Wyrok WSA w Warszawie z dnia 22 stycznia 2021 r. (II SA/Wa 850/20)

Uzasadnienie
Waga

Wyrok

Wojewódzkiego Sądu Administracyjnego

w Warszawie

z dnia 22 stycznia 2021 r.

II SA/Wa 850/20

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Karolina Kisielewicz, po rozpoznaniu na posiedzeniu niejawnym w dniu 22 stycznia 2021 r. sprawy ze skargi Komendanta Głównego Żandarmerii Wojskowej na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. nr [...] w przedmiocie udzielenia upomnienia w związku z przetwarzaniem danych osobowych i nakazu ich usunięcia

 

uchyla zaskarżoną decyzję

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] marca 2020 r. nr [...] działając na podstawie art. 104 § 1 ustawy Kodeks postępowania administracyjnego, art. 6 ust. 1, art. 9 ust. 1, art. 58 ust. 2 lit. b oraz lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. Unii Europejskiej, L 119, 4 maja 2016) dalej RODO:

 

1. udzielił upomnienia [...] Specjalistycznemu Centrum Zdrowia im. [...] w [...] za naruszenie art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, polegające na udostępnieniu danych osobowych dotyczących zdrowia R.P., zawartych w historii choroby z jego hospitalizacji obejmującej okres od [...] października 2010 r. do [...] listopada 2010 r. na rzecz Komendy Głównej Żandarmerii Wojskowej;

 

2. nakazał Komendzie Głównej Żandarmerii Wojskowej usunięcie danych osobowych R.P. w zakresie danych pochodzących z jego historii choroby z hospitalizacji w [...] Specjalistycznym Centrum Zdrowia im. [...] w [...] obejmującej okres od [...] października 2010 r. do [...] listopada 2010 r.

 

W uzasadnieniu decyzji z dnia [...] marca 2020 r. nr [...] organ nadmienił, iż do Urzędu Ochrony Danych Osobowych wpłynęła skarga R.P. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Specjalistyczne Centrum Zdrowia im. [...] w [...] oraz Komendę Główną Żandarmerii Wojskowej, polegające na udostępnieniu przez Centrum Zdrowia danych osobowych skarżącego na rzecz Żandarmerii oraz braku podstawy prawnej przetwarzania tych danych przez Żandarmerię.

 

Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
Skarżący w latach 2009-2017 był oficerem Wydziału [...] Żandarmerii. Żandarmeria uzyskała informacje o korzystaniu przez funkcjonariusza ze świadczeń opieki zdrowotnej Centrum Zdrowia na podstawie zaświadczenia lekarskiego (ZUS ZLA) stwierdzającego niezdolność do pracy. W dniu [...] listopada 2016 r. zostało wszczęte w stosunku do funkcjonariusza kontrolne postępowanie sprawdzające.
Szef Oddziału Ochrony Informacji Niejawnych Żandarmerii zwrócił się do Centrum Zdrowia o przesłanie dokumentacji medycznej z zakresu leczenia psychiatrycznego strony za okres od [...] października 2010 r. do [...] listopada 2010 r. wraz z udzieleniem informacji dotyczącej istnienia ewentualnych przeszkód w przedmiocie dostępu do informacji niejawnych wynikających z ww. leczenia.

 

Centrum Zdrowia przekazało Żandarmerii poświadczoną za zgodność z oryginałem kopię historii choroby strony z hospitalizacji w Centrum Zdrowia. Centrum Zdrowia przetwarza dane osobowe skarżącego jako pacjenta w zbiorze danych osobowych pt. "Pacjenci i byli pacjenci".

 

Kontrolne postępowanie sprawdzające prowadzone przez Żandarmerię zostało [...] lutego 2017 r. umorzone jako bezprzedmiotowe, a akta tego postępowania przechowywane są w Żandarmerii. Przetwarzanie danych znajdujących się w ww. teczce odbywa się poprzez przechowywanie, a dane w niej zawarte udostępniane w przypadkach określonych w art. 72 ust. 1 ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych.

