Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Iwona Maciejuk (spr.), Sędziowie WSA Eugeniusz Wasilewski, Protokolant sekretarz sądowy Marcin Borkowski, po rozpoznaniu na rozprawie w dniu 29 listopada 2016 r. sprawy ze skargi M. S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2016 r. nr [...], 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz M. S. kwotę 680 (sześćset osiemdziesiąt) złotych, tytułem zwrotu kosztów postępowania.

Wnioskiem z dnia [...] kwietnia 2015 r. M. S., reprezentowana przez adwokata, zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych

o nakazanie spółce [...] Sp. z o.o. przywrócenie stanu zgodnego z prawem poprzez usunięcie jej danych osobowych ze strony internetowej [...].

Pełnomocnik skarżącej zarzucił naruszenie ustawy o ochronie danych osobowych, w szczególności przepisu art. 23 ust. 1 pkt 1 tej ustawy poprzez przetwarzanie przez Spółkę [...] Sp. z o.o. z siedzibą w [...] danych osobowych M. S. bez jej zgody poprzez umieszczenie jej imienia, nazwiska oraz miejsc wykonywania pracy (niezgodnych z rzeczywistością) na portalu [...]. Pełnomocnik podał w skardze do GIODO, że wymieniona Spółka prowadzi portal internetowy, o którym mowa wyżej. Na portalu tym zamieszcza dane osobowe lekarzy, niezależnie od ich woli i wiedzy, w tym dane osobowe skarżącej, także dane o rzekomych miejscach pracy skarżącej. Pełnomocnik strony wskazał, że Spółka twierdzi, iż profil założony został – jak twierdzi Spółka w piśmie z dnia [...] grudnia 2014 r. – przez anonimowego użytkownika w 2009 r. Wskazał, że M. S. nigdy nie zawierała żadnych umów ze Spółką [...] Sp. z o.o. o świadczenie na jej rzecz usług, ani nie logowała się na owym portalu, nie wspominając już o wyrażaniu zgody na przetwarzanie jej danych osobowych przez Spółkę, nie akceptowała nigdy regulaminu tego portalu, który w § 7 pkt 10 przewiduje wyrażenie zgody na przetwarzanie danych osobowych. Jako dowód pełnomocnik skarżącej załączył 1) wydruk ze strony internetowej [...], 2) wydruk regulaminu ze strony internetowej [...]. Wskazał, że pismem z dnia [...] grudnia 2014 r. wezwał Spółkę [...] Sp. z o.o. do zaniechania przetwarzania danych osobowych M. S. i zaniechania naruszania jej dóbr osobistych polegającego na bezpodstawnym przetwarzaniu i udostępnianiu jej imienia, nazwiska i miejsc pracy w [...] (nadto nieprawidłowych) na portalu internetowym [...], a nadto umożliwianiu oceny jego mocodawczyni przez osoby trzecie, bez jakiejkolwiek weryfikacji tychże ocen i sytuacji w nich opisanych. Podał, że w odpowiedzi na to wezwanie, pismem z dnia [...] grudnia 2014 r. członek zarządu Spółki [...] Sp. z o.o. odmówił usunięcia wpisu z portalu dotyczącego M. S. Jako dowód załączył 1) pismo z dnia [...] grudnia 2014 r., 2) pismo Spółki z dnia [...] grudnia 2014 r., w którym wskazano, że Spółka jest świadoma,

iż udostępnianie opinii o lekarzach może spowodować przedstawienie nieprawdziwych informacji, których celem będzie oczernianie lekarzy. Dlatego w celu ochrony dóbr osobistych lekarzy Spółka korzysta z wszelkich możliwych środków, aby nie dopuścić do takich sytuacji. Podano, że każda opinia pojawiająca się w serwisie jest sprawdzana i weryfikowana przez moderatorów portalu. Wskazano, że pracownicy serwisu starają się sprawdzić, czy dokonywane przez użytkowników wpisy posiadają odpowiednią formę oraz wartość merytoryczną. Spółka wskazała mocodawcy M. S., że w przypadku, gdy lekarz nie zgadza się z jakąkolwiek opinią w serwisie, ma możliwość samodzielnego zgłoszenia nadużycia do konkretnych komentarzy za pomocą przycisku "zgłoś nadużycie", który znajduje się przy każdej opinii. Po przekazaniu powodu zgłoszenia, każde takie zgłoszenie zostanie z pewnością rozpatrzone.

W dalszej części skargi do GIODO pełnomocnik wskazał, że M. S. nie chce się rejestrować w wymienionym wyżej portalu i brać w nim udziału, tym bardziej zgłaszać "nadużycia", nie chce bowiem prowadzić jakiejkolwiek współpracy ze Spółką [...] Sp. z o.o. Podniósł, że zgodnie z wyrokiem WSA w Warszawie z dnia 29 stycznia 2014 r. sygn. akt II SA/Wa 1819/13, portale takie jak [...]

i tym podobne nie mają prawa do przetwarzania danych osobowych lekarzy, jeśli dany lekarz nie wyraził na to zgody i nie zawarł z administratorem/właścicielem portalu stosownej umowy cywilnoprawnej. M. S. takiej umowy nigdy nie zawierała.

W odpowiedzi na wezwanie GIODO dotyczące skargi, Spółka [...] Sp. z o.o. w piśmie z dnia [...] lipca 2015 r. poinformowała, że dane skarżącej są przetwarzane na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Celem przetwarzania jest informowanie użytkowników Internetu o praktyce M. S. i wymiana opinii o tej praktyce. Zakres danych osobowych przetwarzanych przez spółkę to imię i nazwisko, wykonywany zawód oraz adres, gdzie ten zawód jest wykonywany. Dane są przetwarzane w systemie informatycznym w zbiorze "[...]". Dane są przetwarzane jedynie w sposób polegający na publikacji na portalu [...]. Dane osobowe skarżącej zostały dodane przez anonimowego użytkownika w dniu [...] listopada 2009 r. Spółka spełniła wobec skarżącej obowiązek informacyjny z art. 25 u.o.d.o. poprzez wysłanie informacji wymaganej przez przepisy prawa w formie pisemnej (załączono pismo). Wskazano, że Spółka otrzymała żądanie usunięcia danych skarżącej, w odpowiedzi na które wskazała podstawy prawne odmowy (podane jak w piśmie do GIODO) i wyjaśniła, że zawód skarżącej jest ważny z punktu widzenia interesu publicznego, a dane, które spółka przetwarza nie dotyczą prywatnej sfery życia skarżącej.

GIODO decyzją z dnia [...] stycznia 2016 r. nr [...], na podstawie art. art. 12 pkt 2, art. 22, art. 23 ust. 1 ustawy o ochronie danych osobowych, odmówił uwzględnienia wniosku M. S.

W uzasadnieniu GIODO podał, iż strona [...] jest serwisem internetowym, który umożliwia użytkownikom zamieszczanie informacji, komentarzy

i opinii na temat lekarzy i zakładów opieki zdrowotnej. Organ ustalił, że z regulaminu świadczenia usług drogą elektroniczną przez [...] wynika, iż opinie

i informacje o Profesjonalistach [tj. m. in. o Skarżącej] mogą dotyczyć wyłącznie działalności zawodowej Profesjonalisty (§ 4 pkt 2). Opinie i informacje

o Profesjonalistach mogą opierać się jedynie na osobistych doświadczeniach Użytkownika. Opinie i informacje nie mogą opierać się na relacjach osób trzecich (§ 4 pkt 3). Niedozwolone jest wielokrotne zamieszczanie przez jednego Użytkownika opinii dotyczących tego samego zdarzenia medycznego (wizyty, badania, zabiegu itp. - § 4 pkt 4). Niedozwolone jest umieszczanie opinii i komentarzy, które nie są zgodne z prawdą (§ 4 pkt 7). Informacje, opinie i komentarze nie mogą naruszać prawa, dóbr osobistych, ani zasad współżycia społecznego. W szczególności niedozwolone jest używanie wyrażeń wulgarnych, niecenzuralnych i obraźliwych, stosowanie przezwisk, odnoszenie się do sfery prywatnej i rodzinnej, oskarżanie o popełnienie przestępstwa, wzywanie do stosowania przemocy lub do nienawiści rasowej, wyznaniowej, etnicznej itp. (§ 4 pkt 6). Spółka ma prawo odmówić opublikowania opinii i informacji, a opublikowane usunąć, jeżeli są sprzeczne z regulaminem lub przepisami prawa (§ 4 pkt 8).

GIODO powołał pismo skierowane przez pełnomocnika skarżącej do Spółki z dnia [...] grudnia 2014 r. oraz przytoczył wyjaśnienia Spółki zawarte w piśmie z dnia [...] lipca 2015 r. skierowanym do GIODO.

Powołując się na regulamin korzystania z serwisu [...] GIODO stwierdził, że Spółka [...] Sp. z o.o. jest administratorem danych osobowych skarżącej, bowiem decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 5 u.o.d.o.). Z postanowień regulaminu wynika, iż ww. podmiot decyduje o zamieszczeniu na ww. stronie internetowej bądź też usunięciu z niej informacji, komentarzy lub opinii użytkowników. Organ powołał treść art. 23 ust. 1 pkt 1-5 u.d.i.p., wskazując, że zgoda osoby (pkt 1), której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. W dalszej części organ przywołał poglądy prezentowane w doktrynie wskazując, że "(...) termin usprawiedliwione cele, o którym mowa w przytoczonym wyżej przepisie art. 23 ust. 1 pkt 5 ustawy, jest zwrotem niedookreślonym i stanowi klauzulę generalną w znaczeniu funkcjonalnym. Daje w szczególności pewnego rodzaju luz decyzyjny, dzięki któremu organ stosujący prawo (GIODO), może przy podejmowaniu decyzji, kierować się ocenami indywidualnymi konkretnej sytuacji, a także pewnymi zasadami postępowania niesformułowanymi w przepisach prawa (...)" (P. Barta, P. Litwiński. Ustawa o ochronie danych osobowych. Komentarz. Warszawa 2009, str. 228). Jak wskazuje się w doktrynie cyt.: "(...) z jednej strony cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora lub odbiorcy danych, a z drugiej strony działalność ta nie może być w jakiejkolwiek mierze niezgodna z prawem, zasadami współżycia społecznego czy dobrymi obyczajami (np. zbieranie danych dla szantażu). Nie można wszakże podawać w wątpliwość istnienia usprawiedliwionego celu tylko z tego powodu, iż ma on - w całości lub części - charakter zarobkowy (...)" (J. Barta, P. Fajgielski, R. Markiewicz. Ochrona Danych Osobowych. Komentarz. LEX 2011, Wydanie V).

GIODO wskazał, że przedmiotem zarejestrowanej przez Spółkę działalności gospodarczej jest między innymi działalność portali internetowych, przetwarzanie danych, zarządzanie stronami internetowymi (hosting).

Wobec tego, w ocenie GIODO, opublikowanie przez Spółkę danych osobowych skarżącej - jako zgodne z przedmiotem działalności gospodarczej Spółki - znajduje swe oparcie w art. 23 ust. 1 pkt 5 ustawy (jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą).

Ponadto, zdaniem organu zakres danych osobowych skarżącej przetwarzanych przez Spółkę na stronie internetowej [...] jest uzasadniony dla rodzaju prowadzonej przez spółkę działalności komercyjnej związanej z przetwarzaniem danych i działalnością portali internetowych i adekwatny do rodzaju prowadzonej działalności w rozumieniu art. 26 ust. 1 pkt 3 ustawy. Organ powołał treść tego przepisu.

GIODO stwierdził, że przetwarzanie danych M. S. przez Spółkę nie narusza jej praw i wolności. Ustawodawca z pewnością nie miał na myśli "prawa do ochrony danych osobowych" czy też prawa do decydowania o przetwarzaniu informacji dotyczących danej osoby, gdyż chodzi tu o przesłankę legalizującą wkroczenie w sferę tych praw. Wskazuje się zatem, iż warunkiem dopuszczalności przetwarzania danych na gruncie powołanego przepisu jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności konstytucyjnych (por. J. Barta, P. Fajgielski, R. Markiewicz. Ochrona Danych Osobowych. Komentarz. Wydanie IV. Zakamycze 2007, str. 471). Zdaniem GIODO, mając na uwadze, iż dane osobowe skarżącej udostępniane na ww. stronie internetowej dotyczą wyłącznie życia zawodowego skarżącej, nie sposób uznać, iż doszło do naruszenia jej prawa do ochrony życia prywatnego, rodzinnego czy też prawa do decydowania o swoim życiu osobistym.

Organ powołując art. 32 ust. 1 pkt 7 u.o.d.o. stwierdził jednocześnie, że pełnomocnik skarżącej, zwracając się do Spółki z żądaniem usunięcia danych osobowych skarżącej ze strony internetowej [...] w żaden sposób nie wykazał szczególnej sytuacji, która mogłaby uzasadniać zaprzestanie przez Spółkę przetwarzania danych skarżącej w ww. sposób. GIODO stwierdził, iż skarżąca nie wykazała ważnej sytuacji uzasadniającej zaprzestanie przetwarzania jej danych,

o której mowa w ww. przepisie. Tym samym nie jest możliwe przyjęcie przez organ,

iż Spółka powinna usunąć jej dane w ww. zakresie z ww. strony internetowej.

GIODO podzielił też argumentację Spółki zawartą w piśmie z dnia [...] lipca

2015 r. Wskazał, że świadczona przez lekarza praca, w szczególności sposób jej wykonywania i uzyskane efekty, podlegają społecznej kontroli. Natomiast serwis internetowy umożliwiający użytkownikom zamieszczanie opinii i komentarzy dotyczących lekarzy jest jednym z narzędzi za pomocą, którego pacjenci mogą wykonywać ww. społeczną kontrolę.

M. S. we wniosku o ponowne rozpatrzenie sprawy nie zgodziła się z decyzją, wskazując, że nie została spełniona przesłanka z art. 23 ust. 1 pkt 5 u.o.d.o., a zastosowanie powinna znajdować przesłanka z art. 23 ust. 1 pkt 1, tj. zgoda osoby. Wskazała, że oceny wystawiane lekarzom przez osoby trzecie nie podlegają jakiejkolwiek weryfikacji i mogą wprowadzać w błąd użytkowników portalu. Pojawiają się informacje, których nie sposób zweryfikować. Zarzuciła, że Spółka nie wypełnia obowiązku z art. 26 ustawy, tj. zapewnienia poprawności danych.

GIODO decyzją z dnia [...] kwietnia 2016 r. nr [...], na podstawie art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy własną decyzję z dnia [...] stycznia 2016 r. W uzasadnieniu organ, powołując się, jak w pierwszej decyzji na regulamin, pismo pełnomocnika skarżącej do Spółki z dnia [...] grudnia 2014 r. i pismo Spółki do GIODO z dnia [...] lipca 2015 r., podtrzymał w całości swoje stanowisko, co do braku podstaw uwzględnienia wniosku skarżącej, przytaczając jak w pierwszej decyzji przepisy prawa i poglądy prezentowane w doktrynie.

Generalny Inspektor Ochrony Danych Osobowych ponownie wskazał, że zgodnie z informacją zawartą w Krajowym Rejestrze Sądowym przedmiotem zarejestrowanej przez Spółkę działalności gospodarczej jest między innymi działalność portali internetowych, przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność. Powyższe, ogólne określenie przedmiotu działalności Spółki doprecyzowuje regulamin korzystania z serwisu [...], z którego wynika, iż [...] Sp. z o. o. świadczy usługi elektroniczne na rzecz użytkowników ww. serwisu internetowego, polegające na umożliwieniu użytkownikom serwisu wymiany informacji, komentarzy i opinii na temat lekarzy i zakładów opieki. Przedmiotowy serwis internetowy w istocie umożliwia prowadzenie dyskusji pomiędzy pacjentami na temat świadczonych przez lekarzy usług medycznych.

Wobec powyższego w ocenie GIODO należy przyjąć, iż opublikowanie przez Spółkę danych osobowych skarżącej jest zgodne z przedmiotem działalności gospodarczej Spółki i znajduje swe oparcie w art. 23 ust. 1 pkt 5 ustawy. Cel przetwarzania, przez portal [...], danych osobowych skarżącej jest usprawiedliwiony wyżej opisaną działalnością Spółki. Przedmiotowa działalność nie jest w jakiejkolwiek mierze niezgodna z prawem, zasadami współżycia społecznego czy dobrymi obyczajami, została zarejestrowana przez sąd.

GIODO zawarł w decyzji ogólne stwierdzenie, że uniemożliwienie Spółce przetwarzania danych osobowych lekarzy w istocie uniemożliwiłoby prowadzenie działalności gospodarczej przez Spółkę [...] Sp. z o.o. w obecnej postaci.

W związku z powyższym, w ocenie organu przetwarzanie danych osobowych skarżącej przez ww. podmiot jest niezbędne dla realizacji prawnie usprawiedliwionych celów Spółki i nie narusza praw i wolności skarżącej (dane dotyczą bowiem wyłącznie życia zawodowego skarżącej).

Decyzja GIODO z dnia [...] kwietnia 2016 r. nr [...] stała się przedmiotem skargi M. S., reprezentowanej przez adwokata do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej i poprzedzającej ją decyzji oraz zasądzenie kosztów postępowania, pełnomocnik zarzucił:

I. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 7, art. 77, art. 80 oraz art. 107 § 3 k.p.a. poprzez brak wszechstronnego

i wnikliwego rozważenia materiału dowodowego sprawy oraz poczynienia istotnych w sprawie ustaleń, w szczególności dotyczących legalności przetwarzania przez administratora portalu "[...]" danych osobowych skarżącej, przede wszystkim z uwagi na komercyjny charakter portalu, jak również niezbadanie w dostatecznym stopniu podnoszonych w toku postępowania przez skarżącą okoliczności dotyczących braku możliwości weryfikacji prawdziwości wpisów oraz ich autorów oraz naruszenia dobrego imienia skarżącej w związku z tymi wpisami, jak również możliwości spełnienia przez administratora danych i zarazem właściciela portalu zadeklarowanego celu istnienia portalu z faktem komercyjnego charakteru portalu ukierunkowanego na osiągnięcie zysku;

II. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 23 ust. 1 pkt 5 u.o.d.o. poprzez jego błędną wykładnię skutkująca bezpodstawnym przyjęciem, że w niniejszej sprawie występuje przesłanka uprawniająca do przetwarzania przez administratora portalu "[...]" danych osobowych skarżącej bez jej zgody.

W uzasadnieniu pełnomocnik podniósł, że analiza zaskarżonej i poprzedzającej ją decyzji prowadzi do wniosku, że organ w sposób niedostatecznie wnikliwy dokonał oceny zgromadzonego w sprawie materiału dowodowego w kontekście zaistnienia przesłanki z art. 23 ust. 5 u.o.d.o. oraz okoliczności podnoszonych przez skarżącą, a wskazujących na możliwość naruszenia jej praw w związku z przetwarzaniem danych osobowych bez jej zgody. W istocie organ wydający zaskarżoną decyzję nie dokonał także należytego rozważenia wszystkich okoliczności koniecznych do rozważenia niezbędnych interesów skarżącej oraz administratora danych.

Zarzucił, że organ w toku postępowania w ogóle nie zbadał, czy jest możliwa należyta i rzetelna weryfikacja wpisów zamieszczanych na portalu, tak aby nie doszło właśnie do naruszenia prawnie chronionych interesów skarżącej (oraz innych znajdujących się na portalu bez swojej zgody lekarzy) oraz jej dobrego imienia. Sam administrator danych w ogóle nie wskazał przy tym szczegółowo, w jaki sposób weryfikacja wpisów jest prowadzona oraz jakie możliwości ma portal w celu zapobiegania zamieszczania wpisów nieprawdziwych, naruszających dobre imię lekarza. Co więcej, sam administrator przyznaje, że istnieje znaczne ryzyko (a wręcz pewność) zamieszczania na portalu informacji nieprawdziwych i oczerniających danego lekarza. Wskazano, że kontrola prawidłowego wykonywania zawodu lekarza jest już w sposób należyty sprawowana przez stosowne organy samorządu lekarskiego. Pełnomocnik podniósł, że nie ulega nadto wątpliwości, że przedmiotowy portal ma charakter stricte komercyjny i służy w istocie przede wszystkim celom gospodarczym, marketingowym, mającym zapewnić jego właścicielom jak najwyższe zyski pieniężne. GIODO nie wyjaśnił, czy tak zakreślona działalność administratora danych prowadzącego portal "[...]" w rzeczywistości da się pogodzić z celem zapewnienia społecznej kontroli usług medycznych świadczonych przez lekarzy i wymiany rzetelnych informacji na ich temat. Podnoszone powyżej okoliczności prowadzą w konsekwencji do wniosku, że nie doszło w istocie również do należytego zbadania spełnienia przesłanki z art. 23 ust. 1 pkt 5 u.o.d.o., pozwalającej na przetwarzanie przez właściciela portalu danych osobowych skarżącej bez jej zgody. Organ nie dokonał jakiegokolwiek wyważenia interesów administratora danych prowadzącego portal (spółki [...] Sp. z o.o.) z interesami skarżącej, w tym obrony jej dobrego imienia i prestiżu zawodowego.

Pełnomocnik zarzucił, że organ nie dokonał także zbadania możliwości wpływania na treść wpisów zamieszczanych na portalu i ich prostowania przez samą skarżącą. Istotnym w tym zakresie jest fakt, że skarżąca nie zawierała ze spółką [...] Sp. z o.o. jakiejkolwiek umowy cywilnoprawnej na prowadzenie swojego profilu na portalu. Ponadto, aby skarżąca mogła w jakikolwiek sposób korzystać z portalu i jego funkcji, w tym dotyczących przetwarzanymi przez spółkę danymi osobowymi, musi dokonać stosownej rejestracji. Organ nie zbadał przy tym w dostateczny sposób, czy rejestracja na portalu i korzystanie z niego mają charakter odpłatny czy tez nieodpłatny, a ponadto, jakich konkretnie czynności musiałaby dopełnić skarżąca, aby potencjalnie chociażby móc sprostować dane oraz informację na jej temat.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie, podtrzymując stanowisko zawarte w decyzjach. W ocenie organu zarzut naruszenia art. 7, 77 § 1, 80 i art. 107 § 3 k.p.a. nie jest zasadny. Wskazano, że Generalny Inspektor zebrał wyjaśnienia od Spółki, a także zbadał przesłanki dopuszczalności przetwarzania przez ww. portal danych osobowych Skarżącej. Mając na uwadze, iż dane osobowe skarżącej udostępniane na ww. stronie internetowej dotyczą wyłącznie życia zawodowego skarżącej, nie sposób uznać, iż doszło do naruszenia jej prawa do ochrony życia prywatnego, rodzinnego czy też prawa do decydowania o swoim życiu osobistym.

Na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 29 listopada 2016 r. pełnomocnik skarżącej poparł skargę. Reprezentujący GIODO radca prawny wniósł o oddalenie skargi. Reprezentujący Spółkę [...] Sp. z o.o. z siedzibą w [...] adwokat wniósł o oddalenie skargi. Pełnomocnik Spółki [...] Sp. z o.o. oświadczył, że Spółka nie weryfikuje opinii użytkowników (pacjentów), umieszcza je w takiej postaci, w jakiej są one przez pacjentów umieszczane na stronie [...]

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga jest zasadna.

W ocenie Sądu, w sprawie niniejszej, dotyczącej przetwarzania danych osobowych M. S., naruszone zostały przepisy postępowania, tj. przepis art. 7, art. 77 § 1, art. 80 i art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2016 r., poz. 23), zwanej dalej k.p.a.,

w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Nadto, wobec naruszenia powołanych przepisów, naruszony został także przepis art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135), zwanej dalej u.o.d.o., albowiem wobec nieprawidłowo przeprowadzonego postępowania nie zostało wykazane przez organ spełnienie przesłanki określonej w tym przepisie, jako podstawy przetwarzania danych osobowych skarżącej. Zarzuty skargi Sąd uznał zatem za zasadne.

Zgodnie z powołanym przez organ w podstawie prawnej decyzji przepisem

art. 12 pkt 2 u.o.d.o., do zadań Generalnego Inspektora należy w szczególności wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Wykonując to zadanie GIODO – w świetle przepisów powołanej ustawy – obowiązany jest dokonać oceny zgodności z prawem przetwarzania danych osobowych wnoszącego skargę. Rolą organu powołanego do spraw ochrony danych osobowych jest zatem – w każdej indywidualnej sprawie – przede wszystkim ustalenie, czy dane osobowe konkretnego skarżącego przetwarzane są zgodnie z prawem. Ocena w tym zakresie determinuje bowiem rodzaj rozstrzygnięcia organu. Pamiętać przy tym należy, że przez przetwarzanie danych rozumie się m.in. ich zbieranie, utrwalanie, opracowywanie, udostępnianie (art. 7 pkt 2 u.o.d.o.). Badanie, czy dane przetwarzane są zgodnie z prawem powinno opierać

się w pierwszej kolejności na dokonaniu przez GIODO – w ustalonym wcześniej

i niebudzącym wątpliwości stanie faktycznym – stwierdzenia, czy spełniona została jedna z przesłanek określonych w art. 23 ust. 1 pkt 1-5 u.o.d.o.

W rozpoznawanej sprawie, GIODO za podstawę przetwarzania przez Spółkę [...] Sp. z o.o. z siedzibą w [...] danych osobowych M. S.

w zakresie jej imienia, nazwiska, miejsc pracy i informacji dotyczących życia zawodowego (wykonywania zawodu lekarza) uznał przepis art. 23 ust. 1 pkt 5 u.o.d.o., zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne tylko wtedy gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Stosownie do art. 23 ust. 4 u.o.d.o., za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych; 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Zaznaczyć przy tym należy, że za dane osobowe w rozumieniu ustawy, zgodnie z jej art. 6 ust. 1, uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).

W doktrynie prezentowany jest pogląd, że użycie zwrotu "wszelkie informacje" służy podkreśleniu, że w grę wchodzą informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru. Nie ma znaczenia, w jakiej roli występuje

w danym przypadku osoba (np. członka rodziny, członka grupy zawodowej

czy przedsiębiorcy). Danymi osobowymi są zarówno informacje już rozpowszechnione lub opublikowane (zamieszczone w publikowanych materiałach), jak i w ogóle jeszcze nieujawnione. Charakter danych osobowych mają informacje "z różnych dziedzin życia", o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym,

o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających. (v. Barta Janusz, Ochrona danych osobowych. Komentarz, wyd. VI Opublikowano: LEX 2015). Charakter danych osobowych mają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, a także opinie na temat danej osoby.

Wszelkie przetwarzane przez Spółkę informacje dotyczące M. S.,

w tym dotyczące jej życia zawodowego stanowią zatem dane osobowe. Pamiętać należy przy tym, że zgodnie z art. 1 ust. 1 u.o.d.o., każdy ma prawo do ochrony dotyczących go danych osobowych. Stosownie zaś do art. 1 ust. 2 u.o.d.o., przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

GIODO uzasadniając zgodność z prawem przetwarzania przez Spółkę danych osobowych skarżącej na podstawie art. 23 ust. 1 pkt 5 u.o.d.o. powołał się na przedmiot działalności gospodarczej Spółki (wskazano, że jest to m.in. działalność portali internetowych, przetwarzanie danych, zarządzanie stronami internetowymi i podobna działalność) i stwierdził, że cel przetwarzania danych – publikowanie danych osobowych skarżącej w Internecie – jest usprawiedliwiony tą działalnością Spółki. GIODO uznał jednocześnie, że przetwarzanie danych skarżącej nie narusza jej praw

i wolności, bo dotyczy życia zawodowego. Nadto organ stwierdził, że świadczona przez lekarza praca, w szczególności sposób jej wykonywania i uzyskane efekty (GIODO nie sprecyzował jak rozumieć sformułowanie "uzyskane efekty"), podlegają społecznej kontroli.

Wyrażając to stanowisko i uznając jednocześnie, że nie ma podstaw do uwzględnienia wniosku M. S., organ powołany do spraw ochrony danych osobowych nie dokonał jednakże właściwie żadnych ustaleń stanu faktycznego, do czego zobowiązuje art. 7 k.p.a. Decyzja oparta jest na jednym piśmie Spółki [...] Sp. z o.o. stanowiącym odpowiedź na wezwanie GIODO, w którym Spółka podała m.in., że dane osobowe skarżącej zostały dodane przez anonimowego użytkownika, co nie zostało przez organ zweryfikowane. Organ nie zbadał, czy zbiór, w którym przetwarzane są dane osobowe M. S. (w tym dane dotyczące jej życia zawodowego) wykorzystywany jest w celu komercyjnym (a tym samym, czy w tym celu wykorzystywane są jej dane osobowe). Ma to o tyle istotne znaczenie,

że skarżąca, jak wynika z akt postępowania administracyjnego (było to bowiem podnoszone przez jej pełnomocnika przed GIODO), twierdzi, że nigdy nie zawierała ze Spółką [...] Sp. z o.o. żadnych umów o świadczenie na jej rzecz usług, nie logowała się w serwisie [...], nie akceptowała regulaminu tego portalu i nie wyrażała zgody na przetwarzanie jej danych osobowych przez Spółkę. GIODO rozpoznając sprawę nie wziął powyższego pod uwagę, przede wszystkim nie dokonał żadnych ustaleń stanu faktycznego w tym zakresie, czym naruszono art. 7 k.p.a. Zgodnie z tym przepisem w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.

Organ nie rozważył tych podnoszonych przez stronę okoliczności na gruncie całokształtu zapisów przedłożonego przez pełnomocnika wnioskodawczyni Regulaminu świadczenia usług drogą elektroniczną przez [...], czym naruszono przepis art. 77 § 1 k.p.a. Zgodnie z tym przepisem, organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy.

W znajdującym się w aktach postępowania administracyjnego Regulaminie świadczenia usług drogą elektroniczną przez [...], w § 7 ust. 1 znajduje

się zapis, że poprzez rejestrację i aktywację Konta następuje zawarcie umowy. Rejestracja Profesjonalisty (lekarza), oprócz danych wymaganych od Użytkownika, wymaga podania m.in. numeru PESEL (§ 7 ust. 6 regulaminu). Stosownie do § 7 ust. 9 regulaminu przetwarzanie danych osobowych Użytkownika i Profesjonalisty zawartych w formularzu rejestracyjnym oraz danych udostępnionych w utworzonym przez niego profilu odbywa się za jego zgodą wyrażoną przy rejestracji w Serwisie. Zgodnie z § 7 ust. 10 pkt 2 tego regulaminu, poprzez rejestrację w serwisie i aktywację konta Użytkownik (osoba fizyczna posiadająca pełną zdolność do czynności prawnych, która przez akceptację Regulaminu i przejście procedury rejestracyjnej uzyskuje dostęp do usług oferowanych przez usługodawcę), Profesjonalista (użytkownik będący m.in. lekarzem) lub Właściciel (status nadany Użytkownikowi, który jest osobą upoważnioną do zarządzania informacjami o placówce), wyraża zgodę na przetwarzanie danych osobowych zgodnie z postanowieniami niniejszego Regulaminu oraz w przypadku Profesjonalisty na ich prezentację w Profilu. Poprzez rejestrację w Serwisie i aktywację Konta następuje zawarcie umowy (§ 7 ust. 1 tego regulaminu). Profesjonalista, czyli lekarz, aby utworzyć swój Profil (zweryfikowany) musi dokonać rejestracji (§ 5 ust. 5 regulaminu). Na profilu zweryfikowanym Profesjonalista (lekarz) otrzymuje dodatkowe uprawnienia, w szczególności może odpowiadać na opinie wystawione przez Użytkowników. Umowa zostaje zawarta na czas nieoznaczony (§ 7 ust. 15).

Z przedstawionych wyżej zapisów regulaminu wynika, że dane osobowe przetwarzane są na podstawie art. 23 ust. 1 pkt 3 i art. 23 ust. 1 pkt 1 u.o.d.o. (na podstawie umowy i za zgodą m.in. lekarza), oczywiście po zarejestrowaniu w serwisie Spółki.

Skoro skarżąca wskazywała przed GIODO, że nie jest zainteresowana zawarciem umowy ze Spółką [...] Sp. z o.o. i nie chce świadczyć usług medycznych za pośrednictwem tej Spółki, wskazywała nadto, że dotychczas nie była stroną umowy ze Spółką, rozważenia przez GIODO wymagało, jaki – w tych okolicznościach – prawnie usprawiedliwiony cel uzasadnia przetwarzanie danych osobowych M. S. przez Spółkę. Fakt, że podmiot gospodarczy

w przedmiocie działalności ujął "działalność portali internetowych", czy "przetwarzanie danych osobowych" nie może być traktowane jako automatyczna przesłanka legalizująca przetwarzanie danych osobowych M. S. Przedmiot działalności określa tylko dopuszczalny rodzaj prowadzonej działalności gospodarczej. Nie stanowi zaś sam w sobie na gruncie u.o.d.o. podstawy do przetwarzania (zbierania), posługiwania się danymi osobowymi skarżącej (udostępniania ich, w tym publikowania w Internecie) i nie wypełnia sam przez się przesłanki z art. 23 ust. 1 pkt 5 u.o.d.o. Pogląd zaprezentowany przez GIODO w tym zakresie w decyzji przeczy idei ochrony danych osobowych. Zasadnie w tych okolicznościach skarżąca zarzuciła nadto, iż organ nie wyważył niezbędnych interesów skarżącej i administratora danych, czym naruszono przepis art. 80 k.p.a. (organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona) oraz sam przepis art. 23 ust. 1 pkt 5 u.o.d.o. Na konieczność wyważenia przeciwstawnych interesów, gdy mowa o przesłance prawnie usprawiedliwionego celu administratora danych, wielokrotnie w swoim orzecznictwie wskazywał Trybunał Sprawiedliwości (v. wyrok Trybunału Sprawiedliwości z dnia 13 maja 2014 r. C-131/12 pkt 74).

Kwestia wyważenia interesów stron (skarżącej i Spółki [...] Sp. z o.o.) nie może być dokonana bez uwzględnienia zapisów Regulaminu. Zgodnie z § 8 ust. 1 znajdującego się w aktach sprawy Regulaminu, Usługodawca (Spółka [...] Sp. z o.o.) nie ponosi odpowiedzialności za treść i formę materiałów i informacji zamieszczonych w Serwisie przez Użytkownika lub Profesjonalistę. Użytkownik lub Profesjonalista ponosi pełną odpowiedzialność za szkodę wywołaną jego działaniami

w serwisie, w szczególności podaniem nieprawdziwych danych (§ 8 ust. 2 regulaminu). W § 8 ust. 3 Regulaminu, Usługodawca zastrzegł zaś, że korzystanie z serwisu

i udostępnianych przez niego usług odbywa się na wyłączne ryzyko Użytkownika lub Profesjonalisty (lekarza), a wszelkie zamieszczone w nim informacje nie są objęte gwarancją co do ich wartości, przydatności, zupełności, kompletności czy użyteczności (rodzaje i zakres usług określone są w § 2 regulaminu). GIODO nie dokonał w tej sprawie żadnych rozważań w świetle zapisów regulaminu dotyczących sposobu przetwarzania danych osobowych skarżącej w zakresie istnienia prawnie usprawiedliwionego celu, czym naruszono przepis art. 77 i art. 80 k.p.a., a także

art. 107 § 3 k.p.a., albowiem uzasadnienie decyzji nie zawiera wskazania faktów, które organ uznał za udowodnione i dowodów na których się oparł. Organ nie dokonał wnikliwej i wszechstronnej oceny, czy przetwarzanie przez Spółkę danych osobowych M. S. nie narusza jej praw i wolności. Stwierdzenie organu zawarte

w decyzji w tym zakresie nie zostało poparte żadną analizą, a tym samym jest dowolne

i narusza art. 80 k.p.a. oraz art. 107 § 3 k.p.a.

Odnosząc się do stwierdzenia GIODO, że dane udostępniane na stronie internetowej dotyczą wyłącznie życia zawodowego skarżącej wskazania wymaga,

iż powyższe nie oznacza, że skarżąca pozbawiona jest ochrony. Przepis art. 30 Konstytucji Rzeczypospolitej Polskiej stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Przepis art. 47 Konstytucji RP zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, a także dobrego imienia. Zgodnie z art. 1 ust. 1 u.o.d.o., jak wskazano to już wyżej, każdy ma prawo do ochrony dotyczących go danych osobowych.

Wobec twierdzenia Spółki zawartego w piśmie z dnia [...] grudnia 2014 r. skierowanym do pełnomocnika skarżącej, że każda opinia pojawiająca się w serwisie jest sprawdzana i weryfikowana przez moderatorów portalu, a nadto pracownicy serwisu starają się sprawdzić, czy dokonywane przez użytkowników wpisy posiadają odpowiednią formę oraz wartość merytoryczną, GIODO winien rozważyć, czy na gruncie obowiązujących przepisów prawa uprawnione jest dokonywanie przez Spółkę [...] Sp. z o.o. (podmiot prowadzący działalność gospodarczą (a zatem zarobkową działalność usługową – art. 2 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2015 r., poz. 584)), oceny sposobu wykonywania przez M. S. zawodu lekarza (M. S. podaje, że nie jest Użytkownikiem portalu, nie jest stroną umowy ze Spółką). Uchybiając temu obowiązkowi organ naruszył art. 7 i art. 77 § 1 k.p.a. Wobec oświadczenia pełnomocnika Spółki złożonego na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 29 listopada 2016 r., że Spółka nie weryfikuje opinii o lekarzu, zadaniem organu będzie dokładne wyjaśnienie stanu faktycznego w tym zakresie w odniesieniu do danych osobowych M. S.

Ze znajdującego się w aktach sprawy Regulaminu wynika, że zastrzeżenia co do rzetelności opinii zawartych w serwisie zgłasza się bezpośrednio przy danej opinii za pomocą przycisku "zgłoś nadużycie" (§ 9 ust. 2 Regulaminu). Jednocześnie § 7 ust. 5 zdanie pierwsze Regulaminu stanowi, że usługodawca zapewnia Użytkownikom

i Profesjonalistom dostęp do własnych danych oraz umożliwia ich poprawianie

i uzupełnianie. Zdanie drugie stanowi zaś, że Usługodawca nie udostępnia danych osobom trzecim bez zgody Użytkownika lub Profesjonalisty, chyba że żąda tego uprawniony organ.

GIODO w postępowaniu administracyjnym nie dokonał żadnych ustaleń – w świetle treści regulaminu – czy M. S. bez dokonania rejestracji (a zatem formalnego zawarcia umowy ze Spółką) ma w istocie możliwość samodzielnego zgłoszenia nadużycia. Uchybieniem tym organ naruszył art. 7, art. 77 § 1 i art. 80 k.p.a. Organ nie zbadał też, czy skarżąca ma możliwość (nie będąc użytkownikiem serwisu) doprowadzenia do poprawienia swoich danych w sytuacji, gdy w jej ocenie są one nieprawdziwe.

Pamiętać należy, że zgodnie z art. 51 ust. 4 Konstytucji Rzeczypospolitej Polskiej, każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Samo poinformowanie przez administratora danych o uprawnieniach korekcyjnych względem zebranych danych – bez ustalenia, czy korekta ta jest faktycznie możliwa – nie stanowi o zgodności z prawem przetwarzania danych. Stanowi jedynie o wypełnieniu obowiązku informacyjnego wobec osoby, której dane są przetwarzane (art. 25 u.o.d.o.). Nadto, organ winien rozważyć, czy wobec spoczywającego na skarżącej jako lekarzu obowiązku zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu (art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. (t.j. Dz. U. z 2015 r., poz. 464 ze zm.), skarżąca ma istotnie rzeczywistą możliwość wykazania (Spółce, z którą nie wiąże ją – jak wskazywała – umowa) merytorycznej niepoprawności swoich danych osobowych (w tym informacji na swój temat jako lekarzu przedstawionych w opinii na stronie internetowej Serwisu).

W decyzji z dnia [...] stycznia 2016 r. GIODO stwierdził ogólnie, że świadczona przez lekarza praca, w szczególności sposób jej wykonywania i "uzyskane efekty" podlegają społecznej kontroli. GIODO nie odniósł powyższego do przetwarzania danych osobowych M. S. i nie wyjaśnił, jak rozumie pojęcie społecznej kontroli wykonywania zawodu przez M. S., jaki jest zakres i rola tej kontroli oraz co należy rozumieć pod pojęciem "uzyskanych efektów".

Warto wskazać, iż w orzecznictwie sądowoadministracyjnym wyrażony został pogląd, że tylko rejestr prowadzony przez właściwą okręgową izbę lekarską pełni zarówno funkcję informacyjną, jak też ochronną (v. wyrok WSA w Warszawie z dnia 29 stycznia 2014 r. sygn. akt II SA/Wa 1819/13, orzeczenia.nsa.gov.pl).

Ponownie rozpatrując sprawę GIODO dokona pełnych i niebudzących wątpliwości ustaleń stanu faktycznego w zakresie przetwarzania danych osobowych M. S. przez Spółkę [...] Sp. z o.o. Rozpatrując zebrany materiał dowodowy organ dokona ponownej oceny zgodności z prawem przetwarzania danych osobowych M. S. przez Spółkę [...] Sp. z o.o., z uwzględnieniem rozważań poczynionych przez Sąd wyżej oraz przy uwzględnieniu Regulaminu świadczenia usług drogą elektroniczną przez [...] w brzmieniu obowiązującym w dniu rozstrzygania tej sprawy przez organ.

Oceniając wszechstronnie zgromadzony materiał dowodowy, GIODO powoła

w uzasadnieniu decyzji fakty, które uznał za udowodnione i dowody, na których

się oparł. Wskaże przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. Decyzja nie może pozostawiać wątpliwości, co do zasadności przesłanek, którymi organ kierował się załatwiając sprawę w określony sposób (art. 11 k.p.a.).

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c i a ustawy z dnia 30 sierpnia 2002 r. – Prawo

o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2016 r., poz. 718 ze zm.) orzekł jak w punkcie 1 wyroku. W punkcie 2 wyroku Sąd orzekł na podstawie art. 200

w zw. z art. 205 powołanej ustawy.