• Nie Znaleziono Wyników

Sprawa C-667/21. Streszczenie wniosku o wydanie orzeczenia w trybie prejudycjalnym na podstawie 98 ust. 1 regulaminu postępowania przed Trybunałem

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "Sprawa C-667/21. Streszczenie wniosku o wydanie orzeczenia w trybie prejudycjalnym na podstawie 98 ust. 1 regulaminu postępowania przed Trybunałem"

Copied!
12
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 12 Stron )

Pełen tekst

(1)

Streszczenie C-667/21–1 Sprawa C-667/21

Streszczenie wniosku o wydanie orzeczenia w trybie prejudycjalnym na podstawie § 98 ust. 1 regulaminu postępowania przed Trybunałem Data wpływu:

8 listopada 2021 r.

Oznaczenie sądu odsyłającego:

Bundesarbeitsgericht (Niemcy)

Data wydania postanowienia o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym:

26 sierpnia 2021 r.

Strona skarżąca, wnosząca apelację i wnosząca skargę rewizyjną:

ZQ

Strona pozwana, druga strona postępowania apelacyjnego i druga strona w postępowaniu rewizyjnym:

Medizinischer Dienst der Krankenversicherung Nordrhein, spółka prawa publicznego

Przedmiot postępowania głównego

Rozporządzenie (UE) 2016/679 (ogólne rozporządzenie o ochronie danych) – Dane dotyczące zdrowia – Przetwarzanie tych danych przez pracodawcę – Podwójna rola pracodawcy – Odszkodowanie

Przedmiot i podstawa prawna odesłania prejudycjalnego Wykładnia prawa Unii, art. 267 FUE

Pytania prejudycjalne

1. Czy art. 9 ust. 2 lit. h) rozporządzenia (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, dalej „RODO”) należy interpretować w ten sposób, że służbie medycznej kasy chorych nie wolno przetwarzać

(2)

danych dotyczących zdrowia jej pracownika, które są warunkiem oceny zdolności tego pracownika do pracy?

2. W przypadku udzielenia przez Trybunał odpowiedzi przeczącej na pytanie pierwsze z tym skutkiem, że zgodnie z art. 9 ust. 2 lit. h) RODO możliwy do uwzględnienia byłby określony w art. 9 ust. 1 RODO wyjątek od zakazu przetwarzania danych dotyczących zdrowia: Czy w przypadku takim jak w niniejszej sprawie istnieją inne, a jeżeli tak, jakie wymogi dotyczące ochrony danych, których należy przestrzegać, oprócz tych określonych w art. 9 ust. 3 RODO?

3. W przypadku udzielenia przez Trybunał odpowiedzi przeczącej na pytanie pierwsze z tym skutkiem, że zgodnie z art. 9 ust. 2 lit. h) RODO możliwy do uwzględnienia byłby określony w art. 9 ust. 1 RODO wyjątek od zakazu przetwarzania danych dotyczących zdrowia: Czy w przypadku takim jak w niniejszej sprawie dopuszczalność lub zgodność z prawem przetwarzania danych dotyczących zdrowia zależy ponadto od spełnienia co najmniej jednego z warunków określonych w art. 6 ust. 1 RODO?

4. Czy art. 82 ust. 1 RODO ma szczególny lub ogólny charakter prewencyjny i należy to uwzględniać przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO na niekorzyść administratora lub podmiotu przetwarzającego?

5. Czy przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO znaczenie ma stopień winy administratora lub podmiotu przetwarzającego? W szczególności, czy można wziąć pod uwagę nieistniejącą lub niewielką winę administratora lub podmiotu przetwarzającego, na jego korzyść?

Przywołane przepisy prawa Unii

RODO, w szczególności art. 9 ust. 1, ust. 2 lit. b) i h) oraz ust. 3, art. 6 ust. 1 oraz art. 82 ust. 1

Przywołane przepisy prawa krajowego

Sozialgesetzbuch Fünftes Buch (kodeks socjalny księga piąta, dalej „SGB V”), w szczególności §§ 275 i nast.

Bürgerliches Gesetzbuch (kodeks cywilny, dalej „BGB”), w szczególności § 276 ust. 1 zdanie pierwsze

(3)

Zwięzłe przedstawienie stanu faktycznego i przebiegu postępowania

1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym został wydany w ramach sporu między powodem i jego pracodawcą, Medizinischer Dienst einer Krankenkasse (służbą medyczną kasy chorych, dalej „MDK”). Między stronami sporne jest, czy pozwana jest zobowiązana do naprawienia powodowi szkody majątkowej i niemajątkowej z tytułu naruszenia przepisów dotyczących ochrony danych w ramach stosunku pracy.

2 Zgodnie z § 278 ust. 1 ust. 1 SGB V w każdym kraju związkowym w Niemczech tworzy się służbę medyczną kasy chorych jako spółkę prawa publicznego. Jej obowiązki są określone przez ustawę. Należy do nich m.in. sporządzanie ekspertyz w celu wyeliminowania wątpliwości co do niezdolności ubezpieczonych do pracy. Zgodnie z § 275 ust. 1 zdanie pierwsze pkt 3 lit. b) SGB V kasy chorych są zobowiązane, w określonych przypadkach lub gdy wymaga tego rodzaj, waga, czas trwania lub częstotliwość choroby lub jej przebieg, do uzyskania od MDK ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności do pracy w przypadku niezdolności ubezpieczonego do pracy poświadczonej przez lekarza. Ponadto zgodnie z § 275 ust. 1 lit. a) zdanie trzecie SGB V również pracodawca może zażądać, aby kasa chorych uzyskała taką opinię służby medycznej, jeżeli pracownik przebywa na zwolnieniu chorobowym przez dłuższy czas i pracodawca ma wątpliwości co do niezdolności danego pracownika do pracy.

3 Pozwana MDK wykonywała swoje zadania w 2018 roku w ośmiu zakładach liczących około 1000 pracowników. Powód jest zatrudniony przez pozwanego od 1991 r., ostatnio w zakładzie A w dziale IT jako administrator systemu i pracownik helpdesku. Dział ten odpowiada również za inne zakłady pozwanego.

4 Działając w charakterze służby medycznej dla powszechnych kas chorych pozwana sporządza ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności ubezpieczonych do pracy również w przypadkach, które dotyczą jego własnych pracowników. Przypadki te nazywane są „przypadkami szczególnymi”. Do takiego przypadku mają zastosowanie szczególne zasady.

Wpływające sprawy, które dotyczą własnych pracowników, są oznaczane jako

„przypadki szczególne” i rozpatrywane wyłącznie przez pracowników specjalnej komórki organizacyjnej „przypadek szczególny”. W tym celu w systemie przetwarzania danych, z którego MDK korzysta wewnętrznie, została utworzona wirtualna komórka organizacyjna do przypadków szczególnych, do której dostęp mają wyłącznie pracownicy komórki organizacyjnej „przypadek szczególny”.

5 Po wykonaniu zlecenia, zlecenie oraz ekspertyza wraz z pozostałymi elektronicznymi dokumentami medycznymi są deponowane w elektronicznym archiwum pozwanej MDK. W archiwum tym dane zlecenia są przechowywane razem z danymi stałymi i oddzielnie od danych ekspertyzy w dwóch różnych bazach danych. Przyporządkowanie do poszczególnych osób jest możliwe tylko za pomocą specjalnego „klucza”. Uprawnienia dostępu są sprawdzane w systemie

(4)

technicznie. Jednak po archiwizacji niektórzy pracownicy części „Działu IT”

komórki organizacyjnej „przypadek szczególny” mają również możliwość dostępu do wszystkich ekspertyz, które zostały sporządzone na podstawie zlecenia ekspertyzy dotyczącego własnych pracowników pozwanej MDK.

6 Jeżeli do ekspertyzy niezbędne jest fizyczne badanie pracownika pozwanej MDK, przewidziana jest reguła, że badanie to przeprowadza inna służba medyczna.

Również w takim przypadku ekspertyza jest dodawana do zlecenia przez pracowników komórki „przypadek szczególny” w ramach elektronicznej archiwizacji.

7 W przypadku gdy pozwana działając w charakterze pracodawcy sama ma wątpliwości co do niezdolności jednego ze swoich pracowników do pracy, może on, jak jest to przewidziane ustawowo dla wszystkich pracodawców, zażądać, aby kasa chorych uzyskała odpowiednią ekspertyzę służby medycznej. W takim przypadku wewnętrzne przepisy MDK nie wykluczają rozpatrywania i archiwizowania sprawy przez pozwaną MDK. Jednakże fizyczne badanie, jeżeli jest ono niezbędne, jest przeprowadzane przez inną służbę.

8 Jeżeli pracownicy MDK korzystają ze świadczeń wymagających ekspertyzy, powinni oni na przykład stosując specjalne koperty przyczynić się do tego, aby zlecenie ekspertyzy zostało rozpoznane jako „przypadek szczególny”

i przyporządkowane do komórki organizacyjnej „przypadek szczególny” w celu rozpatrzenia. Jeżeli następnie okaże się, że dane socjalne pracownika są przechowywane w obszarze wewnętrznego systemu przetwarzania danych, który nie jest zablokowany oddzielnie i w związku z tym jest dostępny dla

„nieuprawnionych pracowników”, tj. pracowników spoza komórki organizacyjnej

„przypadek szczególny”, dane zostają następnie zablokowane, jeśli pracownik, którego dane dotyczą, tego zażąda.

9 Powód był niezdolny do pracy z powodu choroby nieprzerwanie od 22 listopada 2017 r. Po (określonym ustawowo) zakończeniu kontynuowania wypłaty wynagrodzenia przez pozwanego, tj. od dnia 24 maja 2018 r., powód pobierał zasiłek chorobowy ze swojej kasy chorych. W dniu 6 czerwca 2018 r. kasa chorych powoda zleciła pozwanej MDK sporządzenie ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności powoda do pracy. Pozwana MDK przyjęła to zlecenie. Pracownik prowadzący sprawę powierzył zlecenie

„komórce organizacyjnej do przypadków szczególnych”. Lekarka zatrudniona przez pozwaną MDK, należąca do „komórki organizacyjnej do przypadków szczególnych” sporządziła ekspertyzę w dniu 22 czerwca 2018 r. Zawierała ona diagnozę choroby powoda. W celu sporządzenia tej ekspertyzy lekarka przeprowadziła m.in. rozmowę telefoniczną z lekarzem prowadzącym powoda i uzyskała od niego informacje. Ekspertyza z dnia 22 czerwca 2018 r. została zarchiwizowana elektronicznie przez pozwaną MDK. Zawierała ona między innymi diagnozę „Ciężki epizod depresyjny bez symptomów psychotycznych”.

(5)

10 Od swojego lekarza prowadzącego powód dowiedział się o telefonie wykonanym przez lekarkę pozwanej MDK w celu sporządzenia ekspertyzy. W dniu 1 sierpnia 2018 r. powód zadzwonił do koleżanki z działu IT pozwanej i zapytał ją, czy przechowywana jest ekspertyza na jego temat. Po przeszukaniu archiwum koleżanka odpowiedziała twierdząco. Na prośbę powoda koleżanka sfotografowała ekspertyzę i przesłał zdjęcia powodowi, który później w postępowaniu sądowym złożył wydruk do akt sądowych.

11 W piśmie z dnia 15 sierpnia 2018 r. powód bezskutecznie zażądał od pozwanej zapłaty odszkodowania w wysokości 20 000,00 EUR. W powództwie, które wpłynęło do miejscowego sądu pracy w dniu 17 października 2018 r., podtrzymał dochodzone żądanie, a w dalszym postępowaniu zażądał ponadto naprawienia szkód majątkowych w wysokości utraconych zarobków.

12 W toku postępowania sądowego pozwana MDK rozwiązała zarówno umowę o pracę z wymienioną wyżej lekarką, jak również umowę o pracę z powodem.

Główne argumenty stron postępowania głównego

13 Powód uważa, że pozwana nie mogła wykonywać w jego przypadku zadań służby medycznej w związku z nawiązanym z nim stosunkiem pracy. Sporządzenie ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności pracownika do pracy wiąże się z reguły z przetwarzaniem takich danych dotyczących zdrowia – w tym konkretnej diagnozy – których przetwarzanie nie jest dozwolone w ramach stosunku pracy. Pozwana nie mogła więc a priori przyjąć zlecenia ekspertyzy, a już w ogóle nie mógł go wykonywać i przechowywać ekspertyzy.

Poprzez niedozwolone przetwarzanie danych zostały poważnie naruszone jego dobra osobiste. Jego koledzy przetwarzali ekspertyzę i w ten sposób wbrew wymogom wynikającym z przepisów o ochronie danych uzyskali wiedzę o jego danych dotyczących zdrowia, w tym o diagnozie lekarza prowadzącego. Wskutek archiwizacji ekspertyzy mogli mieć nadal wgląd do tych danych. Ponieważ takie dane zasadniczo nie mogą być przetwarzane w ramach stosunku pracy, nie może być tożsamości między pracodawcą i MDK. Zlecenie sporządzenia ekspertyzy powinno było zatem zostać wykonane przez jedną z pozostałych MDK.

14 Ponadto, podczas przechowywania ekspertyzy pozwana podjęła jedynie niewystarczające środki w celu ochrony danych. Pozwana jest mu winna również odszkodowanie; musi ona zrekompensować straty finansowe, które [powód]

poniósł w wyniku tego, że otrzymał niższy zasiłek chorobowy zamiast wynagrodzenia pracowniczego. Gdyby nie doszło do naruszeń ochrony danych, mógłby wznowić pracę w pozwanej MDK od grudnia 2018 r., a w każdym razie późnym latem 2018 r. był wystarczająco zdolny do psychicznego obciążenia w odniesieniu do zaoferowanej przez pozwaną etapowej reintegracji (która ma umożliwić pracownikom niezdolnym do pracy stopniowe ponowne przyzwyczajenie się do dotychczasowego obciążenia pracą).

(6)

15 Pozwana uważa, że nie naruszyła przepisów o ochronie danych. Przypisane jej z mocy ustawy jako służbie medycznej zadanie polegające na sporządzaniu ekspertyz dotyczących niezdolności do pracy miała prawo wykonywać również w przypadku powoda, nawet jeśli jest jego pracodawcą. Ponadto faktyczne przetwarzanie zawsze odbywało się zgodnie z wymogami wynikającym z przepisów o ochronie danych. Również w przypadku powoda lekarka sporządzająca ekspertyzę miała prawo skontaktować się telefonicznie z jego lekarzem prowadzącym. Poza tym zgromadziła tylko dane niezbędne do ekspertyzy. Dane dotyczące zdrowia powoda, przekazane [pozwanej] w wyniku zapytania kasy chorych oraz przez lekarza prowadzącego, były zawsze wystarczająco chronione. Jedynie niewielka grupa pracowników, którzy w zasadzie nie pracują w tym samym zakładzie, co pracownik, którego dane dotyczą, była w ogóle uprawniona do dostępu [do danych]. Również w zakresie, w jakim bezpośredni koledzy powoda z działu IT byli uprawnieni do dostępu, nie występuje problem z ochroną danych.

Zwięzłe przedstawienie uzasadnienia odesłania prejudycjalnego

16 Sąd odsyłający przyjmuje, że w postępowaniu głównym w ramach ekspertyzy sporządzonej przez pozwaną działającą charakterze służby medycznej „dane osobowe” powoda (art. 4 pkt 1 RODO) były „przetwarzane” (art. 4 pkt 2 RODO) i że dane te są „danymi dotyczącymi zdrowia” (motyw 35 RODO, art. 4 pkt 15 RODO). Przetwarzanie, o którym mowa w niniejszej sprawie, również wchodzi w zakres przedmiotowy RODO, określony w jego art. 2 ust. 1.

17 Ponadto należy przyjąć, że pozwana jest „administratorem” w rozumieniu art. 4 pkt 7 RODO, ponieważ rozstrzygając kwestię, czy sama wykona zlecenie ekspertyzy dotyczące powoda i w jaki sposób będzie przetwarzała dane dotyczące zdrowia powoda, samodzielnie ustaliła cele i sposoby przetwarzania danych osobowych.

18 W pytaniu pierwszym sąd odsyłający dąży do ustalenia, czy art. 9 ust. 2 lit. h) RODO należy interpretować w ten sposób, że MDK nie może przetwarzać danych dotyczących zdrowia swojego pracownika, które są warunkiem oceny zdolności tego pracownika do pracy.

19 Ponieważ dane przetwarzane przez pozwaną są danymi dotyczącymi zdrowia w rozumieniu art. 9 ust. 1 RODO, należy w pierwszej kolejności zbadać, czy przetwarzanie danych polegające na sporządzeniu i przechowywaniu ekspertyzy jest zabronione już na podstawie art. 9 ust. 1 RODO. Byłoby tak, gdyby nie miał zastosowania żaden z wyjątków wymienionych w art. 9 ust. 2 RODO. W świetle okoliczności sprawy głównej jedynie art. 9 ust. 2 lit. b) i h) RODO można wziąć pod uwagę jako wyjątki od zasadniczego zakazu przetwarzania określonego w art. 9 ust. 1 RODO.

20 Zdaniem sądu odsyłającego pozwana – działająca w charakterze pracodawcy powoda – nie może jednak powołać się na art. 9 ust. 2 lit. b) RODO.

(7)

W postępowaniu głównym przetwarzanie danych dotyczących zdrowia powoda, które zostały zgromadzone w związku ze sporządzeniem ekspertyzy mającej na celu wyeliminowanie wątpliwości co do niezdolności powoda do pracy, nie było dla pozwanej działającej w charakterze pracodawcy niezbędne, aby móc wykonywać swoje prawa wymienione w tym przepisie i wypełnić stosowne obowiązki. W przypadkach, w których „administratorem” jest pracodawca, a „osoba, której dane dotyczą” jest pracownikiem, zdaniem sądu odsyłającego, prawa i obowiązki wynikające z prawa pracy i prawa zabezpieczenia społecznego i ochrony socjalnej muszą być tymi, które przysługują administratorowi i osobie, której dane dotyczą, działających w charakterze stron umowy o pracę tudzież odnoszą się do nich w tym charakterze. Prawa i obowiązki w rozumieniu art. 9 ust. 2 lit. b) RODO muszą zatem wynikać bezpośrednio ze stosunku pracy wiążącego tego pracodawcę i tego pracownika. Zgodnie z tym stosunkiem pracy przetwarzanie danych dotyczących zdrowia powoda przez pozwaną nie było niezbędne z punktu widzenia żadnego z aspektów wymienionych w art. 9 ust. 2 lit. b) RODO.

21 Po pierwsze, sama pozwana nie miała wątpliwości co do poświadczonej przez lekarza niezdolności powoda do pracy, nie zadawała sobie pytania, czy w przypadku choroby była zobowiązana do kontynuowania wypłacania wynagrodzenia. Przeciwnie, pozwana działała z inicjatywy kasy chorych powoda po upływie okresu kontynuowania wypłacania wynagrodzenia, ponieważ kasa ta miała wątpliwości co do niezdolności powoda do pracy. Po drugie, zgodnie z prawem krajowym jest wykluczone ze względu na ochronę danych dotyczących zdrowia, aby w przypadku stwierdzonej przez lekarza niezdolności do pracy pracodawca dowiadywał się więcej niż o tym, że istnieje niezdolność do pracy i jak długo będzie ona prawdopodobnie trwać. Pracodawcy nie wolno dowiedzieć się o innych danych dotyczących zdrowia – w szczególności o diagnozie(-ach) choroby. Jest tak niezależnie od tego, czy kasa chorych zleciła służbie medycznej sporządzenie ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności pracownika do pracy, czy też sam pracodawca ma wątpliwości co do niezdolności swojego pracownika do pracy i w związku z tym żąda od kasy chorych, aby uzyskała ona ekspertyzę służby medycznej.

22 Chociaż zdaniem sądu odsyłającego wyjątek z art. 9 ust. 2 lit. b) RODO nie ma więc zastosowania, wyraża on wszakże wątpliwości, czy pozwany może powołać się na art. 9 ust. 2 lit. h) RODO. Przetwarzanie danych dotyczących zdrowia powoda mogło być ewentualnie niezbędne w związku ze sporządzeniem ekspertyzy dla oceny jego zdolności do pracy w rozumieniu art. 9 ust. 2 lit. h) RODO.

23 Istnieją jednak poważne obiekcje co do tego, czy pozwana może w ogóle powołać się na ten przepis w sytuacji takiej jak w niniejszej sprawie. Zastosowanie art. 9 ust. 2 lit. h) RODO w postępowaniu głównym oznaczałoby bowiem, że pozwana, która zdaniem sądu odsyłającego działając w charakterze pracodawcy powoda nie może powołać się na art. 9 ust. 2 lit. b) RODO w odniesieniu do przetwarzania danych dotyczących zdrowia powoda pozyskanych w ramach sporządzenia

(8)

ekspertyzy, byłaby uprawniona, wbrew temu przepisowi, ze względu na swoją podwójną funkcję jako pracodawca powoda i MDK, do szerokiego przetwarzania danych. Poza tym wszystko przemawia za tym, że przetwarzanie danych dotyczących zdrowia osoby, której dane dotyczą, uregulowane w art. 9 ust. 2 lit. h) RODO, jest dokonywane przez neutralną jednostkę, a nie przez pracodawcę.

Należy zatem przyjąć, że w przypadku własnych pracowników MDK kasa chorych nie może zlecać tej służbie sporządzenia ekspertyzy w celu wyeliminowania wątpliwości co do niezdolności tych pracowników do pracy, a MDK nie może przyjąć takiego zlecenia. Jeżeli pozwana – w zakresie, w jakim dotyczy to jej własnych pracowników – nie może samodzielnie wykonywać zadań MDK, to praktycznie nie wiązałoby się to również z żadnymi poważnymi konsekwencjami. Jak to już jest praktykowane przez pozwaną MDK w przypadku badań fizycznych, całe zlecenie ekspertyzy udzielone przez kasę chorych można bez problemu przekazać innej służbie medycznej.

24 W przedmiocie pytania drugiego: Drugie pytanie pojawia się tylko wtedy, gdy Trybunał udzieli odpowiedzi przeczącej na pytanie pierwsze. Jeżeli art. 9 ust. 2 lit. h) RODO, w okolicznościach takich jak w sprawie głównej, nie zabraniałby MDK przetwarzania danych dotyczących zdrowia jej pracownika, które są warunkiem oceny zdolności tego pracownika do pracy, należałoby bowiem wyjaśnić, jakie wymagania w zakresie przetwarzania danych należy postawić w odniesieniu do ochrony danych.

25 Sąd odsyłający przyjmuje, że nie byłoby wystarczające przestrzeganie jedynie kryteriów określonych w art. 9 ust. 3 RODO. Przeciwnie, należałoby zapewnić, że z przetwarzania danych niezbędnego do takiej ekspertyzy wyłączeni są wszyscy pracownicy, z którymi istnieje lub może istnieć kontakt zawodowy. W przypadku pracodawcy posiadającego kilka zakładów – jak w niniejszej sprawie – przy ścisłym wydzieleniu zakładów – które w świetle okoliczności niniejszej sprawy nie ma miejsca – można by sobie wyobrazić, że utworzone są co najmniej dwie niezależne od siebie „komórki organizacyjne do przypadków szczególnych”, z których wykorzystywana jest ta, do której nie należy pracownik, którego niezdolność do pracy jest oceniana.

26 W przypadku takim jak w niniejszej sprawie oznaczałoby to, że istniałyby również oddzielne działy IT, co również nie ma miejsca w sprawie głównej.

Zdaniem sądu odsyłającego, sytuacja taka jak w niniejszej sprawie, w której koledzy z działu IT, w którym powód również pracuje, mogą ostatecznie – w sposób uprawniony lub nieuprawniony – uzyskać dostęp do danych dotyczących jego zdrowia, i ponadto nie jest wykluczone, że powód jako pracownik w działu IT obejmującego kilka zakładów musi w późniejszym czasie współpracować kolegialnie z lekarką oceniającą jego niezdolność do pracy, jest nieakceptowalna ze względu na ochronę danych. Dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą (motyw 35 RODO), wymagają zgodnie z RODO szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw

(9)

i wolności (motyw 51 RODO), a realizacja celu przetwarzania podlega szczególnym wymogom niezbędności (motyw 53 RODO). W sytuacji takiej jak w niniejszej sprawie naruszenie ochrony danych osobowych dotyczących zdrowia może prowadzić do szkód majątkowych lub niemajątkowych dla osoby fizycznej, jak na przykład utrata kontroli nad własnymi danymi osobowymi, dyskryminacja i naruszenie dobrego imienia (motyw 75 RODO).

27 Dlatego w sytuacji takiej jak w niniejszej sprawie, nie są wystarczające środki bezpieczeństwa, które jedynie zobowiązują współpracowników zaangażowanych w przetwarzanie danych do zachowania milczenia. Takie środki mają na celu wyłącznie uniemożliwienie przekazywania danych. Nie mogą jednak przeciwdziałać ryzyku negatywnego wpływu na daną relację kolegialną wynikającego z zapoznania się z wrażliwymi, nieujawnionymi dobrowolnie danymi dotyczącymi zdrowia. Ryzyka są między innymi takie, że – w zależności od rodzaju choroby – zostanie naruszone dobre imię, ucierpi reputacja i/lub oceniona osoba zostanie narażona na przykre dla niej sytuacje lub tak to odczuwa.

W szczególności w sprawie głównej nie można mieć wątpliwości, że depresja w społeczeństwie i środowisku pracy jest nierzadko uznawana za temat „tabu”

i mogą wiązać się z tym również zapatrywania innych osób na temat niezdolności do pracy. Ponadto sam fakt sporządzenia ekspertyzy w związku z wątpliwościami co do niezdolności do pracy jest informacją wrażliwą, gdyż może się z nią wiązać również możliwość udawania niezdolności do pracy.

28 W ocenie sądu odsyłającego konieczne jest zatem podjęcie środków technicznych i organizacyjnych w celu zapewnienia, aby żadna osoba zatrudniona przez służbę medyczną nie miała dostępu do spornych danych dotyczących zdrowia kolegów.

Zalicza się do nich również to, że o samej okoliczności zbliżającego się badania niezdolności do pracy nie wolno informować żadnej osoby zatrudnionej przez daną służbę medyczną. Pozwana MDK byłaby zatem zobowiązana do zapewnienia, aby zlecenia kasy chorych dotyczące jej własnych pracowników a priori nie były przyjmowane. Ponadto systemy przetwarzania wrażliwych danych dotyczących zdrowia muszą być chronione przed wszelkiego rodzaju atakami wewnętrznymi i zewnętrznymi zgodnie z najwyższymi standardami w celu zapewnienia odpowiedniego bezpieczeństwa danych osobowych (zob.

art. 5 ust. 1 lit. f] RODO).

29 W przedmiocie pytania trzeciego: Również to pytanie pojawia się tylko wtedy, gdy Trybunał udzieli odpowiedzi przeczącej na pytanie pierwsze. Jeżeli art. 9 ust. 2 lit. h) RODO, w okolicznościach takich jak w sprawie głównej, nie zabraniałby MDK przetwarzania danych dotyczących zdrowia jej pracownika, które są warunkiem niezbędnym do oceny zdolności tego pracownika do pracy, wówczas należałoby również wyjaśnić, czy dopuszczalność lub zgodność z prawem przetwarzania danych dotyczących zdrowia zależy ponadto od spełnienia co najmniej jednego z warunków wymienionych w art. 6 ust. 1 RODO.

30 Jeśli nie występuje przewidziany w art. 9 ust. 2 RODO wyjątek od zakazu przetwarzania danych dotyczących zdrowia, o którym mowa w art. 9 ust. 1

(10)

RODO, sąd odsyłający przyjmuje, że przetwarzanie danych jest zabronione i nie może być „dozwolone” również na podstawie art. 6 ust. 1 RODO. Nie zostało jednak dotychczas wyjaśnione, czy w przypadku spełnienia warunku wyjątku zgodnie z art. 9 ust. 2 RODO dopuszczalność lub zgodność z prawem przetwarzania danych dotyczących zdrowia zależy ponadto od spełnienia co najmniej jednego z warunków wymienionych w art. 6 ust. 1 RODO.

31 W takim przypadku zwraca się uwagę, że powód, jako osoba, której dane dotyczą, nie wyraził zgody na przetwarzanie swoich danych dotyczących zdrowia (art. 6 ust. 1 lit. a) RODO], ani też przetwarzanie spornych danych dotyczących zdrowia powoda nie jest niezbędne do wykonania umowy o pracę między stronami sporu głównego (art. 6 ust. 1 lit. b] RODO). Spośród pozostałych warunków wymienionych wyczerpująco w art. 6 ust. 1 RODO, a priori nie wchodzą w rachubę dwa, a mianowicie te wymienione w art. 6 ust. 1 lit. d) i f) RODO.

32 Rozważyć można by ewentualnie zastosowanie art. 6 ust. 1 lit. c) lub e) RODO.

Wiele przemawia jednak za tym, że w obu przypadkach brak jest niezbędności przetwarzania danych przez pozwaną. Cel polegający na wyeliminowaniu wątpliwości co do niezdolności pracownika do pracy za pomocą ekspertyzy można bowiem równie dobrze osiągnąć poprzez działanie innej służby medycznej.

Zaletą tego byłoby to, że wrażliwe dane dotyczących zdrowia nie są przetwarzane przez własnego pracownika przy zaangażowaniu kolegów. Ponieważ zamierzony cel można tym samym osiągnąć także w inny sposób, który lepiej gwarantuje ochronę wrażliwych danych dotyczących zdrowia, przetwarzanie danych dotyczących zdrowia powoda przez pozwaną MDK wykraczałoby poza to, co jest konieczne. Ponadto naruszona mogłaby być zasada minimalizacji danych (art. 5 ust. 1 lit. c] RODO).

33 W przedmiocie pytania czwartego i piątego (uwaga wstępna): Jeżeli z odpowiedzi udzielonych przez Trybunał na trzy pierwsze pytania wynikałoby, że w sprawie głównej ma miejsce naruszenie lub nawet kilka naruszeń RODO w rozumieniu art. 82 ust. 1, należałoby przyjąć, że powód miałby co do istoty prawo do odszkodowania przeciwko pozwanej na podstawie art. 82 ust. 1 RODO.

34 W związku z wykładnią tego przepisu sąd odsyłający odsyła wskazuje na wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberster Gerichtshof (sąd najwyższy) (Austria) (C-300/21) i zwraca uwagę, że pytania, które przedstawił, są związane z pytaniami przedstawionymi przez Oberster Gerichtshof (Austria).

35 Sąd odsyłający przyjmuje, że art. 82 ust. 1 RODO przewiduje prawo do odszkodowania wyłącznie dla osób, których [podmiotowe] prawa zostały naruszone z powodu naruszenia jednego lub kilku przepisów RODO w związku z przetwarzaniem „ich” danych osobowych (zob. motyw 2 RODO), i że prawo do odszkodowania z tytułu szkody niemajątkowej na podstawie art. 82 ust. 1 RODO nie wymaga poza tym dodatkowo wykazania przez osobę pokrzywdzoną (dalszej) poniesionej przez nią szkody niemajątkowej. W ocenie sądu odsyłającego nie

(11)

musi ona więc wykazywać, iż „powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze” (zob. w tym względzie pytanie trzecie we wniosku o wydanie orzeczenia w trybie prejudycjalnym w sprawie C-300/21). Zdaniem sądu odsyłającego samo naruszenie RODO prowadzi zatem do szkody niemajątkowej podlegającej naprawieniu.

36 Niezależnie od tego sąd odsyłający uważa, że rozstrzygnięcie niniejszego sporu nie zależy od odpowiedzi, jakiej Trybunał udzieli na pytanie trzecie we wniosku o wydanie orzeczenia w trybie prejudycjalnym w sprawie C-300/21, albowiem nawet gdyby Trybunał doszedł wniosku, że prawo do odszkodowania z tytułu szkody niemajątkowej na podstawie art. 82 ust. 1 RODO wymaga, aby „powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, która wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa”, a więc musiałby zostać przekroczony pewien próg istotności, to nie stałoby to na przeszkodzie prawu powoda do odszkodowania, gdyż w niniejszej sprawie granica istotnego naruszenia prawa została (znacznie) przekroczona.

37 W przedmiocie pytania czwartego i piątego szczegółowo: W czwartym pytaniu prejudycjalnym sąd odsyłający dąży do ustalenia, czy art. 82 ust. 1 RODO ma, oprócz swojej funkcji rekompensującej, ponadto charakter prewencyjny i czy należy to wziąć pod uwagę przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO na niekorzyść administratora (lub podmiotu przetwarzającego).

38 Zgodnie z motywem 146 RODO osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. W tym względzie sąd odsyłający przyjmuje, że przy ustalaniu odszkodowania z tytułu szkody niemajątkowej należy brać pod uwagę wszystkie okoliczności danego przypadku – w niniejszej sprawie ewentualnie także późniejsze rozwiązanie stosunku pracy przez pozwaną – oraz że powinna zostać zagwarantowana rzeczywista i skuteczna ochrona prawna praw wynikających z RODO. Dlatego też znaczenie mogłoby mieć, tak jak w innych dziedzinach prawa Unii, aby wysokość odszkodowania z tytułu szkody niemajątkowej odpowiadała wadze naruszenia RODO, którego ukaraniu służy, przy czym należy zapewnić przypuszczalnie rzeczywiście odstraszający efekt, a jednocześnie musi być przestrzegana ogólna zasada proporcjonalności.

39 Oprócz wspomnianej zasady skuteczności, przy ustalaniu wysokości odszkodowania z tytułu szkody niemajątkowej konieczne mogłoby być uwzględnienie również zasady równoważności. Artykuł 82 RODO nie zawiera odniesienia do prawa państw członkowskich i musi być interpretowany w całej Unii w sposób autonomiczny i jednolity. Niemniej jednak biorąc pod uwagę różnice w wysokości kwot odszkodowania z tytułu szkody niemajątkowej w państwach członkowskich w porównywalnych przypadkach konieczne mogłoby być uwzględnienie aspektu równoważności.

(12)

40 W piątym pytaniu prejudycjalnym sąd odsyłający dąży do ustalenia, czy przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO znaczenie ma stopień winy administratora (lub podmiotu przetwarzającego). W tym kontekście powstaje w szczególności wątpliwość, czy nieistniejąca lub niewielka wina po stronie administratora (lub podmiotu przetwarzającego) może zostać uwzględniona na jego korzyść.

41 Sąd odsyłający zadaje to pytanie w szczególności w kontekście niemieckiego prawa cywilnego. Paragraf 276 ust. 1 zdanie pierwsze BGB stanowi, że dłużnik ponosi z reguły odpowiedzialność za winę umyślną lub niedbalstwo, o ile nie jest przewidziana surowsza lub łagodniejsza odpowiedzialność. Gdyby to samo dotyczyło art. 82 ust. 1 RODO, w zakresie odpowiedzialności musiałby zostać dodany do samego naruszenia RODO dalszy element, a mianowicie subiektywna zarzucalność ze względu na umyślność lub niedbalstwo. Sąd odsyłający przyjmuje jednak, że odpowiedzialność administratora (lub podmiotu przetwarzającego) na podstawie art. 82 ust. 1 RODO jest niezależna od winy, a więc odpowiedzialność sprawcy naruszenia w żaden sposób nie zależy od istnienia lub udowodnienia winy. W tym względzie samo naruszenie RODO mogłoby być wystarczające jako takie dla roszczenia na podstawie art. 82 ust. 1 RODO.

42 Z art. 82 ust. 3 RODO nie mogłoby wynikać nic innego. Zawarty w nim przepis, w myśl którego w razie udowodnienia nieponoszenia winy za zdarzenie, które doprowadziło do powstania szkody, ma miejsce zwolnienie z odpowiedzialności, nie dotyczy, zdaniem sądu odsyłającego, zawinienia, lecz jedynie kwestii

„uczestnictwa” (w rozumieniu: „uczestniczył” lub „nie uczestniczył”) - na przykład w trudnych do przejrzenia z zewnątrz kontekstach przetwarzania danych z wieloma potencjalnymi uczestnikami – lub kwestii sprawstwa w sensie przyczynowości. To ostatnie można przyjąć na przykład w przypadku gdy okoliczność powodująca powstanie odpowiedzialności opiera się na niedopuszczalnym dostępie osoby trzeciej, który był skuteczny pomimo wszelkich wymaganych środków bezpieczeństwa.

Cytaty

Pobierz teraz ( PDF - 12 Stron - 420.34 KB )

Powiązane dokumenty

Sprawa C-392/21. Curtea de Apel Cluj (Rumunia) Data wydania postanowienia o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym:

13 Druga strona postępowania–pozwany wnosi o oddalenie żądania przedłożenia wniosku o wydanie orzeczenia w trybie prejudycjalnym do TSUE na tej podstawie, że

Sprawa C-236/20. Data wydania postanowienia o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym:

10 Sąd odsyłający ma wątpliwości co do zgodności włoskich uregulowań dotyczących sędziów honorowych z prawem Unii w dziedzinie zatrudnienia, ponieważ sędzia

Sprawa C-31/21. Wniosek o wydanie orzeczenia w trybie prejudycjalnym. Corte suprema di cassazione (Włochy)

ustanawiające szczegółowe zasady wykonania rozporządzenia Rady (WE) nr 1260/1999 w odniesieniu do warunków, jakie muszą spełniać wydatki na działania

Sprawa C-529/21. Wniosek o wydanie orzeczenia w trybie prejudycjalnym

3 tego rozporządzenia stanowi, że: Możliwe jest wymaganie od urzędników ministerstwa spraw wewnętrznych pracy również w nocy, w godzinach od 22.00 do 6.00, w

Sprawa C-695/19. Data wydania postanowienia o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym:

całkowitej wartości towarów lub usług wykorzystywanych przez skarżącą, w odniesieniu do których należny jest VAT, jest oczywiście nieistotne, w związku z czym

Sprawa C-437/21. Data wydania postanowienia o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym:

50, disposizioni urgenti in materia finanziaria, iniziative a favore degli enti territoriali, ulteriori interventi per le zone colpite da eventi sismici e misure per lo

Sprawa C-41/22. Wniosek o wydanie orzeczenia w trybie prejudycjalnym

§ 8 Gesetz über den Versicherungsvertrag (ustawy o umowie ubezpieczenia, zwanej dalej „VVG”) w poprzednio obowiązującej wersji. Podnosi ona, że poinformowanie jej

[wniosek o wydanie orzeczenia w trybie prejudycjalnym z?o?ony przez Budesfinanzhof (Niemcy)]

zale?no?ci od tego, o jaki ?rodek transportu chodzi(24). W zwi?zku z tym, bez wzgl?du na to, czy pasa?erowie maj? mo?liwo?? opuszczenia, dajmy na to, statku w trakcie jego