 

Organ stwierdził, że dane medyczne pacjenta podlegają ochronie zarówno na podstawie przepisów RODO, jak i regulacji ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. W motywie 35 RODO wskazano, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.
Centrum Zdrowia jako podmiot udzielający świadczeń medycznych jest administratorem danych skarżącego w rozumieniu art. 4 ust. 7 RODO. Centrum Zdrowia zobowiązane jest w oparciu o art. 5 ust. 1 lit. f RODO do tego, by dane skarżącego były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tym danym, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Dane zawarte w dokumentacji medycznej podmiot leczniczy udostępnia pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. Krąg podmiotów, którym podmiot leczniczy udostępnia dokumentacje pacjenta bez jego zgody określa natomiast art. 26 ust. 3 pkt 1-12 ustawy z dnia 6 listopada 2008 r. prawach pacjenta i Rzecznika Praw Pacjenta (Dz. U. z 2019 r., poz. 1127), zwanej dalej "u.p.p.".

 

Zdaniem PUODO z analizy przepisu art. 26 ust. 3 pkt 1-12 u.p.p. wynika, iż Żandarmeria nie jest i nie była podmiotem uprawnionym, na rzecz którego podmiot leczniczy winien był udostępnić dokumentację medyczną pacjenta. Centrum Zdrowia zobowiązane było zatem do zbadania zasadności wniosku Żandarmerii i w efekcie przeprowadzonej analizy do odmowy udostępnienia tych danych. Działanie Centrum Zdrowia nie znajduje podstaw w przepisach RODO i stanowi naruszenie jego art. 9 ust. 1.

 

Z wyjaśnień Żandarmerii wynika, że ww. dane zostały pozyskane w związku z prowadzonym na podstawie art. 33 ust. 1 ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej "o.i.n.", kontrolnym postępowaniem sprawdzającym.

 

Zdaniem PUODO z treści tego przepisu wynika, że postępowanie takie prowadzone jest w przypadku ujawnienia nowych informacji wobec osoby, której wydano poświadczenie bezpieczeństwa, wskazujących, że nie daje ona rękojmi zachowania tajemnicy. Jak wskazuje treść art. 33 ust. 5 o.i.n., w celu weryfikacji informacji, określonych w ust. 1 przepisu Pełnomocnik ochrony może prowadzić w tym trybie czynności, o których mowa w art. 25 ust. 1 pkt 1 o.i.n. (tj. sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a także sprawdzenie innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy), a służby i instytucje uprawnione do prowadzenia poszerzonych postępowań sprawdzających także czynności, o których mowa w art. 25 ust. 1 pkt 2 (tj. sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie danych zawartych w ankiecie oraz innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy).

 

Żandarmeria wnioskując do Centrum Zdrowia o dane skarżącego, powoływała się na treść art. 24 ust. 3 pkt 2 o.i.n. oraz na treść art. 26 ust. 6 cyt. ustawy.
PUODO wskazał, że z art. 26 ust. 6 o.i.n wynika, iż organ przeprowadzający poszerzone postępowanie sprawdzające w celu dokonania ustaleń wskazanych w art. 24 ust. 3 pkt 2 o.i.n. (obejmujących informacje o chorobie psychicznej lub innych zakłóceniach czynności psychicznych) może zobowiązać osobę sprawdzaną do poddania się specjalistycznym badaniom oraz udostępnienia wyników tych badań.

 

Zdaniem PUODO analiza treści tego przepisu wskazuje, że Żandarmeria nie była uprawniona do otrzymania takiej dokumentacji bez uprzedniego zobowiązania i działania ze strony osoby sprawdzanej skarżącego. Przepis ten bowiem, określając sposób sprawdzania informacji dotyczących stanu zdrowia psychicznego, osoby objętej postępowaniem z rozdziału 5 o.i.n., w zdaniu drugim wskazuje, że dokumentacja ww. badania może być udostępniona wyłącznie lekarzowi prowadzącemu, wykluczając tym samym możliwość jej udostępnienia Żandarmerii.

 

W oparciu o treść art. 24 ust. 5 o.i.n. organ prowadzący postępowanie sprawdzające, kierując się zasadami bezstronności i obiektywizmu, jest obowiązany do wykazania najwyższej staranności w toku prowadzonego postępowania sprawdzającego co do jego zgodności z przepisami ustawy. Pismo Żandarmerii z [...] lutego 2019 r. wskazuje, iż skarżącego planowano zobowiązać do poddania się specjalistycznym badaniom, o których mowa w art. 26 ust. 6 o.i.n., co jednak nie nastąpiło.
W świetle powyższych ustaleń, organ stwierdził brak umocowania przewidzianego w przepisach obowiązującego prawa, na pozyskanie przez Żandarmerię danych dotyczących zdrowia skarżącego. Działanie Żandarmerii stanowi naruszenie art. 9 ust. 1 RODO.
Wyjaśnienia Żandarmerii nie wykazały, aby legitymowała się ona jakąkolwiek z wymienionych w art. 9 ust. 2 RODO przesłanek legalności przetwarzania danych.
Komendant Główny Żandarmerii Wojskowej wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. znak: [...].

