Decyzja

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.) art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) oraz art. 6 ust 1 lit c) i art. 9 ust 2 lit h) oraz i) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/676 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie wniosku P. Ł. o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z 1 sierpnia 2017 roku, odmawiającą uwzględnienia wniosku w przedmiocie skargi P. Ł. oraz reprezentowanego przez niego, jego małoletniego syna I. Ł., na przetwarzanie ich danych osobowych przez Państwowego Powiatowego Inspektora Sanitarnego w L. oraz przez Podmiot Leczniczy […], Prezes Urzędu Ochrony Danych Osobowych

utrzymuje w mocy zaskarżoną decyzję.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga P. Ł, zwanego dalej Skarżącym, na przetwarzanie jego danych osobowych oraz danych osobowych jego małoletniego syna I. Ł. przez Podmiot Leczniczy […], zwana dalej Spółką i Państwowego Powiatowego Inspektora Sanitarnego w L., zwanego dalej PPIS. Skarżący zakwestionował legalność przetwarzania danych osobowych jego i jego syna przez PPIS w tym udostepnienie jego danych osobowych oraz danych osobowych małoletniego I. Ł. przez Spółkę do PPIS oraz wniósł o usunięcie uchybień i doprowadzenie do całkowitego zaprzestania udostępniania jego danych urzędom czy osobom przez placówkę medyczną bez jego zgody i wiedzy, ustalenia czy i do jakich urzędów trafiły jego dane po udostepnieniu przez placówkę medyczną i usunięcia jego danych z dokumentacji placówki medycznej dotyczącej raportu i bezprawnego załącznika do raportu złożonego do Inspekcji Sanitarnej.

W toku postępowania administracyjnego, Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Skarżący jako osoba sprawująca prawną pieczę nad swoim małoletnim synem, nie wykonał w stosunku do niego obowiązku szczepień ochronnych.
2. Pismem z dnia […] lipca 2018 r. Spółka skierowała do PPIS zawiadomienie o uchylaniu się Skarżącego od wykonania obowiązkowych szczepień ochronnych u jego małoletniego syna.
3. Spółka udostępniła PPIS dane osobowe Skarżącego oraz jego syna w zakresie imienia, nazwiska, adresu zamieszkania oraz daty urodzenia, płci i nr PESEL syna Skarżącego, w związku z niezrealizowaniem przez Skarżącego obowiązku szczepień.
4.  PPIS pismem z dnia […] sierpnia 2016 roku wezwał Skarżącego do wykonania obowiązku szczepień w stosunku do jego małoletniego syna.
5. Spółka w wyjaśnieniach z dnia […] października 2016 r. wskazała jako podstawę prawną udostepnienia danych osobowych Skarżącego oraz jego małoletniego syna PPIS art. 23 ust. 1 pkt 2 i 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922) zwanej dalej u.o.d.o.’1997., w celu realizacji obowiązku zawiadomienia PPIS o uchylaniu się od poddania obowiązkowym szczepieniom ochronnym.
6. PPIS w wyjaśnieniach z dnia […] października 2016 r. wskazał, że przetwarza dane osobowe Skarżącego i jego syna na podstawie art. 5 ust. 1 pkt 1 ppkt b i art. 17  ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. 2013 r. poz. 947 ze zm.) [zwanej dalej: u.z.z], oraz art. 25 ust. 1 pkt 2 i 3 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. 2015 poz. 1412) [zwanej dalej u.p.i.s], a także § 13 Rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (Dz. U. 2016r., poz.849 ze zm.) [zwanej dalej Rozporządzeniem].

Na podstawie materiału dowodowego zgromadzonego w toku niniejszego postepowania Generalny Inspektor Ochrony Danych Osobowych w dniu 1 sierpnia 2017 r. wydał decyzje administracyjną, mocą której odmówił uwzględnienia wniosku Skarżącego. Organ uznał, że postępowanie zarówno Spółki jak i PPIS było prawidłowe, albowiem znajdowało uzasadnienie w art 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 u.o.d.o.’1997.

[…] sierpnia 2017 roku do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Skarżącego o ponowne rozpatrzenie sprawy nadany w ustawowym terminie, w którym zażądał cyt.: „całkowitego zaprzestania udostępniania moich i syna danych z dokumentacji placówki medycznej Podmiot Leczniczy […], z dokumentacji dotyczącej raportu i załącznika do raportu złożonego do Państwowego Powiatowego Inspektora Sanitarnego w L. […](…)”.

Po dokonaniu ponownej analizy zgormadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, zważył, co następuje.

W pierwszej kolejności zaznaczenia wymaga, że z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000) na podstawie art. 166 ust. 1 tej ustawy, Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych, zaś na podstawie art. 167 ust. 1 tej samej ustawy, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Z kolei na podstawie art. 160 tej samej ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu  na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r., poz. 1257).  Natomiast jeśli proces przetwarzania danych osobowych w sprawach wszczętych przed 25 maja 2018 roku nadal trwa to jego prawidłowość i legalność jest badana przez Urząd Ochrony Danych Osobowych w oparciu o przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/676 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej RODO. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.

Wskazać należy, że skarżony proces przetwarzania danych osobowych Skarżącego i jego małoletniego syna polegający na udostępnieniu przez Spółkę danych osobowych do PPIS musi być oceniany zgodnie z przepisami obowiązującymi w chwili wystąpienia tego zdarzenia, natomiast obecny proces przetwarzania prowadzony przez PPIS powinien podlegać ocenie na gruncie przepisów obowiązujących w dniu wydania niniejszej decyzji.

Uwzględniając powyższe oraz biorąc pod uwagę wnioski Skarżących o ponowne rozpatrzenie sprawy, ponownie należy rozróżnić dwie kategorie danych osobowych, tj. dane osobowe „zwykłe” oraz dane osobowe „wrażliwe”, których wyczerpujący katalog znajdował się w art. 27 ust. 1 u.o.d.o.’1997., a po 25 maja 2018 roku, katalog danych wrażliwych regulowany jest treścią art. 9 ust. 1 RODO. Przetwarzanie pierwszej z ww. kategorii danych osobowych (tzw. zwykłych) było dopuszczalne jedynie w przypadkach wskazanych w art. 23 ust. 1 u.o.d.o.’1997. (obecnie art. 6 RODO). Przesłanki legalności przetwarzania drugiej kategorii danych tj. danych osobowych „wrażliwych” określone były natomiast w art. 27 ust. 2 u.o.d.o.’1997. ( obecnie art. 9 ust. 2 RODO). Każda z przesłanek określonych w ww. art. 23 ust. 1 i art. 27 ust. 2 u.o.d.o.’1997., a stanowiących o legalności przetwarzania danych osobowych, miała charakter autonomiczny i niezależny. Oznacza to, że spełnienie co najmniej jednej z nich stanowiło o zgodnym z prawem przetwarzaniu danych osobowych. Należy wskazać, że zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o.’1997., przetwarzanie danych bez zgody osoby, której dane dotyczą, było dopuszczalne w przypadku, gdy było to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie natomiast z art. 27 ust. 2 pkt 2 u.o.d.o.’1997., przetwarzanie danych „wrażliwych” bez zgody osoby, której dane dotyczą było dozwolone w przypadku, gdy przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzał pełne gwarancje ich ochrony.

Jednocześnie wskazać należy, że zgodnie z art. 5 ust. 1 pkt 1 ppkt b u.z.z., osoby przebywające na terytorium Rzeczpospolitej Polskiej są obowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. W przypadku osoby nie posiadającej pełnej zdolności do czynności prawnych, odpowiedzialność za wypełnienie obowiązków ponosi osoba, która sprawuje prawną pieczę nad osobą małoletnią lub bezradną, albo opiekun faktyczny w rozumieniu art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r, o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 ze zm.). Ponadto zgodnie z art. 5 ust. 1 pkt 4 u.z.z., osoby przebywające na terytorium Rzeczpospolitej Polskiej są obowiązane na zasadach określonych w tej ustawie do : a) udzielania danych i informacji organom Państwowej Inspekcji Sanitarnej, Wojskowej Inspekcji Sanitarnej, Państwowej Inspekcji Sanitarnej Ministerstwa Spraw Wewnętrznych, Inspekcji Weterynaryjnej, Wojskowej Inspekcji Weterynaryjnej, Inspekcji Ochrony Środowiska, jednostkom, o których mowa w art. 30 ust. 1, oraz ośrodkom referencyjnym i instytutom badawczym – niezbędnych do prowadzenia nadzoru epidemiologicznego nad niepożądanymi odczynami poszczepiennymi; oraz c) organom Państwowej Inspekcji Sanitarnej – niezbędnych do sprawowania nadzoru nad realizacją obowiązków, o których mowa w art. 5 ust. 1 pkt 1-3 u.z.z. Zgodnie natomiast z art. 17 ust. 8 u.z.z osoby przeprowadzające szczepienia ochronne prowadzą dokumentacje medyczną dotyczącą obowiązkowych szczepień ochronnych, w tym przechowują karty uodpornienia oraz dokonują wpisów potwierdzających wykonanie szczepienia (pkt 1) i sporządzają sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu szczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu (pkt 2). Rozporządzenie wydane na podstawie art. 17 ust. 10 u.z.z określa w załączniku nr 4 wzór sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych, zgodnie z którym w dziale drugim znajduje się wykaz osób uchylających się od szczepień ochronnych.

Ponownego podkreślenia wymaga, że art. 17 ust. 8 pkt 2 u.z.z. w związku z art. 27 ust. 2 pkt 2 u.o.d.o.’1997., stanowi podstawę przekazania danych osobowych małoletniego syna Skarżącego PPIS,  w tym danych o jego stanie zdrowia. W Rozporządzeniu natomiast określone zostały jedynie kwestie organizacyjne i techniczne pozwalające usystematyzować obieg opisanych w nim dokumentów. Ponownie zatem stwierdzić należy, że Spółka na podstawie art. 17 ust. 8 pkt 2 u.z.z. była zobligowana do poinformowania o niewypełnieniu obowiązku poddania się obowiązkowym sczepieniom ochronnym, z uwagi na to, że PPIS na podstawie art. 5 ust. 3 w zw. z art. 10 ust. 1 pkt 3 u.p.i.s w zw. z art. 5 ust. 1 pkt 4 ppkt c u.z.z. sprawuje nadzór w zakresie realizacji obowiązku poddawania się szczepieniom ochronnym.

Jak wskazano w decyzji organu z dnia 1 sierpnia 2017 roku poza opisanym powyżej uprawnieniem PPIS do pozyskiwania danych osobowych osób nierealizujących obowiązku szczepień ochronnych, ustawodawca przewidział dla tego rodzaju organów możliwość przetwarzania danych, w ramach wykonywania nadzoru nad realizacją ww. obowiązku. Odnosząc się zatem ponownie do wyrażonego w treści skargi żądania o spowodowanie zaprzestania przetwarzania danych osobowych Skarżącego oraz jego syna przez PPIS wskazać należy, że przestrzeganie ustawowego obowiązku poddania się szczepieniom ochronnym przeciw chorobom zakaźnym wynikającym z  art. 5 ust. 1 pkt 1 ppkt b u.z.z., jak również udzielenie informacji dotyczących jego realizacji, zabezpieczone zostało przymusem administracyjnym (stanowisko potwierdzone m.in. w wyroku Wojewódzkiego Sądu Administracyjnego w Kielcach z dnia 21 lutego 2013 r., sygn.. akt II SA/Ke 7/13). Zgodnie bowiem z art. 3 § 1 w zw. z art. 2 § 1 pkt 10 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. 0216 r. poz. 599 ze zm) [dalej: u.p.e.a.], egzekucję administracyjna stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu. W rozumieniu art. 1a pkt 13 u.p.e.a. wierzycielem jest podmiot uprawiony do żądania wykonania obowiązku lub jego zabezpieczenia w administracyjnym postępowaniu egzekucyjnym lub zabezpieczającym, natomiast zgodnie z art. 5 § 1 pkt 2 u.p.e.a. uprawnionym do żądania wykonania w drodze egzekucji administracyjnej obowiązku określonego w art. 2 § 1 pkt 10 u.p.e.a. jest organ lub instytucja bezpośrednio zainteresowana w wykonaniu przez zobowiązanego obowiązku albo powołana do czuwania nad wykonaniem obowiązku (podobnie: wyrok Naczelnego Sądu Administracyjnego w Bydgoszczy z dnia 9 czerwca 2015 r., sygn.. akt II SA/Bd 432/15). Uznać zatem należy, że sprawozdanie sporządzane na podstawie art. 17 ust. 8 pkt 2 u.z.z. powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych czynności egzekucyjnych w przypadku niewykonania obowiązku. Podkreślić bowiem należy, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy o postępowaniu egzekucyjnym. Zgodnie z art. 27 § 1 pkt 2 i 3 u.p.e.a., tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL zobowiązanego oraz treść podlegającego egzekucji obowiązku.

Tym samym ponownie należy wskazać, że zgodnie z art. 5 ust. 1 pkt 4 ppkt c u.z.z., PPIS sprawuje nadzór nad wykonywaniem obowiązku szczepień ochronnych oraz określa ich zakres i termin (art. 5 pkt 3 u.p.i.s.). Należy uznać, że PPIS jest uprawniony także do dochodzenia wykonania obowiązku szczepień na drodze postępowania egzekucyjnego w administracji. Zwrócić należy uwagę, że art. 15 § 1 u.p.e.a. obliguje wierzyciela, do wysłania zobowiązanej osobie upomnienia przed wszczęciem postepowania egzekucyjnego.

