GIODO musi ponownie zbadać przetwarzanie danych lekarza na portalu internetowym

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 12 lipca 2017
GIODO musi ponownie zbadać przetwarzanie danych lekarza na portalu internetowym

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2017 r. uchylił zaskarżoną decyzję GIODO.

Do GIODO wpłynęła skarga lekarza na przetwarzanie jego danych osobowych bez podstawy prawnej i z naruszeniem obowiązków informacyjnych przez portal internetowy zawierajacy opinie na temat lekarzy. Skarżący wnosił o nakazanie usunięcia jego danych z tego portalu. Argumentował, że jego dane zostały zamieszone w serwisie bez jego wiedzy, a dodatkowo są nieaktualne. Twierdził też, że administrator portalu nie ma żadnej podstawy prawnej do przetwarzania jego danych. Lekarz zwracał się do administratora portalu z żądaniem wykreślenia i usunięcia wszystkich danych osobowych oraz wpisów na jego temat, jednak żądanie to było nieskuteczne.

GIODO umorzył jednak postępowanie w zakresie przetwarzania przez portal informacji o lekarzu i w zakresie spełnienia obowiązku informacyjnego, w pozostałym zakresie odmówił uwzględnienia wniosku. GIODO twierdził, że opublikowanie danych lekarza na stronie internetowej ma swoje oparcie w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych – jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Organ stwierdził też, że wykonując zawód zaufania publicznego, lekarz musi się liczyć z tym, że jego dane osobowe podlegają słabszej ochronie.

Sprawa trafiła do WSA

Lekarz złożył do GIODO wniosek o ponowne rozpatrzenie sprawy. Jednak po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych stwierdził, że poprzednie rozstrzygnięcie było prawidłowe. Lekarz wniósł więc skargę na decyzję GIODO do Wojewódzkiego Sądu Administracyjnego w Warszawie. WSA stwierdził, że skarga lekarza była zasadna.

W ocenie sądu w sprawie dotyczącej przetwarzania danych osobowych lekarza GIODO naruszył przepisy Kodeksu postępowania administracyjnego w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Zdaniem WSA naruszony został także przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, gdyż wobec nieprawidłowo przeprowadzonego postępowania organ nie wskazał spełnienia przez portal przesłanki określonej w tym przepisie, jako podstawy przetwarzania danych osobowych skarżącego.

WSA: GIODO musi ocenić zgodność przetwarzania z prawem

WSA podkreślił, że GIODO, wykonując swoje zadania, powinien ocenić zgodność z prawem przetwarzania danych osobowych wnoszącego skargę. Rolą tego organu jest bowiem przede wszystkim ustalenie, czy dane osobowe konkretnego skarżącego przetwarzane są zgodnie z prawem. GIODO powinien więc w pierwszej kolejności stwerdzić, czy została spełniona jedna z przesłanek określonych w art. 23 ust. 1 pkt 1–5 uodo.

Zdaniem sądu podejmując swoją decyzję, GIODO nie dokonał jednak właściwie żadnych ustaleń stanu faktycznego, do czego zobowiązuje go art. 7 Kpa. Decyzja organu została oparta jest na jednym piśmie portalu stanowiącym odpowiedź na wezwanie GIODO. Organ nie zbadał, czy zbiór, w którym przetwarzane są dane osobowe lekarza, wykorzystywany jest w celu komercyjnym. Ma to istotne znaczenie, gdyż skarżący twierdzi, że nigdy nie zawierał z portalem żadnych umów o świadczenie na jego rzecz usług, nie logował się w serwisie internetowym, nie akceptował regulaminu tego portalu i nie wyrażał zgody na przetwarzanie jego danych osobowych. GIODO, rozpoznając sprawę, nie wziął tego pod uwagę, przede wszystkim nie dokonał żadnych ustaleń stanu faktycznego w tym zakresie, czym naruszył art. 7 Kpa. Zgodnie z tym przepisem w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.

