych w art. 24 ust. 1 ustawy o ochronie danych osobowych. Inspektor nie wziął również pod uwagę, że jakakolwiek możliwość ingerencji lekarza w kwestii przetwarzania jego danych osobowych jest możliwa wyłącznie po jego zarejestrowaniu na portalu.
Wobec tego organ nie ustalił w istocie, czy w odniesieniu do skarżącego lekarza rzeczywiście istnieje powyższa przesłanka legalizacyjna, skoro dla zapewnienia ochrony swoich danych osobowych musi on spełnić dodatkowe i to pozaustawowe obowiązki w postaci zawarcia z administratorem (właścicielem portalu) stosownej umowy cywilnoprawnej.
Sąd podkreślił nadto, że z akt sprawy nie wynika, aby organ przeprowadził postępowanie administracyjne z poszanowaniem jego zasad, gdyż postępowanie dowodowe sprowadziło się do wystąpienia do Spółki o zajęcie stanowiska w przedmiocie wniosku skarżącego, a decyzja została wydana na podstawie odpowiedzi Spółki z dnia 14 sierpnia 2012 r. Zaniechanie przez organ podjęcia czynności procesowych zmierzających do zebrania pełnego materiału dowodowego, zwłaszcza gdy strona powołuje się na określone i ważne dla niej okoliczności, jest uchybieniem przepisom postępowania administracyjnego, skutkującym wadliwością decyzji. Brak definitywnego wyjaśnienia tych okoliczności stanowi naruszenie art. 7 i art. 77 § 1, jak również art. 80 K.p.a., co uniemożliwia rozstrzygnięcie sprawy.
Skargę kasacyjną od powyższego wyroku wniósł Generalny Inspektor Ochrony Danych Osobowych, prawidłowo reprezentowany, zarzucając Sądowi I instancji naruszenie art. 3 § 1 i art. 145 § 1 pkt 1 lit. c/ ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2012 r. poz. 270 ze zm.) w związku z art. 1 ustawy z dnia 25 lipca 2002 r. o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269 ze zm.) poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym skutkującej niezasadnym uchyleniem decyzji z dnia [...] lipca 2013 r. (znak [...]) i poprzedzającej ją decyzji z dnia [...] lutego 2013 r. (znak: [...]), wobec błędnego przyjęcia, iż organ wydając zaskarżoną decyzję nie wyjaśnił okoliczności faktycznych sprawy i nie zebrał wystarczającego materiału dowodowego, czym naruszył art. 7 i art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2013 r. poz. 267) co miało istotny wpływ na wynik sprawy, podczas gdy zebrany materiał w sprawie uprawniał organ w pełni do wydania rozstrzygnięcia zawartego w ww. decyzji z dnia [...] lutego 2013 r., utrzymanej w mocy ww. decyzją z dnia [...] lipca 2013 r. Skarżący kasacyjnie domagał się uchylenia zaskarżonego orzeczenia i przekazania sprawy Sądowi I instancji do ponownego rozpoznania.
Odpowiadając na skargę kasacyjną, W. P. wniósł o jej oddalenie, podkreślając komercyjny charakter działalności Spółki i przetwarzanie danych osobowych tysięcy lekarz dla celów tej działalności.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie zasługiwała na uwzględnienie.
Zasadnie Wojewódzki Sąd Administracyjny zwrócił uwagę na wadliwość postępowania jakie przeprowadził Generalny Inspektor Ochrony Danych Osobowych, a raczej jakiego nie przeprowadził, choć był powinien, zobligowany zasadami postępowania administracyjnego.
Stosownie do art. 7 K.p.a. organ administracji w toku postępowania podejmuje wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.
Tylko wyjaśnienie okoliczności sprawy zgodnie z tą zasadą prawdy obiektywnej pozwala na załatwienia sprawy co do jej istoty art. 104 § 2 K.p.a.
W sprawie z niniejszej skargi kasacyjnej istotne było czy Spółka z o.o. [...] miała prawo przetwarzania danych osobowych W. P., na podstawie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Przepis ten stanowi, że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zawiera on zatem szereg przesłanek, których łączne spełnienie dopiero pozwala na przetwarzanie danych przez administratora.