Mając na względzie całokształt ustaleń faktycznych poczynionych w sprawie ponownie należy stwierdzić, że przekazanie przez Spółkę PPIS danych osobowych Skarżącego i jego małoletniego syna w zakresie imion, nazwisk, adresu zamieszkania i nr PESEL syna Skarżącego oraz informacji o niepoddaniu jego szczepieniom ochronnym było celowe i adekwatne, ponieważ umożliwiało wykonywanie przez PPIS nadzoru w zakresie realizacji obowiązku szczepień ochronnych.

Prawidłowo zatem Generalny Inspektor Ochrony Danych Osobowych stwierdził w decyzji z 1 sierpnia 2017 roku, że przetwarzanie danych dotyczących stanu zdrowia małoletniego syna Skarżącego przez PPIS, w zakresie niewykonania obowiązkowego szczepienia ochronnego, miało oparcie w przesłance określonej w art. 27 ust. 2 pkt 2 u.o.d.o.’1997., natomiast w przypadku danych Skarżącego, w przesłance wskazanej w art. 23 ust. 1 pkt 2 u.o.d.o.’1997. Ponownie podkreślenia wymaga, że PPIS, zgodnie z art. 15 § 1 u.p.e.a. w zw. a art. 5 ust. 2 u.z.z. był obowiązany wezwać Skarżącego do wykonania ciążącego na nim obowiązku.

Odnosząc się natomiast do trwającego procesu przetwarzania danych Skarżącego i jego małoletniego syna, wskazać należy iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze  (art. 6 ust. 1 lit. c RODO). Jak wskazano wyżej, na PPIS ciąży prawny obowiązek sprawowania nadzoru nad realizacją obowiązku wykonywania szczepień ochronnych, w związku z czym art. 6 ust. 1 lit. c RODO należy uznać za podstawę prawną zezwalającą na przetwarzanie danych „zwykłych” Skarżącej i jej małoletniej córki jakimi są imiona, nazwiska, i adres zamieszkania.

Co więcej, ze względu na szczególną kategorię danych (tzw. danych „wrażliwych”) jakimi są dane o stanie zdrowia dotyczące informacji o poddaniu szczepieniom ochronnym małoletniego, przetwarzanych w przedmiotowej sprawie zastosowanie ma również art. 9 RODO, zgodnie z którym przetwarzanie danych wrażliwych jest dozwolone tylko jeśli spełniony jest jeden z warunków art. 9 ust. 2 RODO. Jako możliwe przesłanki zezwalającą na przetwarzanie przepis ten wymienia: przetwarzanie danych do celów profilaktyki zdrowotnej (…) na podstawie prawa Unii lub prawa państwa członkowskiego z zastrzeżeniami ust. 3 (lit. h), przetwarzanie niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i).

W przedmiotowej sprawie za podstawę prawną można uznać zarówno art. 9 ust. 2 lit h, w związku z prowadzoną profilaktyką zdrowotną, jak i art. 9 ust. 2 lit. i, w związku z interesem publicznym w dziedzinie zdrowia publicznego, jakim jest zapobieganie epidemiom chorób zakaźnych. Obie te podstawy zakładają istnienie podstawy prawnej w postaci przepisu na szczeblu Unii Europejskiej bądź przyjętym przez państwo członkowskie Unii Europejskiej. W tym przypadku, wskazać należy przepisy ustawy o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi.

Zgodnie z powyższą analizą, art. 17 ust. 8 pkt 2 u.z.z. należy uznać za przepis zezwalający również na przetwarzanie danych osobowych wrażliwych przez PPIS (tj. dotyczących informacji o poddaniu szczepieniom ochronnym małoletniego). Ponadto, ustawodawca przewidział uprawnienia do pozyskiwania informacji o osobach w celu umożliwienia efektywnego nadzoru nad realizacją obowiązku szczepień ochronnych zgodnie z art. 5 ust. 1 pkt 1 lit. b u.z.z. w zw. z art. 3 ust. 1 u.p.e.a. Powyższe oznacza, że przetwarzanie danych osobowych przez PPIS w zakresie informacji o poddaniu się szczepieniom ochronnym ma oparcie w przesłankach określonych w art. 9 ust. 2 lit. h oraz i RODO.

Decyzja jest ostateczna. Na podstawie art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2018 poz. 1302) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie (ul. Jasna 2/4, 00 – 013 Warszawa), w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy