Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Sławomir Antoniuk, Sędzia WSA Janusz Walawski (spr.), , po rozpoznaniu na posiedzeniu niejawnym w dniu 16 listopada 2020 r. sprawy ze skargi Specjalistycznego [...] Zespołu Opieki Zdrowotnej im. [...] w J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. nr [...] w przedmiocie nakazu usunięcia danych osobowych oddala skargę

J. A., zwany dalej "skarżącym", skierował do Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych na dysku twardym komputera służbowego przez Specjalistyczny Psychiatryczny Zespół Opieki Zdrowotnej im. [...] w [...] , (dalej jako: "SP ZOZ")

Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § k.p.a. oraz art. art. 6 ust. 1 i art. 9 ust. 2 w zw. z art 5 ust. 1 lit. c) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. UE. L.2016.119.1 i Dz. UE. L.2018.127.2), w dniu [...] lutego 2020 r. 2020 r. wydał decyzję nr[...] , którą nakazał SP ZOZ usunięcie danych osobowych skarżącego, przechowywanych na dysku twardym komputera służbowego, z którego korzystał w trakcie swojego zatrudnienia, w terminie 30 dni od dnia doręczenia niniejszej decyzji.

Prezes UODO w uzasadnieniu decyzji przedstawił podjęte w postępowaniu administracyjnym czynności i ustalony na ich podstawie stan faktyczny.

Według organu przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO. Zawarty w tym przepisie katalog przesłanek jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzanie danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z przesłanek art. 6 ust. 1 RODO.

O legalności przetwarzania danych "wrażliwych" przesądza art. 9 ust. 2 RODO zgodnie z którym przetwarzanie danych jest dopuszczalne m.in. wtedy gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sady (lit. f) tego przepisu).

W niniejszej sprawie nie istniała żadna z przesłanek z art. 6 ust. 1 i art. 9 ust. 2 RODO uprawniających SP ZOZ do przetwarzania danych osobowych skarżącego zawartych na dysku twardym komputera służbowego po ustaniu jego zatrudnienia. Powoływanie się przez SP ZOZ na przetwarzanie danych osobowych skarżącego w celu obrony przed ewentualnymi roszczeniami nie znajduje żadnego prawnego uzasadnienia i nie stanowi przesłanki uprawniającej przetwarzania tych danych.

Organ podziela poglądy wyrażone w dotychczasowym orzecznictwie o niedopuszczalności przetwarzania danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia hipotetycznego roszczenia w przyszłości.

Z ustalonego stanu faktycznego wynika, że przetwarzanie danych osobowych skarżącego znajdujących się dysku twardym komputera służbowego przez SPZOZ po ustaniu stosunku pracy stanowi naruszenie art. 5 ust. 1 lit. e), art. 6 ust. 1, art. 9 ust. 2, art. 17 ust. 1 lit. a) i b) RODO.

Specjalistyczny Psychiatryczny Zespół Opieki Zdrowotnej im. [...] w [...], reprezentowany przez profesjonalnego pełnomocnika, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] lutego 2020 r.

Pełnomocnik SPZOZ we wniesionej skardze zarzucił organowi, że wydając zaskarżona decyzję naruszył następujące przepisy prawa procesowego i materialnego:

1) art. 6 k.p.a. w zw. z art. 4 Europejskiego Kodeksu Dobrej Praktyki Administracyjnej (Dz.U. UE.C z 2011 r. Nr 285, str 3), poprzez wydanie decyzji, która nakłada na stronę skarżącą obowiązek dokonania czynności, które narażają ją na odpowiedzialność karnomaterialną (karę) oraz cywilnomaterialną, co łącznie w dalszej kolejności implikuje konieczność stwierdzenia nieważności decyzji administracyjnej w oparciu o art. 156 § 1 pkt 6. k.p.a. i w sposób istotny wpływa na ewentualne prawa strony skarżącej w odrębnych postępowaniach;