Organ nie rozważył też tych podnoszonych przez stronę okoliczności na gruncie całokształtu zapisów Regulaminu świadczenia usług drogą elektroniczną przez portal, czym naruszył przepis art. 77 § 1 Kpa. Zgodnie z min organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy.

Skarżący wskazywał przed GIODO, że nie zawierał umowy z portalem i nie chce świadczyć usług medycznych za jego pośrednictwem. GIODO powinien więc rozważyć, jaki prawnie usprawiedliwiony cel uzasadnia przetwarzanie danych osobowych lekarza przez portal. Zdaniem WSA fakt, że podmiot gospodarczy w przedmiocie działalności wskazał „działalność portali internetowych” czy „przetwarzanie danych osobowych” nie może być traktowany jako automatyczna przesłanka legalizująca przetwarzanie danych osobowych skarżącego.

Sąd podkreślił, że nie można wywarzyć interesów stron bez uwzględnienia zapisów regulaminu. GIODO natomiast nie dokonał w tej sprawie żadnych rozważań w świetle zapisów regulaminu dotyczących sposobu przetwarzania danych osobowych skarżącego w zakresie istnienia prawnie usprawiedliwionego celu, czym naruszył przepis art. 7, 77 § 1 i art. 80 Kpa, a także art. 107 § 3 Kpa. Uzasadnienie decyzji GIODO nie wskazywało faktów, które organ uznał za udowodnione i dowodów, na których się oparł. Organ nie dokonał wnikliwej i wszechstronnej oceny, czy przetwarzanie przez portal danych osobowych skarżącego nie narusza jego praw i wolności. Stwierdzenie organu zawarte w decyzji w tym zakresie nie zostało poparte żadną analizą, a tym samym jest dowolne i narusza art. 80 i art. 107 § 3 Kpa.

WSA: To, że dane dotyczą życia zawodowego nie oznacza, że nie są chronione

WSA odniósł się także do stwierdzenia GIODO, że dane udostępniane na stronie internetowej dotyczą wyłącznie życia zawodowego skarżącego. Sąd podkreślił, że nie oznacza to, że skarżący pozbawiony jest ochrony. Przepis art. 30 Konstytucji RP stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Przepis art. 47 Konstytucji RP zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, a także dobrego imienia. Zgodnie z art. 1 ust. 1 uodo każdy ma prawo do ochrony dotyczących go danych osobowych.

GIODO w postępowaniu administracyjnym nie dokonał żadnych ustaleń czy skarżący bez dokonania rejestracji  ma w istocie możliwość samodzielnego zgłoszenia nadużycia. Uchybieniem tym organ naruszył art. 7, art. 77 § 1 i art. 80 Kpa. Organ nie zbadał też, czy skarżący ma możliwość (nie będąc użytkownikiem serwisu) doprowadzenia do poprawienia swoich danych w sytuacji, gdy w jej ocenie są one nieprawdziwe.

Samo poinformowanie przez administratora danych o uprawnieniach korekcyjnych względem zebranych danych nie stanowi o zgodności z prawem przetwarzania danych. Stanowi jedynie o wypełnieniu obowiązku informacyjnego wobec osoby, której dane są przetwarzane (art. 25 uodo). Zdaniem sądu organ powinien rozważyć też, czy wobec spoczywającego na skarżącym jako lekarzu obowiązku zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu, skarżący ma istotnie rzeczywistą możliwość wykazania merytorycznej niepoprawności swoich danych osobowych.

GIODO musi ponownie zająć się sprawą

WSA uchylił zaskarżoną decyzję GIODO, nakazał ponowne rozpatrzenie sprawy i dokonanie pełnych i niebudzących wątpliwości ustaleń stanu faktycznego w zakresie przetwarzania danych osobowych skarżącego przez portal. Rozpatrując zebrany materiał dowodowy, organ ma ponownie ocenić zgodność z prawem przetwarzania danych osobowych skarżącego przez portal, uwzględniając rozważania WSA w tej sprawie i regulamin portalu.

Źródło:
  • wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 15 lutego 2017 r. (sygn. akt II SA/Wa 1261/16).
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel