Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Joanna Kube (spr.), Sędzia WSA Karolina Kisielewicz, Protokolant starszy specjalista Ewa Kielak po rozpoznaniu na rozprawie w dniu 6 października 2022 r. sprawy ze skargi Ministra [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2021 r. nr: [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] września 2021 r., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) w związku z art. 9 ust. 1 w związku z art. 5 ust. 2 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74

z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. L. na nieprawidłowości

w procesie przetwarzania jego danych osobowych przez Ministra Cyfryzacji, polegające na odmowie usunięcia jego danych osobowych przetwarzanych za pośrednictwem aplikacji "Kwarantanna domowa", nakazał:

Ministrowi Cyfryzacji usunięcie danych osobowych P. L. przetwarzanych za pośrednictwem aplikacji "Kwarantanna domowa" w zakresie ID Obywatela - techniczny identyfikator Obywatela; imię; nazwisko; numer telefonu; deklarowany adres pobytu; lokalizacja, w tym deklarowana lokalizacja odbywania kwarantanny oraz lokalizacja wyznaczona przez system w czasie wykonywania zadania weryfikacji; data końca kwarantanny.

P. L. (dalej: "skarżący") skierował do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Ministra Cyfryzacji, polegające na odmowie usunięcia jego danych osobowych przetwarzanych za pośrednictwem aplikacji "Kwarantanna domowa".

W przedmiotowej sprawie ustalono, że skarżący przebywał na kwarantannie

w okresie od [...] do [...] grudnia 2020 r., korzystając w jej trakcie z aplikacji "Kwarantanna domowa". Jako przesłankę aktualnego przetwarzania danych osobowych skarżącego w aplikacji "Kwarantanna domowa" Minister Cyfryzacji powołał przedawnienie roszczeń z upływem 6 lat, o których mowa w art. 118 Kodeksu cywilnego, który jest liczony od momentu dezaktywacji konta skarżącego

w systemie, tj. [...] grudnia 2020 r., a zatem art. 9 ust. 2 lit. f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy). Prezes UODO stwierdził, że podziela poglądy wyrażone w dotychczasowym orzecznictwie o niedopuszczalności przetwarzania danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości (vide: wyrok Wojewódzkiego Sądu Administracyjnego z dnia 11 stycznia 2017, sygn. akt II SA/Wa 1574/16, wyrok WSA w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16).

W przedmiotowej sprawie Minister Cyfryzacji nie wykazał na jakiej podstawie uznał przypuszczenie powstania roszczeń za uzasadnione, ani nie wykazał by obecnie toczyło się postępowanie, w którym Minister Cyfryzacji broni lub dochodzi roszczeń. Co więcej, Minister Cyfryzacji nie wykazał żadnej innej przesłanki, która pozwalałaby na przetwarzanie danych osobowych skarżącego, zwłaszcza, że skarżący nie wyraził zgody na przetwarzanie jego danych po zakończeniu przez niego kwarantanny.

Biorąc pod uwagę stanowisko EROD oraz art. 5 ust. 1 lit. b RODO, zgodnie

z którym dane można przetwarzać ściśle do tego celu, których dane dotyczą,

a w przedmiotowej sprawie kwarantanna skarżącego zakończona została [...] grudnia 2019 r., a co za tym idzie dezaktualizacji uległ cel przetwarzania danych określony w art. 7e specustawy oraz brak jest innej podstawy do przetwarzania danych, aktualne przetwarzanie danych osobowych Skarżącego przez Ministra Cyfryzacji za pośrednictwem aplikacji "Kwarantanna domowa" odbywa się z naruszeniem art. 5 ust. 1 lit. a i lit. b oraz art. 6 ust. 1 RODO.

Organ wskazał, że podstawy prawnej do przetwarzania danych osobowych nie może stanowić regulamin aplikacji "Kwarantanna domowa", który wskazuje dodatkowo inne niż wskazane w art. 7e specustawy cele przetwarzania danych, bowiem nie może on zastąpić prawa powszechnie obowiązującego.

Postępowanie administracyjne prowadzone przez Prezesa UODO w oparciu

o przepisy o ochronie danych osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO.

W przedmiotowej sprawie, w ocenie Prezesa UODO, Minister Cyfryzacji nieprawidłowo przetwarza dane osobowe skarżącego w zakresie ID Obywatela - techniczny identyfikator Obywatela; imię; nazwisko; numer telefonu; deklarowany adres pobytu; lokalizacja, w tym deklarowana lokalizacja odbywania kwarantanny oraz lokalizacja wyznaczona przez system w czasie wykonywania zadania weryfikacji; data końca kwarantanny, z uwagi na niewykazanie przez Ministra Cyfryzacji legitymowania się przesłanką legalizującą przetwarzanie danych osobowych skarżącego w przedmiotowym zakresie po zakończeniu przez niego kwarantanny domowej.

Wobec powyższego nakazano usunięcie danych osobowych skarżącego

w tym zakresie.

Minister Cyfryzacji, nie zgadzając się z decyzją Prezesa UODO nr [...] z dnia [...] września 2021 r., skierował skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Zaskarżonej decyzji zarzucił:

1) naruszenie prawa procesowego, tj. art. 7 w związku z art. 77 i art. 80 k.p.a. polegające na niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazaniem skarżącemu usunięcia danych osobowych uczestnika;

2) naruszenie prawa materialnego, tj.:

a) art. 7e ust. 1 ustawy COVID-19 w zw. z art. 6 ust. 1 lit. e i 9 ust. 2 lit. i RODO

w zw. z art. 117 1 § 2, art. 118 i art. 119 polegającego na uznaniu, że przechowywanie danych uczestnika przez okres przedawnienia roszczeń jest sprzeczne z przesłankami legalizacyjnymi przetwarzanie danych osobowych wskazanych w art. 7e ust. 1 ustawy COVID w zw. 6 ust. 1 lit. e i art. 9 ust. 2 lit. i RODO;

b) art. 9 ust. 1 w związku z art. 5 ust. 2 oraz art. 58 ust. 2 lit. c RODO poprzez ich niewłaściwe zastosowanie polegające na nakazaniu Ministrowi Cyfryzacji usunięcia danych osobowych uczestnika przetwarzanych za pośrednictwem aplikacji "Kwarantanna domowa''.

Mając na uwadze powyższe wniósł o uchylenie zaskarżonej decyzji w całości

i zasądzenie od organu na rzecz Ministra Cyfryzacji zwrotu kosztów postępowania,

w tym kosztów zastępstwa procesowego, wg norm przepisanych.

Minister Cyfryzacji, uzasadniając skargę stwierdził, że po zakończeniu kwarantanny przetwarzanie danych osobowych użytkowników aplikacji Kwarantanna Domowa (w tym uczestnika) odbywa się jedynie w celu określonym w powszechnie obowiązujących przepisach prawa, to jest zgodnie z art. 118 k.c. Przytoczony przepis prawa wskazuje także dopuszczalny okres, przez który administrator może przetwarzać dane osobowe. Wbrew prezentowanemu stanowisku PUODO zapewnienie okresu dla ewentualnych roszczeń, które są przedmiotem rozważania

w przywołanym przepisie, jest jak najbardziej uzasadnione. Przykładowo, roszczenie może powstać w związku ze zdarzeniem związanym z okresem podlegania obowiązkowi kwarantanny. Zatem, ewentualne roszczenie może wnieść każda ze stron, która zostanie dotknięta zdarzeniem związanym z funkcjonowaniem aplikacji Kwarantanna Domowa. Roszczenie takie może zostać wniesione do właściwego sądu powszechnego w terminie przewidzianym przepisami prawa powszechnie obowiązującego.

W ocenie Ministra Cyfryzacji, nie jest możliwe wskazanie zaistnienia konkretnego zdarzenia, które stanowić będzie podstawę do dochodzenia roszczenia, już na wstępnym etapie danego procesu przetwarzania danych osobowych. Roszczenie może powstać także po zakończeniu obowiązku odbycia kwarantanny oraz korzystania z aplikacji Kwarantanna Domowa. Jednakże, może mieć bezpośredni związek z jej przebiegiem. Wówczas niezbędne może okazać się udowodnienie okoliczności związanych z użytkowaniem aplikacji podczas kwarantanny, w odniesieniu do konkretnej osoby fizycznej, korzystającej z aplikacji Kwarantanna Domowa. A co za tym idzie konieczne będzie również przetwarzanie danych osobowych dotyczących tej osoby.

Minister wskazał, że planując proces przetwarzania danych osobowych, przyjął wyraźnie określone cele przetwarzania, mające swoje uzasadnienie

w powszechnie obowiązujących przepisach prawa. Administrator zastosował adekwatne podstawy prawne, określił minimalny zakres danych osobowych niezbędny do realizacji przyjętych celów oraz określił niezbędny czas przetwarzania danych osobowych. Wszystkie działania były realizowane przy zastosowaniu zasad określonych w art. 5 RODO oraz przesłanek legalizujących przetwarzanie danych osobowych wskazanych w art. 6 ust. 1 lit. e i 9 ust. 2 lit. i RODO.

Zdaniem Ministra, w realiach przedmiotowej sprawy nie można mówić

o "przetwarzaniu na zapas", skoro istnieją roszczenia, które mogą być dochodzone wobec administratora danych. Wszczęcie przez uczestnika postępowania przed Prezesem UODO sugeruje wprost, że uczestnik uważa, że przetwarzanie jej danych odbywało się z naruszeniem prawa, co bardzo jasno wskazuje na realną możliwość dochodzenia przez nią roszczeń przed sądem.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.

Wojewódzki Sąd Administracyjny w Warszawie zważył co następuje.

Skarga nie zasługuje na uwzględnienie, ponieważ Sąd, przeprowadzając kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej, stosownie do art. 1 § 1 i § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329 z późn. zm., dalej: "p.p.s.a."), nie stwierdził, aby Prezes Urzędu, wydając decyzję z dnia [...] grudnia 2021 r., naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu.

Przepisem uprawniającym administratorów do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Natomiast przesłanki legalności przetwarzania szczególnych kategorii danych osobowych, w tym danych osobowych dotyczących zdrowia, określone zostały w art. 9 ust. 2 RODO. Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator wykaże spełnienie innej

z wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO przesłanek.

Zgodnie zaś z art. 5 ust. 1 lit. a, lit. b i lit. c RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość), zbierane

w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej

w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych

w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu") oraz adekwatne, stosowne oraz ograniczone do tego, co

niezbędne do celów, w których są przetwarzane ("minimalizacja danych").

Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych w sprawie aplikacji wspierających walkę z COVID-19, omawiane aplikacje mają stanowić narzędzie umożliwiające wykonywanie konkretnych zadań, tj. identyfikacji i poddaniu testom oraz udzieleniu porad osobom, które miały kontakt z osobami zarażonymi COV]D-19 (zob. Pismo EROD z 14.04.2020 r. dot. projektu wskazówek KE w sprawie aplikacji wspierających walkę z COVID-19). Z uwagi na ekstraordynaryjny charakter środków służących do walki z pandemią należy cele te pojmować wąsko.

Kwestie związane z przetwarzaniem danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-I9 regulowane są

w Polsce w przepisach szczególnych, w tym przede wszystkim w ustawie z dnia

2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-l9, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374 ze zm.), tzw. specustawa. Wskazane przepisy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO, a korespondują z RODO. Zgodnie z art. 7e ust. 1 specustawy osoba podlegająca na podstawie przepisów o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi obowiązkowej kwarantannie w związku z podejrzeniem zakażenia wirusem SARS-CoV-2 instaluje na swoim urządzeniu mobilnym udostępnione przez ministra właściwego do spraw informatyzacji oprogramowanie służące do potwierdzania realizacji obowiązku, przestrzegania kwarantanny oraz używa go do potwierdzania realizacji tego obowiązku. Tym samym przetwarzanie danych osobowych osób przebywających na kwarantannie w ramach aplikacji "Kwarantanna domowa" odbywa się na podstawie art. 9 ust. 2 lit. i RODO w związku z art. 7e ust. 1 specustawy, tj. ze względu na niezbędność przetwarzania danych dla ważnego interesu publicznego w dziedzinie zdrowia publicznego, takich jak m.in. ochrona przed transgranicznymi zagrożeniami zdrowotnymi.

W przedmiotowej sprawie ustalono, że skarżący przebywał na kwarantannie

w okresie od [...] do [...] grudnia 2020 r., korzystając w jej trakcie z aplikacji "Kwarantanna domowa". Jako przesłankę aktualnego przetwarzania danych osobowych skarżącego w aplikacji "Kwarantanna domowa" Minister Cyfryzacji powołał przedawnienie roszczeń z upływem 6 lat, o których mowa w art. 118 Kodeksu cywilnego, który jest liczony od momentu dezaktywacji konta skarżącego w systemie, tj. [...] grudnia 2020 r., a zatem art. 9 ust. 2 lit. f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy).

Zdaniem Sądu, organ prawidłowo w przedmiotowej sprawie przyjął, że Minister Cyfryzacji przetwarza dane osobowe niejako "na zapas", ponieważ nie wykazał na jakiej podstawie uznał przypuszczenie powstania roszczeń za uzasadnione, ani nie wykazał by obecnie toczyło się postępowanie, w którym Minister Cyfryzacji broni lub dochodzi roszczeń związanych z funkcjonowaniem aplikacji.

Minister Cyfryzacji nie wykazał też żadnej innej przesłanki, która pozwalałaby na przetwarzanie danych osobowych skarżącego, zwłaszcza, że skarżący nie wyraził zgody na przetwarzanie jego danych po zakończeniu przez niego kwarantanny.

Biorąc pod uwagę stanowisko EROD oraz art. 5 ust. 1 lit. b RODO, zgodnie

z którym dane można przetwarzać ściśle do tego celu, których dane dotyczą,

a w przedmiotowej sprawie kwarantanna skarżącego zakończona została [...] grudnia 2019 r., a co za tym idzie dezaktualizacji uległ cel przetwarzania danych określony

w art. 7e specustawy oraz brak jest innej podstawy do przetwarzania danych, aktualne przetwarzanie danych osobowych skarżącego przez Ministra Cyfryzacji za pośrednictwem aplikacji "Kwarantanna domowa" odbywa się z naruszeniem art. 5 ust. 1 lit. a i lit. b oraz art. 6 ust. 1 RODO.

Przy czym, podstawy prawnej do przetwarzania danych osobowych nie może stanowić regulamin aplikacji "Kwarantanna domowa", który wskazuje dodatkowo inne niż wskazane w art. 7e specustawy cele przetwarzania danych, bowiem nie może on zastąpić prawa powszechnie obowiązującego.

Skoro w przedmiotowej sprawie, Minister Cyfryzacji nie legitymuje się przesłanką legalizującą przetwarzanie danych osobowych skarżącego po zakończeniu przez niego kwarantanny domowej w zakresie ID Obywatela - techniczny identyfikator Obywatela; imię; nazwisko; numer telefonu; deklarowany adres pobytu; lokalizacja, w tym deklarowana lokalizacja odbywania kwarantanny oraz lokalizacja wyznaczona przez system, to Prezes UODO prawidłowo nakazał usunięcia danych osobowych skarżącego w tym zakresie.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.