2) art. 7 w zw. z art. 8 § 1 w zw. z art. 77 § 1 k.p.a., poprzez brak dokładnego wyjaśnienia stanu faktycznego sprawy;

3) art. 11 k.p.a. w kontekście całościowych naruszeń przedstawionych powyżej;

4) art. 107 § 1 pkt 3 k.p.a., poprzez brak oznaczenia adresata w komparycji decyzji, jak również brak oznaczenia adresata decyzji w rozdzielniku, co warunkuje twierdzenie, że zaskarżona decyzja jest bezsprzecznie wadliwa względnie, że w sprawie nie wydano ważnej decyzji administracyjnej;

5) art. 107 § 2 w zw. z art. 2a k.p.a., poprzez brak przedłożenia stronie (osobom wchodzącym w skład reprezentacji skarżącego) klauzuli informacyjnej sporządzonej w sposób zgodny z art. 13 lub 14 RODO;

6) art. 5 ust. 1 li c) RODO, poprzez;

a) brak wskazania w jaki sposób przechowywanie danych osobowych J. A. przez stronę skarżącą celem jego ewentualnego występowania z roszczeniami lub obroną przed roszczeniami narusza zasadę minimalizacji, w przypadku, gdy strona skarżąca w przypadku usunięcia ww. danych osobowych utraci możliwość przytłaczania potencjalnych dowodów w postępowaniach przygotowawczych, sądowych i administracyjnych;

b) stwierdzenie, że ZP ZOZ dokonał szczegółowego opisu plików znajdujących się na dysku twardym urządzenia, jak również wskazał, który z plików ma charakter prywatny – kiedy SP ZOZ wprost wskazał w piśmie z dnia 20 maja 2019 r., że SP ZOZ nie mógł w sposób jednoznaczny rozdzielić plików prywatnych od służbowych, jak również opisanie plików zostało dokonane w oparciu o rozumowanie pracownika SP ZOZ przy uwzględnieniu nazw plików – przy jednoczesnym podkreśleniu przez SP ZOZ, że nie analizowano zawartości dysku, czynności na kopii danych zakończyły się wraz z procesem zaszyfrowania;

7) art. 6 ust. 1 lit. f) i art. 9 ust. 2 lit. f) RODO, poprzez pominięcie, iż;

a) SP ZOZ posiada uzasadniony interes prawny (jako administrator) do przetwarzania danych osobowych J. A. w zakresie występowania z roszczeniami lub obrony przed roszczeniami,

b) zawarta z J. A. ugoda sądowa (ujęta w protokole z rozprawy z dnia [...] grudnia 2017 r. sygn. Akt [...]) wyczerpała roszczenia stron związanych wyłącznie ze sposobem rozwiązania umowy o pracę. Nie wyczerpała jednak innych roszczeń stron, w tym ewentualnych roszczeń odszkodowawczych.

Pełnomocnik SP ZOZ podnosząc powyższe zarzuty wniósł o;

1) uchylenie zaskarżonej decyzji i umorzenie postępowania administracyjnego w całości względnie jej uchylenie oraz orzeczenie, co do istoty;

2) rozpoznanie sprawy w trybie uproszczonym;

3) zasądzenie od organu na rzecz ZP ZOZ zwrotu kosztów postępowania.

Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji oraz odniósł się szczegółowo do zarzutów podniesionych w skardze odmawiając im zasadności.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r. poz. 2167), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych powyżej przepisów Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - Dz. U. z 2019 r. poz. 2325 - dalej p.p.s.a.).

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Wyjaśnienia wymaga, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.), ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "RODO"). Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz.U.UE.L2016.119.1), natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).

Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 ustawy o ochronie danych osobowych (2018 r.) organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych.

Na wstępie wyjaśnić należy stronie skarżącej, że Sąd dokonał tylko i wyłącznie kontroli zaskarżonej decyzji, czy organ ją wydając nie naruszył w sposób istoty przepisów postępowania administracyjnego i przepisów prawa materialnego, a nie ewentualnych, przyszłych i niepewnych skutków jakie mogą nastąpić w związku z wejściem jej do obrotu prawnego.

Powyższe wyjaśnienie jest niezbędne w świetle stanowiska strony skarżącej prezentowane podczas prowadzonego postępowania administracyjnego zakończonego zaskarżona decyzją i zarzutami podniesionymi w skardze.

Przechodząc na grunt rozpoznawanej sprawy zasadnym jest przytoczenie treści niektórych przepisów z RODO, które miały w sprawie zastosowanie.

Zgodnie z art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2 ze zm.), przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Natomiast art. 57 ust. 1 lit. f) rozporządzenia stanowi, że bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.

Zgodnie z art. 58 ust. 1 rozporządzenia, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

b) prowadzenie postępowań w formie audytów ochrony danych;

c) dokonywanie przeglądu udzielonych certyfikacji na mocy art. 42 ust. 7;

d) zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;

e) uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

f) uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Zgodnie za art. 4 pkt 1-3 RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; 2) "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; 3) "ograniczenie przetwarzania" oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Zgodnie z art. 9 1. RODO zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. 3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. 4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Zgodnie z art. 17 ust. 1 RODO, Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje (art. 17 ust. 2).

Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: a) do korzystania z prawa do wolności wypowiedzi i informacji; b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub e) do ustalenia, dochodzenia lub obrony roszczeń (art. 17 ust. 3).

Oceniając zasadność skargi w świetle przytoczonych powyżej przepisów i ustalonego stanu faktycznego Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja nie narusza prawa.

Zdaniem Sądu, organ zasadnie uznał, że przetwarzanie danych osobowych przez SP ZOZ J. A. nie jest obecnie niezbędne dla wypełnienia prawnie usprawiedliwionych celów, a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania jego danych osobowy tym bardziej w sytuacji gdy została z nim rozwiązana umowa o pracę.

Podkreślić należy, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Gdyby uznać za zasadną argumentację SP ZOZ to mogłoby to doprowadzić do absurdalnych wniosków, że administrator jest uprawniony dłużej przetwarzać dane osoby, byłego pracownika z którą nie łączy umowa o pracę. Odwoływanie się w tym przypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie były pracownik mógłby potencjalnie wytoczyć byłemu pracodawcy na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego nie znajduje żadnego logicznego, ani prawnego uzasadnienia.

Gdyby SP ZOZ zaprzestał przetwarzać dane osobowe byłego pracownika w momencie, gdy została zawarta ugoda związana z rozwiązaniem umowy o pracę, nie doszło do naruszenia, a J. A. nie musiałby domagać się usunięcia tych danych, które przechowywał na dysku twardym komputera służbowego, z którego korzystał w trakcie zatrudnienia, a także kierować skargi do Prezesa UODO na nieuprawnione przetwarzanie jego danych osobowych przez SP ZOZ

W sytuacji bowiem, gdy doszło do rozwiązania umowy o pracę i zawarcia ugody, dalsze przetwarzanie przez SP ZOZ danych osobowych byłego pracownika nie znajdowało oparcia w powyżej przytoczonych przepisach prawa.

Reasumując stwierdzić należy, iż w świetle zebranego w sprawie materiału dowodowego organ prawidłowo ustalił, że w niniejszej sprawie nie wystąpiła żadna z przesłanek legalizujących przetwarzanie danych osobowych J. A., określonych w przepisach RODO (art. 6 ust. 1 i art. 9 ust. 2).

Zasadnie w tej sytuacji Prezes UODO nakazał SP ZOZ usunięcie danych osobowych J. A. przechowywanych na dysku twardym komputera służbowego.

Powyższe rozważania prowadzą do wniosku, iż zaskarżona decyzja PUODO odpowiada prawu, a podniesione w skardze zarzuty naruszenia przepisów prawa procesowego i materialnego w ocenie Sądu są niezasadne.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a. orzekł, jak w sentencji wyroku.