 

Skarżący zarzucił wskazanej decyzji rażące naruszenie prawa, skutkujące koniecznością usunięcia z obrotu prawnego decyzji wydanej w oparciu o przepisy prawa, które nie miały zastosowania na moment dokonywania czynności przez skarżącego ([...] stycznia 2017 r.), oraz dokonania czynności przez [...] Specjalistyczne Centrum Zdrowia im. [...] w [...] ([...] stycznia 2017 r.). KGŻW podkreślił, że przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych weszły w życie od dnia 25 maja 2018 r.

 

KGŻW zarzucił również naruszenie prawa materialnego, tj. art. 24 ust. 1 w zw. z art. 24 ust. 3 pkt 2 w zw. z art. 26 ust. 1 i w zw. z art. 25 ust. 1 pkt 1 ustawy o ochronie informacji niejawnych poprzez jego błędną wykładnię i niewłaściwe zastosowanie, polegające na nieuprawnionym stwierdzeniu, że pozyskanie danych wrażliwych funkcjonariusza odbyło się bez umocowania w przepisach obowiązującego prawna. Zdaniem skarżącego z przywołanych przepisów wynika, że w celu ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy, w toku poszerzonego postępowania sprawdzającego uprawniony organ ustala m.in. czy istnieją wątpliwości dotyczące informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych ograniczających sprawność umysłową i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej. Może ono zatem polegać na sprawdzeniu przez uprawniony organ w ewidencjach, rejestrach i kartotekach informacji uzyskanych w toku postępowania sprawdzającego, w tym w kartotece pacjenta, prowadzonej przez zakład leczniczy.

 

KGŻW zarzucił też naruszenie art. 26 ust. 6 ustawy o ochronie informacji niejawnych poprzez jego błędną wykładnię, a w dalszej kolejności niewłaściwe zastosowanie, polegające na nieuprawnionym wywiedzeniu z przepisów ustawy, że wskazany przepis opisuje jedyny dopuszczalny sposób pozyskiwania danych o leczeniu osoby sprawdzanej.

 

Zdaniem skarżącego analiza przepisów art. 24 ust. 1 w zw. z art. 24 ust. 3 pkt 2 w zw. z art. 26 ust. 1 i w zw. z art. 25 ust. 1 pkt 1 ustawy o ochronie informacji niejawnych, a przede wszystkim art. 26 ust. 6 tej ustawy wskazuje jednoznacznie, że jest to fakultatywna forma pozyskiwania danych, wykorzystywana w sytuacjach, gdy organ prowadzący postępowanie uzna to za uzasadnione. W szczególności będzie to uzasadnione wówczas, gdy uzyskane w toku postępowania sprawdzającego przez organ informacje z ewidencji, rejestrów i kartotek okażą się niewystarczające dla rozstrzygnięcia wątpliwości, czy choroba psychiczna może negatywnie wpłynąć na wykonywanie prac związanych z dostępem do informacji niejawnych.

 

Skarżący wniósł o stwierdzenie nieważności zaskarżonej decyzji, ewentualnie o uchylenie decyzji w całości.

 

Skarżący podkreślił, iż sposób realizacji postępowań sprawdzających określa odpowiednio art. 25 i 26 ustawy o ochronie informacji niejawnych. Organ prowadzący postępowanie sprawdzające, w celu ustalenia, czy osoba poddana sprawdzeniu daje rękojmię zachowania tajemnicy, dokonuje sprawdzeń w zakresie określonym w przepisie art. 24 ust. 2 lub 3 o.i.n., odpowiednim do kategorii postępowania sprawdzającego (zwykłe lub poszerzone).

 

W niniejszej sprawie prowadzone było poszerzone postępowanie sprawdzające w kierunku wyjaśnienia wątpliwości w zakresie informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych ograniczających sprawność umysłową i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej do wykonywania prac, związanych z dostępem do informacji niejawnych (art. 24 ust. 3 pkt 2 o.i.n.). W celu weryfikacji powziętych wątpliwości organ prowadzący postępowanie skorzystał z uprawnień przewidzianych w art. 26 ust. 1 o.i.n. w zw. z art. 25 ust. 1 pkt 1 o.i.n. Uprawnienia te KGŻW zrealizował poprzez dokonanie sprawdzenia informacji o chorobie psychicznej osoby sprawdzanej w kartotece pacjenta, prowadzonej przez [...] Specjalistyczne Centrum Zdrowia im. [...] w [...].

 

Był to, zdaniem skarżącego, zakres niezbędny do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy. Organ prowadzący postępowanie, działający zgodnie z wymogiem zachowania najwyższej staranności, miał obowiązek sprawdzić powzięte informacje, z zastosowaniem posiadanych narzędzi ustawowych. Skarżący podkreślił, iż dokonana przez PUODO wykładnia przepisu art. 26 ust. 6 o.i.n. jest nieprawidłowa. Wskazany przepis nie określa jedynej możliwej formy pozyskania informacji o przebytej chorobie psychicznej.

 

Zgodnie z art. 26 ust. 1 poszerzone postępowanie sprawdzające obejmuje czynności, o których mowa w art. 25 ust. 1 o.i.n., w tym sprawdzenia w ewidencjach, rejestrach i kartotekach, a także czynności wymienione expressis verbis w art. 26 ust. 1 pkt 1-3 i ust. 5 o.i.n. Analiza przepisu art. 26 wskazuje, że ustawodawca nie reguluje sposobu wykonania czynności, o których mowa w art. 26 ust. 1 pkt 1 i ust. 5 o.i.n. Sposób wykonania czynności, o których mowa w art. 26 ust. 1 pkt 2 i 3, określa w art. 26 ust. 2 i 3 o.i.n. poprzez odesłanie do odpowiednich przepisów. Zdaniem skarżącego należy również dostrzec imperatywne brzmienie norm z art. 26 ust. 2 i 3 o.i.n., zobowiązujące do działania wyłącznie we wskazany w przepisie sposób.

 

W przypadku weryfikacji informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych oraz o uzależnieniach ustawodawca dopuszcza nawet możliwość zobowiązania osoby sprawdzanej do poddania się badaniom, przy czym decyzję w tym zakresie pozostawia organowi prowadzącemu postępowanie.

 

Skarżący podkreślił, że sposób sformułowania dyspozycji normy prawnej art. 26 ust. 6 o.i.n. jest wyraźnie odmienny od nakazu wyartykułowanego w art. 26 ust. 2 i 3 o.i.n. Wyraźnie bowiem wskazuje na zamiar ustawodawcy wyposażenia organu, prowadzącego poszerzone postępowanie sprawdzające, w dodatkowe narzędzie, stanowi alternatywny sposób działania.

 

W odpowiedzi na skargę organ wniósł o jej oddalenie oraz podtrzymał twierdzenia zawarte w uzasadnieniu zaskarżonej decyzji.

 

Pismem procesowym z dnia [...] stycznia 2021 r. Komendant Główny Żandarmerii Wojskowej podkreślił, że podtrzymuje w całości zarzuty i wnioski wywiedzione w skardze. Jednocześnie stwierdził, że przetwarzanie danych osobowych osoby, w stosunku do której prowadzone jest postępowanie związane z dostępem do informacji niejawnych na podstawie przepisów ustawy o ochronie informacji niejawnych następuje z wyłączeniem stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. ze względu na przesłankę wyłączającą w postaci bezpieczeństwa narodowego. Zgodnie z postanowieniami Traktatu o Unii Europejskiej, Unia szanuje podstawowe funkcje państwa, zwłaszcza mające na celu zapewnienie jego integralności terytorialnej, utrzymanie porządku publicznego oraz ochronę bezpieczeństwa narodowego, które pozostają w zakresie wyłącznej odpowiedzialności każdego Państwa Członkowskiego. Z treści motywu 16 preambuły rozporządzenia 2016/679 wynika, że rozporządzenie nie ma zastosowania do kwestii ochrony podstawowych praw i wolności, ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, taka jak działalność dotycząca bezpieczeństwa narodowego. Nie ulega wątpliwości, że ustawa o ochronie informacji niejawnych dotyczy obszaru bezpieczeństwa narodowego.

 

Zdaniem skarżącego obszar ochrony informacji niejawnych należy jednoznacznie zakwalifikować do obszaru bezpieczeństwa narodowego. Materia ta została kompleksowo uregulowana w ustawie o ochronie informacji niejawnych. Zatem nietrafne jest stanowisko Prezesa UODO, iż w sprawie, której przedmiotem jest przetwarzanie danych osobowych w związku z przeprowadzonym postępowaniem sprawdzającym, posiada on właściwość do rozpatrywania skarg na nieprawidłowości w przetwarzaniu tych danych osobowych. Przepisy rozporządzenia 2016/679 nie powinny znaleźć tu zastosowania.

 

Jedynym prawidłowym rozstrzygnięciem skargi złożonej przez Roberta Pankowskiego było, zdaniem skarżącego, umorzenie postępowania wobec jego bezprzedmiotowości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

 

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137), dalej: "P.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325), dalej: "P.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej.

 

W myśl art. 134 § 1 P.p.s.a., sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).

 

Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie.

 

Przedmiotem kontroli Sądu jest decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. udzielająca upomnienia [...] Specjalistycznemu Centrum Zdrowia im. [...] w [...] z siedzibą w [...] za naruszenie art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, polegające na udostępnieniu danych osobowych, dotyczących zdrowia osoby fizycznej zawartych w historii choroby z jej hospitalizacji w październiku i listopadzie 2010 r., na rzecz Komendy Głównej Żandarmerii Wojskowej i nakazująca tej Komendzie usunięcia ww. danych osobowych.

 

Podstawę prawną zaskarżonej decyzji stanowiły w szczególności przepisy ogólnego rozporządzenia o ochronie danych, w tym art. 57 ust. 1, zgodnie z którym bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a), prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h).

 

Instrumentem do realizacji zadań określonych w art. 57 ww. rozporządzenia są w szczególności uprawnienia naprawcze, o których mowa w art. 58 ust. 2, w tym udzielone administratorowi lub podmiotowi przetwarzające dane upomnienie w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (art. 58 ust. 2 lit. b), a także przepis art. 5 ogólnego rozporządzenia o ochronie danych, który statuuje katalog podstawowych zasad dotyczących przetwarzania danych osobowych. Jak podkreśla się w piśmiennictwie, zasady te mają charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Z tego względu przypisuje się im moc nadrzędną w stosunku do pozostałych przepisów o ochronie danych osobowych. Zasady te określają obowiązki skierowane do administratorów danych. Korelatem nałożonych na administratorów obowiązków, zaliczanych do zasad przetwarzania danych, są określone przez prawodawcę unijnego sankcje za ich naruszenie, przede wszystkim w postaci administracyjnych kar pieniężnych.

 

Podstawową zasadą przetwarzania danych osobowych jest zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia. Przepis ten stanowi, że administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

 

Realizacji zasady rozliczalności służy zasada rzetelności i legalności oraz zasada przejrzystości wyrażone w art. 5 ust. 1 lit. a) rozporządzenia. Zgodnie z treścią tego przepisu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Wymóg przetwarzania danych zgodnie z prawem oznacza zarówno konieczność spełnienia przesłanek legalności przetwarzania danych, jak również zapewnienie zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg rzetelności odnosi się natomiast do wartości moralnych oraz do kryterium społecznej akceptacji operacji przetwarzania danych.

 

Zapewnienie rozliczalności danych wymaga przestrzegania zasady bezpieczeństwa danych, tj. zasady integralności i poufności danych określonej w art. 5 ust. 1 lit. f) rozporządzenia. Przepis ten stanowi, że dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Integralność danych oznacza więc właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, zaś poufność danych, że dane nie są udostępniane nieupoważnionym podmiotom (por. "Ogólne rozporządzenie o ochronie danych". Komentarz pod red. naukową E. Bielak-Jomaa, D. Lubosz, Wolters Kluwer, Warszawa 2018).

 

Uznając, że przetwarzanie niektórych rodzajów danych osobowych może stanowić poważną ingerencję w sferę prywatności (a nawet intymności) osób, których te dane dotyczą, lub pociągać za sobą znacznie większe zagrożenia niż przetwarzanie tzw. danych zwykłych, prawodawca unijny wyodrębnił w art. 9 ust. 1 RODO kilka szczególnych kategorii danych, ograniczył dopuszczalność ich przetwarzania i ukształtował mechanizmy umożliwiające silniejsza ich ochronę. Należy podkreślić, że katalog szczególnych kategorii danych został ukształtowany wolą prawodawcy i nie można go modyfikować, tzn. uznać innych rodzajów danych za szczególne kategorie danych, nawet w sytuacji, gdy wydawałoby się to zasadne, ani też twierdzić, że dane wskazane w tym wyliczeniu nie mają charakteru danych szczególnie chronionych.
Podkreślić też wypada, iż dane zaliczone do poszczególnej kategorii danych stanowią dane osobowe w rozumieniu przepisów komentowanego rozporządzenia, a więc informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

 

Oznacza to, że do przetwarzania szczególnych kategorii danych zastosowanie mieć będą przepisy odnoszące się do danych osobowych, w tym m.in. zasady określone w art. 5, z uwzględnieniem specyfiki przetwarzania danych sensytywnych.

 

Katalog szczególnych kategorii danych w komentowanym rozporządzeniu jest katalogiem zamkniętym, który obejmuje:

1. dane osobowe ujawniające pochodzenie rasowe lub etniczne;

2. dane osobowe ujawniające poglądy polityczne;

3. dane osobowe ujawniające przekonania religijne lub światopoglądowe;

4. dane osobowe ujawniające przynależność do związków zawodowych;

5. dane genetyczne;

6. dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej;

7. dane dotyczące zdrowia;

8. dane dotyczące seksualności lub orientacji seksualnej.

 

W ust. 2 art. 9 RODO prawodawca przewidział natomiast odstępstwa od zakazu przetwarzania szczególnych kategorii danych zawartego w art. 9 ust. 1.
Jedną z przesłanek dopuszczalności przetwarzania ww. danych sensytywnych, jest podstawa uregulowana w art. 9 ust. 2 lit. g RODO. Dotyczy ona przetwarzania danych z uwagi na interes publiczny, a więc odnosi się przede wszystkim do podmiotów publicznych oraz podmiotów prywatnych realizujących zadania publiczne. Zgodnie z brzmieniem komentowanego przepisu, zakaz przetwarzania szczególnych kategorii danych nie ma zastosowania, jeżeli "przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą".

 

Takie ujęcie omawianej przesłanki stanowi modyfikację unijnej regulacji ochrony danych, nie było wprost przewidziane wśród podstawowych przesłanek w art. 8 ust. 2 dyrektywy 95/46/WE, natomiast art. 8 ust. 4 dyrektywy 95/46//WE dopuszczał możliwość, aby państwa członkowskie, pod warunkiem ustanowienia odpowiednich zabezpieczeń, ze względu na istotny interes publiczny, ustaliły dodatkowe wyłączenia, poza przewidzianymi w ust. 2, na mocy przepisów krajowych lub decyzji organu nadzorczego. W omawianej przesłance dostrzec można także podobieństwo do podstawy określonej w art. 27 ust. 2 pkt 2 ustawy z 1997 r. o ochronie danych osobowych, z tą różnicą, że polskie przepisy przewidywały wymóg regulacji prawnej rangi ustawowej, którego to wymogu nie zawiera analizowany artykuł unijnego rozporządzenia, a ponadto polski ustawodawca szeroko określił zakres podmiotowy, natomiast prawodawca unijny ograniczył ten zakres w komentowanym przepisie do podmiotów realizujących interes publiczny.

 

Omawiana podstawa wymaga istnienia przepisu prawa dopuszczającego przetwarzanie danych sensytywnych, gdy jest to uzasadnione ważnym interesem publicznym. Znajduje ona oparcie w obowiązującej podmioty publiczne zasadzie legalizmu, wyrażonej w art. 7 Konstytucji RP oraz art. 6 k.p.a., zgodnie z którą organy publiczne (organy władzy publicznej) mogą działać jedynie na podstawie i w granicach określnych przepisami prawa. Prawodawca unijny w komentowanym przepisie wymaga ponadto, aby przepisy uprawniające do przetwarzania danych sensytywnych były proporcjonalne do wyznaczonego celu, nie naruszały istoty prawa do ochrony danych i przewidywały odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Przepisów prawa, które przewidują przetwarzanie szczególnych kategorii danych osobowych, jest w polskim systemie prawnym wiele (tak: Fajgielski Paweł "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)", [w] "Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz", opublikowano: WKP 2018, stan prawny na dzień 1 lipca 2018 r., tezy: 4, 5 i 22 do art. 9, LEX Omega/el).

 

Jedną z podstaw prawnych regulujących przetwarzanie danych dotyczących zdrowia psychicznego jest w polskim porządku prawnym ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (t.j. Dz. U. z 2020 r. poz. 685), zwana dalej "u.o.z.p".

 

Ustawa o ochronie zdrowia psychicznego, chociaż nie zawiera legalnej definicji terminu "tajemnica", to jednak określa zarówno zakres podmiotowy, jak i przedmiotowy owej tajemnicy. Zakres podmiotowy jest bardzo szeroki i odnosi się do wszystkich osób wykonujących czynności wynikające z ustawy o ochronie zdrowia psychicznego, a więc nie tylko lekarzy psychiatrów, ale także psychologów, pielęgniarek, osób wchodzących w skład zespołu ratownictwa medycznego, sędziów wizytujących szpital, sędziów orzekających w sprawach wynikających z ustawy, a także personelu administracyjnego szpitala itp. Zobowiązani do zachowania tajemnicy psychiatrycznej są także lekarze psychiatrzy konsultujący pacjentów w szpitalach niepsychiatrycznych, a także lekarze stwierdzający konieczność przeprowadzenia obserwacji w ośrodku psychiatrycznym (A. Augustynowicz, I. Wrzesińska-Wal, "Lekarz psychiatra jako świadek w postępowaniu karnym", PiM 2013, nr 3-4, s. 91). Osoby te są zobowiązane do zachowania w tajemnicy wszystkiego, o czym powezmą wiadomość w związku z wykonywaniem czynności wynikających z komentowanej ustawy (zakres przedmiotowy). Innymi słowy, na wynikającą z ustawy o ochronie zdrowia psychicznego tajemnicę należy spojrzeć przez pryzmat treści samej ustawy i zakresu przedmiotowego, który ustawa ta obejmuje. Najogólniej można powiedzieć, iż tajemnicę stanowi wszystko, co jest związane z ochroną zdrowia psychicznego konkretnej osoby, a więc jest nią nie tylko dokumentacja medyczna, ale także lista pacjentów szpitala psychiatrycznego oraz informacje wynikające z akt sądowych dotyczących postępowań prowadzonych na podstawie omawianej ustawy. W literaturze wprost podnosi się, iż z uwagi na szerokie ujęcie w ustawie tajemnicy psychiatrycznej nie sposób skonstruować wyczerpującego katalogu faktów i okoliczności mieszczących się w dyspozycji zakresu przedmiotowego tajemnicy zawodowej lekarza psychiatry. Tajemnicą psychiatryczną są zatem nie tylko dane osobowe pacjenta, ale także wiadomości związane ze stanem jego zdrowia, metody leczenia i postępy w leczeniu oraz dane dotyczące życia osobistego pacjenta, z którymi lekarz zapoznał się w związku z wykonywaniem zawodu (A. Augustynowicz, I. Wrzesińska-Wal, "Lekarz psychiatra jako świadek w postępowaniu karnym", PiM 2013, nr 34, s. 9293).

 

Ustawa ta przewiduje jednak w art. 50 ust. 2 wyjątki od obowiązku zachowania tajemnicy psychiatrycznej. Zwolnione z mocy prawa od jej zachowania są osoby wykonujące czynności wynikające z ustawy o ochronie zdrowia psychicznego w stosunku między innymi do: Agencji Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Policji, Żandarmerii Wojskowej, Straży Granicznej, Służby Więziennej, Biura Ochrony Rządu i ich upoważnionych pisemnie funkcjonariuszy lub żołnierzy w zakresie niezbędnym do przeprowadzenia postępowania sprawdzającego na podstawie przepisów o ochronie informacji niejawnych, jak stanowi art. 50 ust. 2 pkt 4 ustawy (tak: Kinga Bobińska, Krzysztof Zygmunt Eichstaedt, Piotr Gałecki "Ustawa o ochronie zdrowia psychicznego. Komentarz", wyd. II, LEX 2016, stan prawny na dzień 15 lutego 2016 r., LEXOmega/el., komentarz do art. 50 autorstwa K. Z. Eichstaedta).

 

Z kolei ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228 z późn. zm.) w rozdziale 5 regulującym problematykę dotyczącą bezpieczeństwa osobowego przewiduje prawną możliwość przeprowadzenia czynności sprawdzających, których zakres jest uzależniony od sprawowanej funkcji lub zleconych do wykonania czynności. Najogólniej rzecz ujmując, postępowanie sprawdzające ma przede wszystkim na celu ustalenie, czy osoba podlegająca sprawdzeniu daje rękojmię zachowania tajemnicy. W toku prowadzonego postępowania sprawdzającego ustala się między innymi, czy istnieją uzasadnione wątpliwości dotyczące informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych ograniczających sprawność umysłową i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej do wykonywania prac związanych z dostępem do informacji niejawnych, a także uzależnienia od alkoholu, środków odurzających lub substancji psychotropowych (zob. art. 24 powołanej ustawy).

 

Jak podnosi się w literaturze przedmiotu, w tym stanie rzeczy zrozumiałe jest zwolnienie z zachowania tajemnicy wobec podmiotów określonych w art. 50 ust. 2 pkt 4 u.o.z.p., ale tylko w zakresie niezbędnym do przeprowadzenia postępowania sprawdzającego na podstawie przepisów o ochronie informacji niejawnych. Zdaniem K. Z. Eichstaedta w przypadku zaistnienia takiej sytuacji lekarz jest zwolniony z mocy samej ustawy z zachowania tajemnicy tylko w zakresie dotyczącym wystąpienia u osoby, której czynności sprawdzające dotyczą, ewentualnej choroby psychicznej lub innego zakłócenia czynności psychicznych ograniczających sprawność umysłową, a także uzależnienia od alkoholu i środków odurzających lub substancji psychotropowych. Przewidziane w ustawie zwolnienie z tajemnicy nie będzie jednak dotyczyło już przebiegu procesu leczenia oraz stosowanych metod leczenia. Znamienne jest jednak to, iż funkcjonariusze wymienionych służb muszą okazać pisemne upoważnienie do uzyskania takiej informacji, w którym powinien być wyraźnie określony cel, w jakim informacje są zbierane (w celu przeprowadzenia postępowania sprawdzającego na podstawie przepisów o ochronie informacji niejawnych) (tak: K. Z. Eichstaed, op. cit).

 

Z kolei Stanisław Hoc stoi na stanowisku, iż organ prowadzący postępowanie sprawdzające "może posiadać dokumentację medyczną osoby sprawdzanej, jeżeli taka istnieje na podstawie art. 50 ust. 2 pkt 4 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (...). (Stanisław Hoc, "Ustawa o ochronie informacji niejawnych. Komentarz", LEXOmega/el., teza 8 do art. 26).

 

Wskazana powyżej podstawa do przetwarzania danych osobowych o stanie zdrowia psychicznego wnioskodawcy, zawarta w art. 50 ust. 2 pkt 4 ustawy o ochronie zdrowia psychicznego w powiązaniu z art. 24 ust. 3 pkt 2 ustawy o ochronie informacji niejawnych, w ogólne nie została przez Prezesa UODO dostrzeżona i nie była przedmiotem jego analizy.

 

W tym stanie rzeczy, zdaniem Sądu, organ nie wykazał w sposób należyty, iż przetwarzanie przedmiotowych danych osobowych stanowiło naruszenie art. 9 ust. 1 RODO oraz że nie jest objęte podstawą dopuszczającą przetwarzanie danych sensytywnych uregulowaną w art. 9 ust. 2 lit. g RODO z uwagi na interes publiczny.
Sąd nie podzielił natomiast poglądu skarżącego, iż w sprawie nie mają w ogóle zastosowania przepisy RODO z uwagi na przesłankę bezpieczeństwa narodowego. Przedmiotem kontroli PUODO było bowiem udostępnienie danych osobowych pacjenta przez podmiot, który bezspornie nie wykonuje zadań w ramach bezpieczeństwa narodowego, tj. przez [...] Specjalistyczne Centrum Zdrowia im. [...] w [...].
Organ winien zatem ponownie rozpatrzyć sprawę, uwzględniając poglądy prawne zawarte w uzasadnieniu niniejszego wyroku.

 

Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy Prawo o postępowaniu przed sądami administracyjnymi orzekł jak w sentencji.

Uzasadnienie
Waga