PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 19 stycznia 2019 r.

Decyzja

ZSZZS.440.104.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. 2018 r. poz. 2096) oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. 2016 r. poz. 922) w związku z art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) i art. 9 ust. 2 pkt b i h Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani I.W., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez […] Wojskowy Oddział Gospodarczy z siedzibą w W., polegające na udostępnieniu jej danych osobowych dotyczących zdrowia w systemie obiegu dokumentów […] na rzecz osób trzecich, Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani I.W., zwanej dalej Skarżącą, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez […] Wojskowy Oddział Gospodarczy z siedzibą w W., zwaną dalej Jednostką Wojskową lub Pracodawcą, polegające na udostępnieniu jej danych osobowych dotyczących zdrowia w systemie obiegu dokumentów […] na rzecz osób trzecich.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, ustalił następujący stan faktyczny:

  1. Skarżąca jest żołnierzem zawodowym i pełni służbę w Jednostce Wojskowej w stopniu […].
  2. Pismem z dnia […] Rejonowa Wojskowa Komisja Lekarska w Ż. przesłała Pracodawcy trzy egzemplarze orzeczenia nr […], spośród których w części dotyczącej rozpoznania dwa zawierały wyłącznie numerację paragrafów (bez podawania nazw chorób i ułomności), jeden zaś zawierał szczegółowe oznaczenie chorób i ułomności .
  3. Pracodawca wyjaśnił, iż Skarżąca jako żołnierz zawodowy podlega uregulowaniom ustawy z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (t.j. Dz. U. z 2018 r., poz. 173), która m. in. nakłada obowiązek prowadzenia przez dowódcę jednostki wojskowej ewidencji, w której umieszcza się m. in. dane dotyczące stanu zdrowia, co więcej przetwarzanie tych danych może odbywać się bez wiedzy i zgody osoby, których dane dotyczą. Wskazał także, że egzemplarz orzeczenia Wojskowej Rejonowej Komisji Lekarskiej w Ż. zawierający oznaczenie chorób i ułomności został w dniu […] doręczony Skarżącej.
  4. Pracodawca wskazał, że orzeczenie Wojskowej Rejonowej Komisji Lekarskiej w Ż. za pośrednictwem poczty elektronicznej, służącej do obsługi elektronicznego obiegu dokumentów jawnych przez system elektroniczny […] funkcjonując w Jednostce Wojskowej, zostało przez Komendanta Jednostki Wojskowej przekazane: R. P., J. K., J. B., W. P., K. B., A. F., A. K., a ponadto D. P., która przekazała dokument do I-ej dekretacji dla R. P.
  5. Wszystkie ww. osoby posiadają upoważnienia do dostępu do przetwarzania danych osobowych w zbiorach Jednostki Wojskowej wydane na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Po zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Prezes UODO zważył, co następuje.

W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) [zwanej dalej ustawą z 2018 r.], Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2016 r. poz. 922) [zwanej dalej ustawą z 1997 r.] zgodnie z zasadami określonymi w ustawie z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2018 r. poz. 2096) [zwanej dalej Kpa].  Wszelkie czynności podejmowane przez Generalnego Inspektora przed 25 maja 2018 r. pozostają skuteczne.

Dodatkowo konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Ponadto, w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07, Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W przedmiotowej sprawie, w odniesieniu do oceny udostępnienia przez administratora danych osobowych Skarżącej na rzecz osób trzecich, właściwe jest zastosowanie przepisów obowiązujących w czasie, gdy doszło do podjęcia przez administratora tych czynności, tj. ustawy o ochronie danych osobowych z 1997 r. Niemniej jednak, zważając na to, że stan przetwarzania danych kwestionowany przez Skarżącą trwa w dniu wydania niniejszej decyzji, konieczna jest również ocena działania pracodawcy pod kątem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwanego dalej RODO.

Zgodnie z art. 27 ust. 1 ustawy z 1997 r. przetwarzanie danych o stanie zdrowia (rozumiane również jako ich udostępnianie) było zabronione. Ustawodawca przewidywał jednak wyjątki od tej zasady. Każda forma przetwarzania danych osobowych tzw. „wrażliwych”, których wyczerpujący katalog określono w art. 27 ust. 1 ustawy 1997 r. powinna była mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2 ustawy z 1997 r. Regulacja dopuszczała przetwarzanie danych wrażliwych jednak nie tylko wtedy, gdy osoba, której dane dotyczą, wyraziła na to zgodę na piśmie, lecz ponadto m. in. w sytuacji, w której przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczyły, i stwarzał pełne gwarancje ich ochrony, a także gdy przetwarzanie było niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych był określony w ustawie.