Wymaganiami tymi jest:
1) niezbędność przetwarzania danych osobowych przez administratora,
2) prawnie usprawiedliwione cele,
3) realizowanie tych celów przez administratora,
4) nienaruszenie przez przetwarzanie praw i wolności osoby, której dane dotyczą.
Inaczej mówiąc administrator danych ma prawo do przetwarzania danych osoby, jeżeli jest to niezbędne dla wypełnienia realizowanych przez niego celów prawnie usprawiedliwionych, przy czym nawet gdy te wymogi są spełnione nie może naruszać praw i wolności osoby, której dane mają być przetwarzane.
W postępowaniu zatem, w którym osoba, której dane są przetwarzane domaga się od Generalnego Inspektora Ochrony Danych Osobowych realizacji swojego prawa, wyrażonego w art. 1 ustawy każdy ma prawo do ochrony dotyczących go danych osobowych konieczne jest wykazanie czy przetwarzając dane spełnia wymogi, czy też nie. Od tego bowiem ustalenia zależeć będzie orzeczenie o usunięciu danych osobowych lub nieuwzględnienie tego żądania.
W sprawie W. P. wystąpił do Generalnego Inspektora o nakazanie Spółce z o.o. [...] usunięcia jego danych osobowych, a Inspektor nie uwzględnił tego wniosku. Organ uznał, że W. P. lekarz, zatem wykonujący zawód zaufania publicznego musi się liczyć z tym, że jego praca podlega społecznej kontroli, a to właśnie umożliwia serwis internetowy Spółki, jako służący jego użytkownikom do wymiany informacji, komentarzy i opinii na temat lekarzy i zakładów opieki. Organ uznał, że serwis internetowy jest społecznościowy, jak wyjaśniła Spółka, podczas gdy W. P. konsekwentnie podnosi komercyjny charakter działalności Spółki.
Wyjaśnienie tych rozbieżności w stanowiskach stron postępowania administracyjnego było konieczne, bowiem pozwoliłoby odpowiedzieć na pytanie, czy zachowane zostały przesłanki z art. 23 ust. 1 pkt 5 ustawy, pozwalające na przetwarzanie przez Spółkę danych osobowych W. P.. Odróżnić bowiem należy uwagi i opinie wpisywane na stronę przez ew. pacjentów lekarza od bazy danych osobowych, które jak twierdzi W. P. posiada Spółka w celach komercyjnych, a nie społecznościowych.
Generalny Inspektor nie wyjaśnił natomiast:
1) jakie to prawnie usprawiedliwione cele realizuje Spółka jeśli serwis internetowy ma służyć społeczeństwu to z przedmiotu działania Spółki taki cel nie wynika;
2) czy przetwarzanie danych osobowych W. P. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów, które Spółka realizuje;
3) czy w przypadku zaistnienia dwóch pierwszych przesłanek, przetwarzanie danych W. P. nie narusza jego praw i wolności.
Z akt sprawy nie wynika czy Spółka przetwarzając dane osobowe W. P., wykonuje wskazania z art. 24 i 25 ustawy, zwłaszcza że możliwość ustosunkowania się do przetworzonych danych istnieje tylko wówczas, gdy ze Spółką zostanie zawarta umowa. Takie działanie Spółki wskazywałoby, że zarzut W. P. co do przetwarzania danych dla celów komercyjnych jest zasadny. Rolą Generalnego Inspektora jest właśnie wyjaśnienie, czy działanie Spółki jest rzeczywiście dla dobra społecznego, czy też dla swoich celów gospodarczych.
Wypełnienie zasady wyrażonej w art. 7 K.p.a. to takie wyjaśnienie sprawy, które pozwala na udzielenie odpowiedzi na wszystkie wątpliwości. Wszechstronne wyjaśnienie wszystkich okoliczności sprawy pozwala, w przypadku poddania decyzji kontroli sądu administracyjnemu, na uznanie która ze stron sporu ma racje. W niniejszej sprawie nie można uznać, iż zarzuty W. P. są nietrafne, a raczej odwrotnie.
W takim stanie rzeczy uchylenie przez Wojewódzki Sąd decyzji Generalnego Inspektora wydanych w obu instancjach, z uwagi na niewykonanie przesłanek z art. 23 ust. 1 pkt 5 ustawy było uzasadnione.
Wobec powyższego orzeczono jak w sentencji, na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2012 r. poz. 270).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl