UZASADNIENIE
Zaskarżoną decyzją z dnia […] czerwca 2019 r., nr […], Prezes Urzędu Ochrony Danych Osobowych (dalej także: “Prezes UODO” lub “organ nadzorczy”), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2018 r., poz. 2096 ze zm. – dalej także: “k.p.a.”) oraz art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm. – dalej także: “u.o.d.o. z 1997 r.”) w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm. – dalej także: “u.o.d.o.”), a także art. 57 ust. 1 lit. a i f oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. EU L 119 z dnia 4 maja 2016 r., str. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, str. 2 ze zm. dalej także: “RODO”), po przeprowadzeniu postępowania administracyjnego w sprawie zainicjowanej skargą wniesioną przez Zakład Ubezpieczeń Społecznych, reprezentowany przez Dyrektora Oddziału ZUS w […] (dalej także: “skarżący ZUS” lub “strona skarżąca”) na odmowę udostępnienia przez Politechnikę […] im. […] z siedzibą w […] danych osobowych D,P. w zakresie posiadania przez niego w okresie od dnia […] lipca 2014 r. do dnia […] maja 2015 r. statusu studenta Politechniki […] – odmówił uwzględnienia wniosku.
Zaskarżona decyzja została wydana w następującym stanie faktycznym.
W piśmie z dnia […] listopada 2016 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Zakładu Ubezpieczeń Społecznych, reprezentowanego przez Dyrektora Oddziału ZUS w […] na odmowę udostępnienia przez Politechnikę […] im. […] z siedzibą w […] danych osobowych D.P. w zakresie posiadania przez niego w okresie od dnia […] lipca 2014 r. do dnia […] maja 2015 r. statusu studenta Politechniki […].
W uzasadnieniu skargi skarżący ZUS wskazał, iż wspomniane dane osobowe są niezbędne do weryfikacji prawa do renty rodzinnej według przepisów ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (tekst jednolity Dz. U. z 2018 r., poz. 1270 ze zm. – zwana dalej także: “ustawą o emeryturach i rentach z FUS”), a ZUS nie może ich otrzymać od samego D.P.. W skardze zaznaczono, iż przekazane informacje będą dowodem w postępowaniu administracyjnym w zakresie weryfikacji uprawnień do renty rodzinnej.
W kolejnym piśmie skarżący ZUS, powołując się na przepisy art. 101 i art. 138 ustawy o emeryturach i rentach z FUS oraz na art. 7 i art. 77 k.p.a., podniósł, że – ze względu na prośbę wnioskodawcy D.P. o wyłączenie go z grona uprawnionych do renty rodzinnej (treść nie wskazywała przyczyny wyłączenia, nie wskazywała również miesiąca, od którego należało wnioskodawcę wyłączyć z grona uprawnionych do tej renty), a także zważywszy na fakt, iż zainteresowany ewidentnie unikał kontaktu z organem rentowym, uniemożliwiając tym samym wyjaśnienie wątpliwości co do przebiegu jego nauki – wystąpił do ww. uczelni w celu zweryfikowania, czy rencista kontynuował naukę przed dniem […] czerwca 2015 r. Strona skarżąca zauważyła, że ustalenia te pozwoliłyby zweryfikować, czy okoliczności powodujące ustanie prawa do renty nie wystąpiły już przed tym dniem, tj. czy D.P. posiadał status studenta i zasadnie pobierał rentę rodzinną do dnia […] maja 2015 r.
Z wyjaśnień strony skarżącej wynika, że D.P. w dniu […] czerwca 2014 r. złożył wniosek o wznowienie renty rodzinnej, w którym oświadczył, że od dnia 1 października 2011 r. jest studentem Politechniki […]. W konsekwencji wniósł o przedłużenie prawa do renty rodzinnej, załączając wystawione przez Politechnikę zaświadczenie z dnia […] czerwca 2014 r. o odbywaniu 3,5 letnich studiów niestacjonarnych pierwszego stopnia (inżynierskich) na kierunku […]. W zaświadczeniu wskazano etap studiów: 1 rok, semestr 2 (semestr letni 2013/2014), datę rozpoczęcia studiów: 1 października 2011, a także planowany termin ukończenia studiów: 31 marca 2017 r.
W wyniku rozpatrzenia powyższego wniosku ZUS decyzją z dnia […] lipca 2014 r. przyznał wnioskodawcy rentę rodzinną na okres od dnia […] czerwca 2014 r. do dnia […] sierpnia 2014 r., a następnie w decyzji z dnia […] września 2014 r. wskazał, że przelicza od dnia […] czerwca 2014 r., tj. od miesiąca, w którym zgłoszono wniosek, rentę rodzinną dla D.P. do dnia […] marca 2017 r. W obu decyzjach w pkt XIII ust. 1 pouczenia uprawniony do renty rodzinnej został zobowiązany do powiadomienia – po ukończeniu 16 roku życia – o zaprzestaniu uczęszczania do szkoły-uczelni, a w razie kontynuowania nauki – do nadesłania zaświadczenia ze szkoły-uczelni z podaniem terminu programowego jej ukończenia.
W dniu […] maja 2015 r. D.P, złożył wniosek do ZUS o wyłączenie go z grona osób uprawnionych do renty rodzinnej.
Decyzją ZUS z dnia […] maja 2015 r. wstrzymano wypłatę renty od dnia […] czerwca 2015 r.
ZUS wskazał, że – z uwagi na brak wiedzy, czy rezygnacja z uprawnień do tej renty nie była spowodowana przerwaniem nauki, tj. czy renta rodzinna nie była wypłacana mimo okoliczności powodujących ustanie do niej prawa – pismem z dnia […] maja 2015 r. zwrócił się do D.P. o potwierdzenie faktu kontynuowania nauki w szkole wyższej w okresie od lipca 2014 r. do dnia […] maja 2015 r. Organ wyznaczył jednocześnie termin 14 dni od otrzymania pisma, w którym oczekiwać będzie na przedłożenie stosownego zaświadczenia z uczelni wyższej.
Następnie, wobec braku odpowiedzi ze strony D.P., ZUS pismem z dnia […] czerwca 2015 r. zwrócił się do Politechniki […] o wyjaśnienie, “czy w roku akademickim 2014/2015 (od lipca 2014 do maja 2015 r.) Pan D.P. (…) był słuchaczem na kierunku: […]. W przypadku przerwania nauki prosimy o podanie daty i przyczyn jej zaprzestania”.
Ustosunkowując się do powyższego wezwania, Politechnika […] w piśmie z dnia […] lipca 2015 r. odmówiła udostępnienia ww. danych z powodu braku podstawy prawnej do udostępniania danych. Wskazano, że uczelnia udostępnia dane osobowe swoich pracowników i studentów, jeżeli osoba, której dane dotyczą wyraziła na to zgodę bądź też udostępnienie danych osobowych wynika wprost z przepisów prawa. Jednocześnie, uczelnia wskazała, że każdy student ma możliwość otrzymania z właściwego kierunku studiów zaświadczenia zawierającego informacje o toku studiów.
W tej sytuacji, jak wynika z wyjaśnień strony skarżącej, pismem z dnia […] lipca 2015 r. ZUS ponownie zwrócił się do D.P. o potwierdzenie faktu kontynuowania nauki w szkole wyższej w okresie od lipca 2014 r. do dnia […] maja 2015 r. Jednocześnie ZUS uprzedził, że w przypadku nieprzedłożenia oczekiwanego dokumentu w terminie 14 dni, zostanie świadczeniobiorcy naliczona nadpłata za cały okres.
Powyższa korespondencja nie została podjęta w terminie, lecz zwrócona do ZUS.
W związku z powyższym, skarżący ZUS wnioskiem z dnia […] września 2015 r. ponownie zwrócił się do Politechniki […] o udostępnienie danych osobowych D.P. poprzez udzielnie informacji, czy od […] lipca 2014 r. do maja 2015 r. był on studentem Politechniki […] oraz – w przypadku przerwania nauki – o podanie daty tej okoliczności. Jako podstawę prawną wniosku ZUS wskazał przepisy art. 67 i art. 68 ustawy o emeryturach i rentach z FUS, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a także art. 68 ust. 1 pkt 1b ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (tekst jednolity Dz. U. z 2019 r., poz. 300 ze zm. – dalej także: “u.s.u.s.”). ZUS wskazał jednocześnie, iż powyższa informacja jest niezbędna w celu weryfikacji prawa do renty rodzinnej.
Ustosunkowując się do powyższego wezwania, Politechnika […] w piśmie z dnia […] października 2015 r. ponownie odmówiła stronie skarżącej udostępnienia ww. danych, powtarzając poprzednią argumentację o braku podstaw do przekazania spornych danych osobowych.
W tej sytuacji, ZUS ponownie wystąpił do Politechniki […] z wnioskiem z dnia […] maja 2016 r., zmieniając w podstawie prawnej swojego żądania przepis art. 23 ust. 1 pkt 2 na art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i dodając jednocześnie przepisy art. 7 i art. 77 k.p.a.
Odpowiadając na powyższe pismo ZUS, Politechnika […] w piśmie z dnia […] czerwca 2016 r. ponownie odmówiła udostępnienia wnioskowanych danych, powtarzając swoją poprzednią argumentację.
W związku z wniesioną skargą Prezes Urzędu Ochrony Danych Osobowych przeprowadził stosowne postępowanie wyjaśniające, w wyniku którego zgromadził odpowiedni materiał dowodowy, ustalając stan faktyczny konieczny do wydania rozstrzygnięcia.
W piśmie z dnia […] kwietnia 2018 r. organ nadzorczy zwrócił się przede wszystkim do Rektora Politechniki […] z prośbą o przedstawienie szczegółowych wyjaśnień dotyczących zarzutów zawartych we wniesionej skardze.
Ustosunkowując się do powyższego wezwania organu nadzorczego, Rektor Politechniki […] w piśmie z dnia […] maja 2018 r. wyjaśnił, iż uczelnia przetwarza dane osobowe D.P. na podstawie regulacji prawnych zawartych w ustawie z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (tekst jednolity Dz. U. z 2017 r., poz. 2183 ze zm.) w celu prowadzenia dokumentacji przebiegu studiów, zgodnie z rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów (Dz. U. z 2016 r., poz. 1554). Rektor Politechniki […] wskazał ponadto, że uczelnia odmówiła udostępnienia żądanych przez ZUS danych osobowych w związku z brakiem podstawy prawnej. W ocenie Politechniki […], powołane we wnioskach ZUS przepisy prawa “nie odnoszą się do obowiązku udostępnienia przez Politechnikę żądanych informacji (…) wskazują bowiem jedynie osoby uprawnione do otrzymania renty rodzinnej (…) [oraz] zakres obowiązków ZUS”.
Przed wydaniem decyzji, organ nadzorczy poinformował stronę skarżącą o tym, że został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej, pouczając ją jednocześnie o prawach wynikających zarówno z przepisu art. 10 § 1 k.p.a., jak i art. 73 § 1 k.p.a.
W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych – działając na podstawie art. 104 § 1 k.p.a. oraz art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także art. 57 ust. 1 lit. a i f oraz art. 6 ust. 1 RODO – wydał w dniu […] czerwca 2019 r. decyzję nr […], w której odmówił uwzględnienia wniosku skarżącego ZUS zawartego w jego skardze z dnia […] listopada 2016 r.
W uzasadnieniu wydanej decyzji Prezes UODO zauważył na wstępie, że w świetle art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych (ust. 1) na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (ust. 2). Czynności dokonane w postępowaniach, o których mowa w ust. 1, pozostają skuteczne (ust. 3). Prezes UODO wskazał jednocześnie, że ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych – zgodnie z jej art. 176 – weszła w życie z dniem 25 maja 2018 r. Z kolei, jak podniósł organ nadzorczy, od dnia 25 maja 2018 r. ma zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Mając powyższe na względzie, organ nadzorczy wskazał, że niniejsze postępowanie – wszczęte i niezakończone przed dniem 25 maja 2018 r. – prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zakresie dotyczącym przepisów regulujących procedurę administracyjną, zaś w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych – na podstawie RODO.
Przechodząc do oceny niniejszej sprawy, organ nadzorczy zauważył, że przedmiotem postępowania administracyjnego jest odmowa udostępnienia ZUS przez Politechnikę […] danych osobowych D.P. w zakresie posiadania przez niego w okresie od lipca 2014 r. do maja 2015 r. statusu studenta Politechniki […].
Prezes PUODO wskazał, że zasada zgodności z prawem została uregulowana w art. 5 ust. 1 lit. a RODO, który stanowi, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”).
Z kolei, jak podniósł organ nadzorczy, przepis art. 6 RODO uszczegóławia i nadaje skonkretyzowaną normatywną treść ww. zasadzie.
Organ nadzorczy stwierdził, że z uwagi na konstytucyjnie uregulowaną zasadę legalizmu, według której organy władzy publicznej działają na podstawie i w granicach prawa, w niniejszej sprawie istotne znaczenie ma art. 6 ust. 1 lit. c i e RODO. Organ wskazał bowiem, że z przepisów tych wynika, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim przetwarzanie – jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), a także gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).
Mając powyższe na względzie, Prezes UODO zauważył, że zgodnie z art. 68 ust. 1 pkt 1 lit. b ustawy o systemie ubezpieczeń społecznych, do zakresu działania ZUS należy realizacja przepisów o ubezpieczeniach społecznych, a w szczególności ustalanie uprawnień do świadczeń z ubezpieczeń społecznych oraz wypłacanie tych świadczeń, chyba że na mocy odrębnych przepisów obowiązki te wykonują płatnicy składek.
Organ nadzorczy, powołując się na brzemiennie stosownych przepisów ustawy o emeryturach i rentach z FUS, opisał sytuację prawną związaną z rentą rodzinną uzyskaną przez D.P. na okres od dnia […] czerwca 2014 r. do dnia […] marca 2017 r., czyli do daty podanej w zaświadczeniu Politechniki […], jako programowy termin zakończenia studiów. Organ nadzorczy zauważył, że wobec wniosku D.P. z dnia […] maja 2015 r. o wyłączenie go z kręgu osób uprawnionych do renty rodzinnej, ZUS – mając na względzie art. 101 ustawy o emeryturach i rentach z FUS, chciał ustalić kiedy ustało prawo tego świadczeniobiorcy do świadczeń z tytułu renty rodzinnej. Organ nadzorczy wskazał bowiem, że w świetle art. 134 ust. 1 pkt 1 i 2 cyt. ustawy, wypłatę świadczenia wstrzymuje się, jeżeli: powstaną okoliczności uzasadniające zawieszenie prawa do świadczeń lub ustanie tego prawa (pkt 1) lub osoba pobierająca świadczenia, mimo pouczenia lub żądania organu rentowego, nie przedłoży dowodów stwierdzających dalsze istnienie prawa do świadczeń (pkt 2). Jednocześnie, jak podniósł organ nadzorczy, art. 134 ust. 2 pkt 2 ww. ustawy stanowi, że wstrzymanie wypłaty świadczeń następuje poczynając od miesiąca, w którym została wydana decyzja o wstrzymaniu wypłaty w przypadkach, o których mowa w ust. 1 pkt 1-4, albo od następnego miesiąca, jeżeli wcześniejsze wstrzymanie wypłaty nie było możliwe.
W tej sytuacji, jak wskazał Prezes UODO, z uwagi na brak wiedzy, czy rezygnacja przez D.P. z uprawnień do renty nie była spowodowana przerwaniem nauki, a więc czy renta rodzinna nie była wypłacana mimo okoliczności powodujących ustanie do niej prawa, skarżący ZUS pismami z dnia […] maja 2015 r. i […] lipca 2015 r. zwrócił się tej osoby z wnioskiem o potwierdzenie faktu kontynuowania nauki w szkole wyższej w okresie od lipca 2014 r. do dnia […] maja 2015 r., albowiem – w świetle art. 138 ust. ustawy o emeryturach i rentach z FUS – osoba, która nienależnie pobrała świadczenia, jest obowiązana do ich zwrotu.
Organ nadzorczy zauważył, że przepis art. 80 ustawy o systemie ubezpieczeń społecznych stanowi, że w celu ustalenia prawa do świadczeń oraz ich wysokości ubezpieczeni zobowiązani są do: 1) przedstawiania stanów faktycznych mających wpływ na prawo lub wysokość świadczeń; 2) informowania o wszelkich zmianach mających wpływ na świadczenie; 3) przedkładania na żądanie środków dowodowych.
Pomimo powyższego przepisu, a także pomimo wyraźnego zobowiązania zawartego w pkt XIII ust. 1 pouczenia w obu decyzjach wydanych przez ZUS w przedmiocie przyznania renty rodzinnej, D.P. nie odpowiedział na pisma ZUS. Dlatego organ rentowy zwrócił się trzykrotnie do Politechniki […] o udostępnienie danych osobowych D.P. w zakresie informacji, czy od dnia […] lipca 2014 r. do dnia […] maja 2015 r, był on studentem Politechniki […], a w przypadku przerwania nauki o podanie daty tej okoliczności.
Prezes UODO zwrócił uwagę, że art. 122 ust. 1 ustawy o emeryturach i rentach z FUS stanowi, że organy administracji rządowej, samorządowej i pracodawcy są zobowiązane do udzielania organom rentowym pomocy i informacji w sprawach świadczeń przewidzianych w ustawie.
W tej sytuacji, organ nadzorczy podkreślił, że przepis art. 122 ust. 1 cyt. ustawy wśród podmiotów, które są zobowiązane udzielać na rzecz ZUS informacji, które mają znaczenie m.in. dla weryfikacji uprawnień do świadczeń przewidzianych w tej ustawie, nie zostały wymienione szkoły wyższe.
Mając powyższe na względzie, Prezes UODO stwierdził, że podziela stanowisko wyrażone w wyjaśnieniach Rektora Politechniki […] złożonych w toku niniejszego postępowania, że przepisy prawa powołane we wnioskach ZUS nie kreują po stronie Politechniki […] obowiązku udostępnienia żądanych przez ZUS informacji.
Organ nadzorczy zaznaczył jednocześnie, że pomimo, iż obowiązek przeprowadzenia postępowania co do wszystkich istotnych okoliczności w sprawie renty rodzinnej spoczywa na ZUS, jednak uznać należy, że nie zwalnia to jednocześnie osoby uprawnionej do świadczenia od współdziałania w realizacji tego obowiązku, co wprost wynika z art. 80 ustawy o systemie ubezpieczeń społecznych, a także z pouczenia zawartego w decyzjach ZUS wydanych w przedmiocie przyznania renty rodzinnej. Ponadto, jak podniósł organ nadzorczy, w świetle art. 82 ustawy o systemie ubezpieczeń społecznych, w przypadku, gdy ubezpieczony utrudnia możliwość wyjaśnienia wszystkich okoliczności sprawy, Zakład Ubezpieczeń Społecznych może, w drodze decyzji, wstrzymać wypłatę świadczenia lub zawiesić postępowanie do chwili podjęcia współpracy. W tym miejscu, organ nadzorczy zauważył jednocześnie, że ponownie zwracając się do D.P. pismem z dnia […] lipca 2015 r. o potwierdzenie faktu kontynuowania nauki w szkole wyższej w okresie od lipca 2014 r. do dnia […] maja 2015 r., ZUS wyraźnie zastrzegł, że “W przypadku nieprzedłożenia oczekiwanego dokumentu w terminie 14 dni, zostanie Panu naliczona nadpłata za cały okres”.
W świetle przedstawionych okoliczności sprawy oraz powołanych przepisów prawa, Prezes Urzędu Ochrony Danych Osobowych stwierdził w konsekwencji, że brak jest podstaw do uwzględnienia skargi ZUS na odmowę udostępnienia przez Politechnikę […] danych osobowych D.P. w zakresie posiadania przez niego w okresie od lipca 2014 r. do maja 2015 r. statusu studenta Politechniki […].
W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych uznał, iż należy rozstrzygnąć, jak w sentencji decyzji.
W piśmie z dnia […] lipca 2019 r. skarżący ZUS, reprezentowany przez radcę prawnego, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia […] czerwca 2019 r.
Wnosząc o uchylenie w całości zaskarżonej decyzji Prezesa UODO, a także o zasądzenie od organu na rzecz strony skarżącej zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, ZUS zarzucił organowi nadzorczemu:
1. błędną wykładnię art. 6 ust. 1 lit. c i lit. e rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), w związku z art. 67, art 68 i art.138 ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych oraz art. 7 i art. 77 k.p.a.;
2. niewłaściwe zastosowanie art. 80 i art. 82 ustawy o systemie ubezpieczeń społecznych;
3. naruszenie art. 80 k.p.a. – poprzez niewłaściwą ocenę zebranego w sprawie materiału dowodowego.
W uzasadnieniu skargi strona skarżąca wskazała na wstępie, że przedmiotowa informacja, o którą ZUS wystąpił do Politechniki […], jest jej niezbędna celem ustalenia zasadności pobierania przez D.P. renty rodzinnej, do której osoba ta miała prawo wyłącznie w okresie posiadania statusu studenta.
Skarżący ZUS zarzucił, że organ nadzorczy niezasadnie przyjął w przedmiotowej sprawie, że brak jest przepisów prawa uprawniających stronę skarżącą do uzyskania przedmiotowych danych osobowych od Politechniki […] jako administratora danych osobowych.
Zdaniem strony skarżącej, przepisami uprawniającymi ZUS do uzyskania wspomnianych danych są przepisy art. 6 ust. 1 lit. c i lit. e RODO, a także art. 67, art. 68 i art. 138 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, jak również przepisy art.7 i art. 77 k.p.a.
Skarżący ZUS wskazał, że przepisy art. 67 i art. 68 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych określają kiedy i komu przysługuje renta rodzinna, zaś art 138 tej ustawy wskazuje, kiedy te świadczenia są nienależnie pobrane.
Strona skarżąca zauważyła, że organ rentowy ma obowiązek weryfikacji spełnienia warunków do pobierania renty rodzinnej i zbierania dowodów na tę okoliczność, a także – w razie zaistnienia takich okoliczności – ma obowiązek orzec o nienależnie pobranych świadczeniach i obowiązku ich zwrotu.
W tym celu, jak wskazała strona skarżąca, ZUS może przetwarzać dane osobowe niezbędne dla ustalenia tych okoliczności.
Strona skarżąca podniosła, że przepis art 6 ust. 1 lit. c RODO stanowi, że przetwarzanie jest zgodne z prawem, jeżeli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Z kolei, art. 6 ust. 1 lit. e RODO stanowi, że przetwarzanie jest zgodne z prawem, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Jednocześnie, strona skarżąca zauważyła, że zgodnie z Motywem 45 Preambuły do RODO, jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej podstawę przetwarzania powinno stanowić prawo Unii Europejskiej lub prawo państwa członkowskiego.
Strona skarżąca zauważył, że RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Według skarżącego ZUS, wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
Strona skarżąca wskazała ponadto, że prawo Unii Europejskiej lub prawo państwa członkowskiego powinno określać także cel przetwarzania.
Zdaniem strony skarżącej, w przedmiotowej sprawie wszystkie powyższe warunki zostały spełnione, albowiem przepisy ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych oraz regulacje zawarte w k.p.a. określają zarówno cel przetwarzania, jak i obowiązek wykonywania przez stronę skarżącą zadań związanych z przyznaniem renty rodzinnej i weryfikacją prawa do niej w celu ustalenia, czy była pobierana należnie, ewentualnie stwierdzenie nienależnego jej pobierania.
Jednocześnie, strona skarżąca podkreśliła, że przetwarzanie w zakresie okresu posiadania statusu studenta przez osobę, która pobrała rentę rodzinną, od którego zależy prawo do renty, jest dokonywane w interesie publicznym dla właściwego i zgodnego z prawem wydatkowania środków z Funduszu Ubezpieczeń Społecznych.
Mając powyższe na względzie, skarżący ZUS uznał, że zaskarżona decyzja Prezesa UODO odmawiająca uwzględnienia wniosku strony skarżącej o zobowiązanie Politechniki […] do przekazania wnioskowanych danych osobowych niezbędnych do zweryfikowania prawa do renty rodzinnej – jest błędna, albowiem narusza prawo.
Skarżący ZUS zarzucił, że organ nadzorczy błędnie zinterpretował przepisy RODO, w szczególności art. 6 ust. 1 lit. c i lit. e tego rozporządzenia w związku z przepisami ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych oraz k.p.a.
Ponadto, w ocenie strony skarżącej, Prezes UODO niewłaściwe zastosował w przedmiotowej sprawie przepisy art. 80 i art. 82 ustawy o systemie ubezpieczeń społecznych, albowiem – według ZUS – w tej sprawie nie miały one zastosowania, gdyż skarżący ZUS już wcześniej w związku z wnioskiem osoby pobierającej rentę rodzinną wstrzymał jej wypłatę od czerwca 2015 r.( do przodu).
Strona skarżąca zarzuciła, że organ nadzorczy w uzasadnieniu zaskarżonej decyzji w sposób zupełnie nieuprawniony wskazał skarżącemu ZUS, że w razie braku współdziałania osoby, nie musi prowadzić postępowania dowodowego w zakresie posiadania statusu studenta w okresie kiedy renta rodzinna była pobierana. Według strony skarżącej, jest to założenie błędne. W tym przypadku, jak zauważyła strona skarżąca, ZUS ma prawo i obowiązek weryfikowania prawa do świadczenia i prowadzenia postępowania dowodowego w celu jednoznacznego ustalenia, czy dana osoba zasadnie pobierała rentę rodzinną, czy też prawo do niej ustało wcześniej i pobrała nienależnie rentę rodzinną.
Mając powyższe na względzie, strona skarżąca stwierdziła, że – wbrew stanowisku organu nadzorczego – ZUS, działając na podstawie art. 6 ust. 1 lit. c i lit. e RODO w związku z art. 67 i art 68 oraz art.138 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, a także art. 7 i art. 77 k.p.a., jest uprawiony do przetwarzania danych osobowych o okresie, przez który osoba pobierająca rentę rodzinną ma status studenta, a ponadto, ma prawo pozyskiwać dane osobowe od administratora danych, który takimi danymi dysponuje, czyli w tym przypadku od Politechniki […]. Jednocześnie, strona skarżąca uznała, że Politechnika […] nie miała podstaw do odmowy udostępnienia takich danych skarżącemu ZUS, co organ nadzorczy winien potwierdzić w spornej decyzji.
W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Ustosunkowując się do zarzutów strony skarżącej, Prezes UODO stwierdził, że – w świetle art. 122 ust. 1 ustawy o emeryturach i rentach z FUS – wśród podmiotów, które są zobowiązane udzielać na rzecz ZUS informacji, które mają znaczenie m.in. dla weryfikacji uprawnień do świadczeń przewidzianych w tej ustawie, nie zostały wymienione szkoły wyższe. W tej sytuacji, Prezes UODO stwierdził, że nie ma podstaw do uwzględnienia skargi ZUS na odmowę udostępnienia przez Politechnikę […] danych osobowych D.P. w zakresie posiadania przez niego w okresie od lipca 2014 r. do maja 2015 r. statusu studenta tej uczelni wyższej.
W piśmie procesowym z dnia […] września 2019 r. Politechnika […], reprezentowana przez radcę prawnego, wnosząc o oddalenie skargi ZUS, jako niezasadnej, przedstawiła dodatkowe stanowisko w sprawie, które – w jej ocenie – potwierdza zasadność działania tej uczelni wyższej.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2019 r., poz. 2167 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – tekst jednolity Dz. U. z 2019 r., poz. 2325, dalej także: “P.p.s.a.”).
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy, którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
Należy zauważyć, że zgodnie z zasadą pierwszeństwa, prawo Unii Europejskiej ma wartość nadrzędną nad prawem krajowym państw członkowskich Unii Europejskiej. Nie ulega wątpliwości, że zasada pierwszeństwa dotyczy wszystkich aktów wspólnotowych, które mają moc wiążącą. W konsekwencji, państwa członkowskie UE nie mogą więc stosować przepisu krajowego, który jest niezgodny z prawem UE, gdyż zasada pierwszeństwa gwarantuje jednolitą ochronę prawną obywateli na całym terytorium UE. Jednocześnie, nie ulega wątpliwości, że sądy krajowe muszą czuwać nad przestrzeganiem zasady pierwszeństwa.
Warto również zwrócić uwagę na zasadę bezpośredniego skutku prawa UE, która umożliwia podmiotom indywidualnym powoływanie się bezpośrednio na prawo unijne przed sądami i to niezależnie od tego, czy w prawie krajowym istnieją podobne regulacje prawne. W ten sposób zasada bezpośredniego skutku gwarantuje stosowanie i skuteczność prawa unijnego w krajach UE.
Zasada bezpośredniego skutku dotyczy nie tylko prawa pierwotnego zawartego w Traktatach UE, ale także aktów prawa wtórnego, a więc aktów przyjętych przez instytucje Unii Europejskiej na podstawie wspomnianego prawa traktatowego. W tym miejscu, należy jednak wyraźnie zauważyć, że zakres bezpośredniego skutku zależy od rodzaju danego aktu. W świetle zarówno przepisów traktatowych, jak i dotychczasowego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, pełny skutek bezpośredni mają przepisy rozporządzeń, które są bezpośrednio stosowane w państwach członkowskich UE.
W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia […] czerwca 2019 r., zobowiązany był zbadać również jej zgodność z przepisami prawa europejskiego, w tym przede wszystkim regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane także: “RODO”; publikowane /w:/ Dz. Urz. UE L 119 z dnia 4 maja 2016 r. oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, str. 2 ze zm.).
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Zakładu Ubezpieczeń Społecznych nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia […] czerwca 2019 r., nr […] – nie narusza obowiązujących przepisów prawa.
Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję z dnia […] czerwca 2019 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej decyzji.
Przede wszystkim, przyjąć należy, iż odmawiając uwzględnienia wniosku zawartego w inicjującej postępowanie administracyjne skardze Zakładu Ubezpieczeń Społecznych z dnia […] listopada 2016 r., Prezes Urzędu Ochrony Danych Osobowych nie naruszył obowiązujących przepisów, albowiem – wbrew zarzutom strony skarżącej – prawidłowo przyjął, że w niniejszej sprawie zachodzi sytuacja, w której brak było podstawy prawnej do zobowiązania przez organ nadzorczy innego podmiotu – Politechniki […], jako administratora danych osobowych D.P., do udostępnienia żądanych przez stronę skarżącą danych dotyczących wspomnianej osoby fizycznej poprzez udzielnie Zakładowi Ubezpieczeń Społecznych Oddział w […] informacji w zakresie posiadania przez tą osobę statusu studenta Politechniki […] w okresie od dnia […] lipca 2014 r. do dnia […] maja 2015 r.
Ponadto, w wyniku przeprowadzenia analizy stanowiska organu nadzorczego zaprezentowanego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że – wbrew zarzutom skargi – Prezes UODO, wydając w dniu […] czerwca 2019 r. sporne rozstrzygnięcie, nie dopuścił się – mogącego mieć zasadniczy wpływ na wynik sprawy – naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.
W działaniu Prezesa Urzędu Ochrony Danych Osobowych, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego.
Ponadto, Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej.
W konsekwencji, zdaniem Sądu, organ nadzorczy nie dopuścił się również naruszenia przepisów prawa materialnego, w tym przede wszystkim mających kluczowe znaczenie dla rozstrzygnięcia niniejszej sprawy przepisów art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c i lit. e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Odmawiając uwzględnienia wniosku strony skarżącej, Prezes UODO nie naruszył również regulacji prawnych zawartych w przepisach art. 55-58 RODO.
Sądu stwierdził ponadto, że – wbrew sugestiom strony skarżącej – organ nadzorczy właściwie zinterpretował również przywołane przez skarżący ZUS przepisy ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, w szczególności art. 122 ust. 1 tej ustawy, a także ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, w szczególności art. 80 i art. 82 tej ustawy.
Tym samym, Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję administracyjną – nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.
Przechodząc do merytorycznej oceny legalności spornej decyzji z dnia […] czerwca 2019 r., należy na wstępie wyraźnie wskazać, że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
Nie ulega wątpliwości, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.
Jednocześnie, państwom członkowskim Unii Europejskiej pozostawiono jednak pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.
Ze wskazanych wyżej przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., iż procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.
Art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych stanowi, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej “postępowaniem”, jest prowadzone przez Prezesa Urzędu.
Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.
Użyte w art. 60 u.o.d.o. określenie “naruszenie przepisów o ochronie danych osobowych” ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.
Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.
Należy wprawdzie zauważyć, że w niniejszej sprawie – z uwagi na brzmienie przepisu art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – sporne postępowanie, jako wszczęte i niezakończone przed dniem 25 maja 2018 r., było prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, a później przez Prezesa UODO na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego, niemniej kluczowe dla rozstrzygnięcia legalności procesu przetwarzania danych osobowych były przede wszystkim regulacje prawne zawarte w RODO.
Zdaniem Sądu, nie ulega wątpliwości, że – niezależnie, które przepisy proceduralne mają zastosowanie w danej sprawie – uznać należy, iż związanie rygorami procedury administracyjnej oznacza, że tak czy inaczej Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.
Przedmiotem skargi, o której mowa w art. 57 ust. 1 lit. f RODO, może być na przykład brak dbałości administratora o merytoryczną poprawność przetwarzanych danych, przetwarzanie tych danych w innym celu niż ten, dla którego zostały zebrane, bezpodstawne nieudostępnianie danych. Skarga może dotyczyć również podejrzenia przetwarzania danych przez osobę nieuprawnioną.
Jeżeli zatem określona osoba zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Taka sytuacja miała miejsce w rozpoznawanej sprawie, z tą istotną różnicą, iż ze skargą do organu nadzorczego nie wystąpiła osoba, której dane dotyczą i są przetwarzane (D.P.), lecz podmiot (skarżący ZUS), który domagał się od administratora danych (Politechniki […]) udostępnienia danych osobowych wspomnianej osoby fizycznej.
Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę Zakładu Ubezpieczeń Społecznych, reprezentowanego przez Dyrektora Oddziału ZUS w […], z dnia […] listopada 2016 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych i czy było ono zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO, dokonać oceny, czy zachodzi jakakolwiek podstawa prawna do nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO i w konsekwencji do uwzględniania skargi ZUS poprzez zobowiązanie administratora danych (Politechnikę […]) do udostępnienia danych wskazanej wyżej osoby fizycznej.
Należy zauważyć, iż w świetle przepisu art. 4 pkt 2 RODO, przez “przetwarzanie” rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu […] listopada 2016 r. skargę Zakładu Ubezpieczeń Społecznych, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływana przez skarżący ZUS okoliczność rzekomego bezprawnego przetwarzania danych osobowych D.P., polegającego na rzekomo nieuzasadnionej odmowie ich ujawnienia stronie skarżącej przez administratora tych danych (Politechnikę […]), narusza w jakikolwiek sposób prawa strony skarżącej wynikające z przepisów RODO, bądź też – co w świetle prawa ochrony danych osobowych dużo ważniejsze – narusza prawa osoby, której sporne dane dotyczą.
Z uwagi na fakt, że zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.
Organ nadzorczy, rozstrzygając sprawę zainicjowaną wspomnianą skargą ZUS, zobowiązany był więc uwzględnić fakt, iż dowodami w postępowaniu mogą być w szczególności dokumenty oraz zeznania świadków, ale także opinie biegłych, czy też oględziny (art. 75 § 1 k.p.a.).
Celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnie wskazanego adresata. Jednym ze stadiów postępowania jest stadium wyjaśniające – pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.
Mając na względzie powyższe, należy zauważyć, że Prezes UODO, przeprowadzając postępowanie wyjaśniające, uzyskał stosowne wyjaśnienia zarówno od strony skarżącej, jak i podmiotu (administratora spornych danych osobowych), który – według zarzutów skarżącego ZUS – miał rzekomo nienależnie przetwarzać dane osobowe D.P., poprzez ich niezasadną odmowę udostępnienia stronie skarżącej.
Warto zauważyć, że w niniejszej sprawie właściwie poza sporem jest to, iż skarżący ZUS – z uwagi na brak wiedzy o okolicznościach istotnych dla ustalenia uprawnień D.P. do tej renty rodzinnej – zwrócił się pismem z dnia […] maja 2015 r. do D.P. o potwierdzenie faktu kontynuowania nauki w szkole wyższej w okresie od dnia […] lipca 2014 r. do dnia […] maja 2015 r., zaś – wobec braku odpowiedzi ze strony tej osoby fizycznej – pismem z dnia […] czerwca 2015 r. zwrócił się do Politechniki […], jako administratora danych osobowych dotyczących wspomnianej osoby, o udostępnienie danych osobowych D.P. w zakresie posiadania przez niego w okresie od dnia […] lipca 2014 r. do dnia […] maja 2015 r. statusu studenta Politechniki […].
Z kolei, administrator danych – Politechnik […], ustosunkowując się do powyższego wezwania, w piśmie z dnia […] lipca 2015 r. odmówiła udostępnienia ww. danych z powodu braku podstawy prawnej do udostępniania danych, wskazując, że uczelnia udostępnia dane osobowe swoich pracowników i studentów, jeżeli osoba, której dane dotyczą wyraziła na to zgodę, bądź też udostępnienie danych osobowych wynika wprost z przepisów prawa.
Jak wynika z akt administracyjnych niniejszej sprawy, strona skarżąca wywodzi swoje prawo do żądania udostępnienia spornych danych i jednocześnie wskazuje, jako podstawę naruszeń strony przeciwnej, przepisy zarówno prawa krajowego, a w szczególności regulacje prawne zawarte w przepisach ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, a także ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, jak również przepisy prawa europejskiego zawarte w rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a w szczególności art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c i lit. e RODO.
Prawodawca unijny, wymagając w art. 5 ust. 1 lit. a RODO, aby dane były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, zawarł w tym przepisie dwie zasady, tj. zasadę rzetelności i legalności oraz zasadę przejrzystości, które mają ugruntowane miejsce w systemie ochrony danych osobowych od początku jego kształtowania się. Zasada rzetelności i legalności (zgodności z prawem) wymaga, by dane były przetwarzane rzetelnie, czyli uczciwie oraz zgodnie z prawem. Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych, które zostały określone w art. 6 i art. 9 RODO, lecz także konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg ten oznacza również konieczność zapewnienia zgodności z całokształtem przepisów regulujących działalność podmiotów przetwarzających dane osobowe (por. m.in. P. Drobek /w:/ dr E. Bielak-Jomaa (red.), dr D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018, teza 6 komentarza do art. 5 RODO).
Zgodnie z art. 6 ust. 1 lit. c RODO, przetwarzanie jest zgodne z prawem, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W doktrynie i judykaturze przyjmuje się, iż przepis art. 6 ust. 1 lit. c RODO samodzielnie nie stanowi podstawy legalizacyjnej przetwarzania, ale jedynie w połączeniu z odpowiednim przepisem prawa obowiązującego w państwie, któremu podlega administrator, lub też w połączeniu z odpowiednim przepisem unijnym, o treści zgodnej z wymogami określonymi w art. 6 ust. 3. Adresatem obowiązków określonych w przepisach prawa krajowego lub przepisach prawa Unii Europejskiej musi być administrator.
Przepis art. 6 ust. 1 lit. e RODO stanowi natomiast, że przetwarzanie jest zgodne z prawem, gdy jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Warto jedynie zauważyć, że w stosunku do tej przesłanki legalizacyjnej – w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c RODO – cyt. rozporządzenie w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania, a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Zgodnie z wyjaśnieniami zawartymi w motywie 45 Preambuły do RODO, w omawianym zakresie wystarczyć może, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
Pojęcie wykonania zadania realizowanego w interesie publicznym oraz sprawowania władzy publicznej powierzonej administratorowi należy wiązać z pojęciem zadań publicznych.
Przetwarzanie danych osobowych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi musi być do tego celu niezbędne.
Wskazać należy jednocześnie, że korzystanie z przesłanki legalizacyjnej z art. 6 ust. 1 lit. e, podobnie zresztą jak z przesłanki legalizacyjnej, o której mowa w art. 6 ust. 1 lit. c RODO, dotyczyć ma administratora danych.
Nie ulega również wątpliwości, że podstawami prawnymi relewantnymi z punktu widzenia regulacji art. 6 ust. 1 lit. c i lit. e w zw. z art. 6 ust. 3 RODO będą przepisy prawne o charakterze powszechnie obowiązującym, które mogą być bezpośrednio zastosowane.
Tymczasem, strona skarżąca, powołując się na rzekomy obowiązek udostępnienia wnioskowanych danych przez uczelnię wyższą, jako administratora danych, wskazała na normy prawne regulujące głównie obowiązki samego Zakładu Ubezpieczeń Społecznych wynikające czy to z przepisów ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, czy też ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych.
Zdaniem Sądu, z żadnego z tych przepisów nie można wywieść obowiązku udostępnienia spornych danych osobowych, który leżałby po stronie Politechnik […], jako administratora tych danych.
Otóż, kluczowy w tej sprawie przepis art. 122 ust. 1 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych stanowi, że organy administracji rządowej, samorządowej i pracodawcy są zobowiązane do udzielania organom rentowym pomocy i informacji w sprawach świadczeń przewidzianych w ustawie.
Nie ulega wątpliwości, że przepis art. 122 ust. 1 cyt. ustawy wymienia precyzyjnie podmioty, które obowiązane są do udzielania organom rentowym pomocy i informacji w sprawach świadczeń emerytalno-rentowych. Są to: organy administracji rządowej – przez które należy rozumieć wykonujące publiczne zadania i kompetencje podmioty, które bezpośrednio lub pośrednio podporządkowane są Prezesowi Rady Ministrów, ministrom kierującym działami administracji rządowej lub Radzie Ministrów, a ich działalność finansowana jest z budżetu państwa, organy administracji samorządowej – przez które należy rozumieć organy jednostek samorządu terytorialnego, a także inne mieszczące się w systemie samorządu terytorialnego podmioty, które wykonują ich zadania i kompetencje na mocy przepisu prawa lub porozumienia (np. związki jednostek samorządu terytorialnego, jednostki pomocnicze gmin), a także organy samorządów zawodowych, jak również pracodawcy – przez których należy rozumieć z kolei wszystkie podmioty, które zlecają pracę zależną osobom fizycznym, a więc w szczególności podmioty zatrudniające osoby fizyczne w stosunkach służbowych i stosunkach cywilnoprawnych (por. S. Gajewski /w:/ Prof. K. Antonów (red.), Komentarz do ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, [w:] Emerytury i renty z FUS. Emerytury pomostowe. Okresowe emerytury kapitałowe. Komentarz do trzech ustaw emerytalnych, wyd. I, LEX/el. 2019).
Art. 122 ust. 1 ustawy o emeryturach i rentach z FUS przewiduje obowiązek udzielania organom rentowym pomocy i informacji w sprawach świadczeń przewidzianych w ustawie. Przez udzielanie informacji należy rozumieć przekazywanie organowi rentowemu na dowolnym nośniku danych dotyczących pewnego stanu rzeczy, natomiast udzielanie pomocy to wykonanie czynności, które w inny sposób umożliwiają lub ułatwiają organowi rentowemu realizację jego zadań i kompetencji. Ramy wykonywania obu obowiązków wyznacza zastrzeżenie, że dotyczą one spraw świadczeń przewidzianych w ustawie. Oznacza to, że żądane przez organ rentowy informacje lub inne czynności muszą być niezbędne do rozstrzygnięcia konkretnej sprawy o świadczenie emerytalno-rentowe. Podkreślenia przy tym wymaga, że wymienione w art. 122 ust. 1 cyt. ustawy obowiązki aktualizują się jedynie wówczas, gdy w rzeczywistości podmioty, do których zwrócił się organ rentowy, są w posiadaniu żądanych informacji, a podjęcie oczekiwanych od nich działań jest bezpośrednio związane z ich zadaniami i kompetencjami (organy administracji rządowej, organy administracji samorządowej) bądź uprawnieniami i obowiązkami (pracodawcy).
W tej sytuacji, zgodzić się należy z Prezesem UODO, iż powołany przez stronę skarżącą przepis art. 122 ust. 1 cyt. ustawy wśród podmiotów, które są zobowiązane udzielać na rzecz ZUS informacji mających znaczenie m.in. dla weryfikacji uprawnień do świadczeń przewidzianych w tej ustawie, nie zostały wymienione szkoły wyższe.
W konsekwencji, organ nadzorczy zasadnie stwierdził w uzasadnieniu zaskarżonej decyzji, podzielając w tym zakresie stanowisko wyrażone w wyjaśnieniach Rektora Politechniki […] złożonych w toku postępowania, że przepisy prawa powołane przez stronę skarżącą nie kreują po stronie Politechniki […], jako administratorze danych, obowiązku udostępnienia żądanych przez ZUS informacji.
Jedynie na marginesie, Sąd pragnie zauważyć, że w świetle obecnie obowiązującej ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce (tekst jednolity Dz. U. z 2020 r., poz. 85), rektorzy uczelni wyższych są zobowiązani udostępnić dane zwarte w wykazie studentów, w tym m.in. datę rozpoczęcia studiów i danę ich zakończenia, podmiotom szczegółowo wymienionym w art. 344 ust. 3 tej ustawy, przy czym – co warto wyraźnie podkreślić – art. 344 ust. 4 cyt. ustawy stanowi, iż “danych osobowych objętych wykazem nie udostępnia się”. Należy wskazać w tym miejscu, iż zgodnie z art. 4 pkt 1 RODO, “dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. W tej sytuacji, przyjmuje się, że zabronione jest zatem udostępnianie tylko takich informacji/zestawów informacji, dzięki którym można w sposób pośredni lub bezpośredni określić tożsamość osoby fizycznej (studenta). Za dozwolone należy uznać udostępnianie np. informacji o płci oraz miejscu zamieszkania przed rozpoczęciem studiów, gdyż taki zestaw informacji nie umożliwia identyfikacji konkretnej osoby. Wspomniany przepis należy rozumieć z jednej strony jako zakaz upubliczniania danych (dane nie są powszechnie dostępne/jawne), z drugiej jako wyłączenie spod reżimu ustawy o dostępie do informacji publicznej (por. A. Mrozowska /w:/ J. Woźnicki (red.), Prawo o szkolnictwie wyższym i nauce. Komentarz, WKP 2019; podobnie: J. M. Zieliński /w:/ H. Izdebski, J. M. Zieliński, Prawo o szkolnictwie wyższym i nauce. Komentarz, WKP 2019, który wyraźnie wskazuje, że przepis art. 344 ust. 4 tej ustawy jednoznacznie określa, że danych osobowych objętych wykazem nie udostępnia się).
Niezależnie od powyższego, warto w tym miejscu zauważyć, że skarżący ZUS – wbrew temu, co próbuje zasugerować zarówno w skardze wniesionej do Sądu, jak na wcześniejszym etapie postępowania – nie powinien czuć się całkowicie bezsilny wobec zachowania D.P., czy też Politechniki […], albowiem może wykorzystać instrumenty prawne przewidziane m.in. w art. 80 i art. 82 ustawy z dnia 13 października 1998 r. r. o systemie ubezpieczeń społecznych, a następnie wydać odpowiednią decyzję na podstawie stosownych przepisów ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z FUS, a w szczególności na podstawie art. 138 tej ustawy.
W tej sytuacji, uznać należy, że w wyniku analizy zgromadzonego materiału dowodowego organ nadzorczy zasadnie przyjął w uzasadnieniu decyzji z dnia […] czerwca 2019 r., że postępowanie wyjaśniające nie dało podstaw do przyjęcia tezy, że doszło do kwestionowanej przez skarżący ZUS bezprawnej odmowy udostepnienia danych osobowych D.P. przez administratora danych – Politechnikę […].
Zdaniem Sądu, Prezes UODO zasadnie uznał, iż skarżący ZUS nie wykazał, aby administrator danych naruszył obowiązki wynikające z przepisów RODO, albowiem brak jest powszechnie obowiązującego przepisu prawa, który expressis verbis zobowiązywałby uczelnię wyższą do przekazywania danych osobowych studentów Zakładowi Ubezpieczeń Społecznych.
Tym samym, brak było – według Sądu – podstaw do jakiejkolwiek ingerencji przez organ nadzorczy w celu zobowiązania uczelni wyższej, jako administratora danych, do uwzględnienia wezwania skarżącego ZUS.
Tymczasem, nie ulega wątpliwości, że skoro strona skarżąca wywodzi skutki prawne z faktu, że dane osobowe osoby fizycznej są przetwarzane przez dany podmiot (administratora danych dotyczących tej osoby fizycznej), to powinien w sposób jednoznaczny wykazać, że organ nadzorczy bezpodstawnie odmówił uwzględnienia wniosku (skargi), naruszając przy tym konkretne przepisy RODO oraz przepisy prawa krajowego.
Według Sądu, uznać należy, że – wbrew zarzutom strony skarżącej – organ nadzorczy zasadnie stwierdził, że zarzuty skarżącego skierowane wobec Politechniki […] opierają się na przepisach RODO oraz przepisach prawa krajowego, które nie mogły w żadnym razie stanowić podstawy do nałożenia przez organ nadzorczy jakichkolwiek obowiązków na administratora danych wskazanego w skardze z dnia 7 listopada 2016 r.
W ocenie Sądu, należy uznać, że w rozpoznawanej sprawie Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie dowodowe w zakresie niezbędnym do jej rozstrzygnięcia.
Sąd stwierdził, iż ustalenia faktyczne, jakich dokonał organ nadzorczy, pozwoliły na wyprowadzenie wniosków końcowych, które uznać należy za prawidłowe i zgodne z obowiązującymi zasadami postępowania.
Według Sądu, przeciwne twierdzenia skarżącego ZUS nie zostały dostatecznie wykazane i poparte istotnymi dowodami oraz przepisami prawa zarówno w skardze inicjującej postępowanie, jak i na późniejszym etapie postępowania, a także w skardze złożonej do Sądu, a których to dowodów, czy też regulacji prawnych nie uwzględniłby lub nie omówił w swej decyzji organ nadzorczy.
Mając powyższe na uwadze, należy uznać, że wydając sporną decyzję administracyjną z dnia […] czerwca 2019 r., Prezes Urzędu Ochrony Danych Osobowych nie dopuścił się w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności podjętego rozstrzygnięcia.
Sąd uznał, że uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane przez ustawodawcę w przepisie art. 107 § 3 k.p.a., gdyż w jej treści organ nadzorczy wyraźnie wskazał, dlaczego – pomimo podniesionych przez stronę skarżącą argumentów i przedłożonych materiałów dowodowych – nie wykazano, aby doszło do niezgodnego z prawem przetwarzania danych osobowych (odmowy udostępnienia danych osobowych) dotyczących osoby, której sporne dane dotyczą, a w konsekwencji, by administrator danych dopuścił się naruszenia przepisów o ochronie danych osobowych.
W konsekwencji, w ocenie Sądu, wbrew twierdzeniom strony skarżącej, prawidłowe ustalenia faktyczne poczynione w toku postępowania wyjaśniającego przez Prezesa UODO dały temu organowi pełną podstawę do wydania zaskarżonej decyzji z dnia […] czerwca 2019 r. odmawiającej uwzględnienia wniosku strony skarżącej zawartego w jej skardze z dnia […] listopada 2016 r.
Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie – działając na podstawie art. 151 P.p.s.a. – orzekł, jak w sentencji wyroku. |