Podzielić należy stanowisko Jednostki Wojskowej, iż dane dotyczące stanu zdrowia, jako dane dotyczące żołnierza zawodowego, musiały znaleźć się w ewidencji wojskowej prowadzonej przez dowódcę jednostki wojskowej. Powyższe znajduje uzasadnienie w art. 48 ustawy z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (t.j. Dz. U. z 2018 r., poz. 173). Co więcej przepis ten w ust. 6 stanowi, iż przetwarzanie tych danych może odbywać się bez wiedzy i zgody osoby, której dane dotyczą. Nie można zgodzić się ze Skarżącą, że jej pracodawca dopuścił do sytuacji, w której dostęp do danych o jej stanie zdrowia ma nieograniczona liczba osób i do chwili obecnej zapoznały się z nimi osoby nieupoważnione. W tym zakresie przedłożony przez Skarżącą materiał dowodowy w pełni pokrywa się z wyjaśnieniami i dokumentacją przedstawioną przez Pracodawcę. Z systemu elektronicznego obiegu dokumentów […] działającego w Jednostce Wojskowej wynika, iż dane dotyczące stanu zdrowia Skarżącej zostały przez komendanta jednostki udostępnione wyłącznie osobom do tego upoważnionym, tj. R. P., J. K., J. B., W. P., K. B., A. F., A. K., a ponadto D. P., z tym że ww. jedynie przekazała dokument do I-ej dekretacji dla R. P. Każda z tych osób otrzymała informację o stanie zdrowia Skarżącej w ściśle określonym celu, związanym z zadaniami, które realizowała w związku z zatrudnieniem w Jednostce Wojskowej. Byli to przełożeni Skarżącej sprawujący funkcję komendantów oraz osoby wykonujące zadania związane z działalnością kadrową lub prowadzeniem dokumentów ewidencyjnych, w tym radcowie prawni.

 Pracodawca przedłożył dokumentację w postaci upoważnień wydanych na podstawie art. 37 ustawy z 1997 r. do przetwarzania danych osobowych. Tym samym w ocenie niniejszego organu osoby mające dostęp do danych osobowych Skarżącej zawartych w jej orzeczeniu lekarskim były upoważnione przez Pracodawcę do przetwarzania tych danych w związku z zadaniami i obowiązkami wykonywanymi w ramach stosunku służbowego. Stosownie bowiem do treści art. 37 ustawy z 1997 r., do przetwarzania danych mogły być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Ustawodawca nie przesądzał ani o treści, ani o formie upoważnienia do przetwarzania danych wydanego przez administratora danych. Względy dowodowe przemawiały jednak za tym, aby upoważnienie takie miało formę pisemną, jak ma to miejsce w zakresie rozpatrywanej sprawy. Upoważnienie musiało mieć przy tym charakter imienny, powinno też określać dozwolony zakres przetwarzania danych. Wydawane powinno być nie tylko osobom, które bezpośrednio zatrudnione zostały w celu prowadzenia przetwarzania danych, ale również innym osobom mogącym w takim przetwarzaniu uczestniczyć (kierownikom jednostek organizacyjnych, pracownikom działu kadr i działu płac itp.). W praktyce nadanie upoważnienia powinno było być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy [tak również Komentarz do art. 37 ustawy, J. Barta, P. Figielski, R. Markiewicz, lex]. W ocenie Prezesa Urzędu osoby, którym Pracodawca przekazał dane osobowe Skarżącej zostały przez niego upoważnione zgodnie z art. 37 ustawy z 1997r. Konsekwencją powyższego jest przyjęcie, iż mocą art. 26 ust. 1 pkt 1 ustawy z 1997 r., administrator danych przetwarzający dane musiał dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczyły, w tym przypadku Skarżącej, a w szczególności był obowiązany zapewnić, aby dane były przetwarzane zgodnie z prawem. Z zasady tej wynikało, że każde działanie administratora danych związane z przetwarzaniem danych musiało mieć swoje prawne uzasadnienie i odpowiadać istniejącym regulacjom prawnym, której to zasady w ocenie niniejszego organu pracodawca nie naruszył.

W ocenie niniejszego organu Jednostka Wojskowa przetwarza dane osobowe dotyczące stanu zdrowia Skarżącej prawidłowo również w chwili obecnej. Według art. 9 ust. 1 RODO zabrania się przetwarzania danych dotyczących zdrowia. Niemniej jednak ust. 2 ww. przepisu dopuszcza przetwarzanie tych danych, pomimo braku zgody osoby, której dane te dotyczą, jeżeli przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3. Co istotne jednak dla przedmiotowego rozstrzygnięcia, w ocenie niniejszego organu aktualne na gruncie art. 29 RODO pozostają upoważnienia przedłożone w toku postępowania przez Pracodawcę. Zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Reasumując Prezes Urzędu nie dopatrzył się naruszenia przepisów dotyczących ochrony danych osobowych przez Jednostkę Wojskową, a tym samym brakło podstaw do wydania decyzji nakazującej zgodnie z art. 18 ustawy z 1997 r.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § k.p.a. od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub o prawo pomocy.

Podmiot udostępniający: Zespół ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-01-19
Wprowadził informację:
user Maciej Rakowski
date 2019-03-29 12:54:25
Ostatnio modyfikował:
user Dariusz Światowiec
date 2019-03-29 15:49:44