II SA/Wa 1078/23

II SA/Wa 1078/23 - Wyrok WSA w Warszawie
Data orzeczenia
2023-11-15
orzeczenie nieprawomocne
Data wpływu
2023-05-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Joanna Kruszewska-Grońska /przewodniczący/
Łukasz Krzycki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Dorota Kozub-Marciniak, , po rozpoznaniu w trybie uproszczonym w dniu 15 listopada 2023 r. sprawy ze skargi [...] Izby Lekarskiej z siedzibą w [...] na decyzję Prezes Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Zaskarżoną decyzją – przywołując art. 104 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.), zwanej dalej "K.p.a.", oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi p. J. C., zwanej dalej "Wnioskodawcą", na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Izbę Lekarską, zwaną dalej "Izbą", poprzez udostępnienie dotyczących wynagrodzenia danych osobowych Wnioskodawcy p. J. K., zwanemu dalej "Pracownikiem" - udzielono Izbie, upomnienia za naruszenie art. 5 ust. 1 lit. b oraz art. 6 ust. 1 RODO, polegającego na udostępnieniu danych osobowych niezgodnie z celem, dla którego zostały zebrane.
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- Wnioskodawca w skardze poinformował, że pracował w Izbie, gdzie - przez kilka lat [...] był Pracownik; we wrześniu 2020 roku Wnioskodawca występował jako świadek - przed Okręgowym Sądem Lekarskim w [...] (Okręgowy Sąd Lekarski [...] Izby Lekarskiej), zwanym dalej "Sądem Lekarskim" - w sprawie przeciwko Pracownikowi o jego nieetyczne postępowanie wobec jednego z pracowników izby (sygn. akt: [...]); stroną postępowania był Pracownik, zaś Izba nie była stroną tego postępowania; Pracownik z własnej woli - bez wezwania sądu ani jakiegokolwiek innego nakazu uprawnionego do tego organu - pozyskał informacje, dotyczące wynagrodzeń Wnioskodawcy (w tym wypłat za pracę w godzinach nadliczbowych) - nie będąc osobą do tego uprawnioną ani zobowiązaną; następnie posłużył się nimi - przesyłając je do Sądu Lekarskiego; wobec tego Wnioskodawca wniósł o przeprowadzenie kontroli w Izbie – w zakresie wdrożonych procedur oraz ochrony danych osobowych - w tym Wnioskodawcy, jako byłego pracownika tej instytucji,
- wobec skargi Wnioskodawcy ustalono następujący stan faktyczny:
- Wnioskodawca był pracownikiem Izby do [...] grudnia 2018 r. (tak: skarga, wyjaśnienia Izby z [...] kwietnia 2021 r.);
- Pracownik pełnił funkcję [...] Okręgowej Rady Lekarskiej w [...] (dalej ORL) - od [...] kwietnia 2018 r. do [...] grudnia 2020 r. (tak: wyjaśnienia Izby z [...] marca 2021 r., kopia obwieszczenia Przewodniczącego Okręgowej Komisji Wyborczej w [...] z [...] kwietnia 2018 r. o wynikach wyborów do Prezydium ORL, kopia uchwały nr [...] Prezydium Okręgowej Komisji Wyborczej z [...] z [...] grudnia 2020 r w sprawie: wygaśnięcia mandatu delegata na Okręgowy Zjazd lekarzy w [...], członka ORL),
- Pracownika zatrudniono jako [...] ORL oraz przypisano mu obowiązki, do których - zgodnie z §13 ust. 1 lit. g Regulaminu ORL - należało "podejmowanie czynności z zakresu prawa pracy wobec pracowników [...] Izby Lekarskiej" (tak: wyjaśnienia Izby z [...] marca 2021 r., kopia Regulaminu ORL, uchwała Nr [...] Prezydium ORL z [...] kwietnia 2018 r. w sprawie: zatrudnienia [...] ORL);
- we wrześniu 2020 r. Pracownik - jako [...] ORL - wydał ustne polecenie pracownikowi Działu Kadr i Płac; nakazał wydruk kart wynagrodzeń Wnioskodawcy (dowód, wyjaśnienia Izby z [...] marca 2021 r., notatka służbowa pracownika Działu Kadr i Płac);
- Izba nie wie, jakich czynności z zakresu prawa pracy dokonał Pracownik w związku z pozyskaniem informacji, dotyczącej wynagrodzenia Wnioskodawcy w 2020 roku; jako ówczesny [...] nie był zobowiązany tłumaczyć podwładnym pracownikom celu polecenia służbowego (tak: wyjaśnienia Izby z [...] kwietnia 2021 r.);
- w Izbie we wrześniu 2020 roku obowiązywała Polityka Ochrony Danych Osobowych - wprowadzona Uchwałą nr [...] ORL w [...] z dnia 12 września 2018 r. określająca zasady przetwarzania danych osobowych oraz zabezpieczenia organizacyjne i techniczne w odniesieniu do danych osobowych; Pracownika upoważniono do przetwarzania danych osobowych oraz zobowiązano do zachowania wszelkich informacji w tajemnicy - w trakcie trwania umowy jak i po jej ustaniu (tak: wyjaśnienia Izby z [...] marca 2021 r., kopia Polityki Ochrony Danych Osobowych, kopia upoważnienia Pracownika do przetwarzania danych osobowych, kopia oświadczenia Pracownika o zachowaniu tajemnicy);
- Pracownik załączył do postępowania przed Sądem Lekarskim listę płac Wnioskodawcy - na okoliczność wypłacanego wynagrodzenia z tytułu nadgodzin (tak: kopia wniosku obrońcy obwinionego z [...] października 2020 r.);
- Izba nie była stroną postępowania przed Sądem Lekarskim (tak: wyjaśnienia Izby z [...] kwietnia 2021 r.),
- RODO określa obowiązki administratora; należy do nich przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu; przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych jest dopuszczalne tylko, gdy spełniono jedną z przesłanek, wskazanych w tym przepisie; ich katalog jest zamknięty; każda z legalizujących proces przetwarzania danych osobowych przesłanek jest autonomiczna i niezależna; są one więc - co do zasady - równoprawne; wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych; w konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych; proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator wykaże spełnienie innej spośród przesłanek; niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO); proces przetwarzania danych osobowych musi być jednocześnie zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO; zalicza się do nich m.in. zasadę ograniczenia celu; zakłada ona, że dane osobowe mają być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- zgodnie ponadto z art. 4 pkt 7 RODO, pod pojęciem "administratora" należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; w przepisach dotyczących ochrony danych osobowych nie przewidziano zatem możliwości prowadzenia postępowania wobec konkretnej osoby - pracownika, a jedynie wobec administratora - tu Izby,
- na Izbie ciąży zapewnienie zgodności z prawem operacji przetwarzania danych osobowych - tym samym sprawowanie kontroli jakie dane, kiedy i komu udostępniano; wiąże się to również z obowiązkiem administratora dokładania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą; "Administratora obciąża bowiem wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1, tj. zasady zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności, ale także o realizację określonej w art. 5 ust. 2 zasady rozliczalności, nakładającej na administratora odpowiedzialność za przestrzeganie ww. zasad przetwarzania oraz zobowiązanie do zapewnienia możliwości wykazania zgodności’’ (tak: D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bieiak-Jomaa, Warszawa 2018, art. 24),
- w przedmiotowej sprawie ustalono, że Izba przetwarza dane osobowe Wnioskodawcy, w celach archiwalnych - w związku z tym, że był on w przeszłości jej pracownikiem; Izba jest obowiązana - jako pracodawca -przetwarzać dokumentację płacową dotyczącą swoich pracowników; organ nie neguje też potrzeby Pracownika obrony w sprawie zawisłej przed Sądem Lekarskim lecz sposób wykorzystania danych osobowych Wnioskodawcy - pochodzących z akt płacowych Izby; Pracownik miał prawo pozyskać i następnie wykorzystać dane osobowe Wnioskodawcy, jeżeli było to niezbędne do ochrony jego praw; powinien był to jednakże uczynić z zachowaniem zasad, wynikających z przepisów o ochronie danych osobowych; Izba nie dopełniła obowiązku dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą - w szczególności obowiązku zapewnienia, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami; Izba- jako administrator - powinna mieć pełną kontrolę nad procesem przetwarzania danych tak, aby był on zgodny z przepisami prawa; musi mieć też pełną wiedzę na temat całości procesu przetwarzania danych oraz weryfikować zachowania pracowników - pod kątem przestrzegania przez nich zasad ochrony danych osobowych; Izba powinna odnotować fakt wykorzystania danych osobowych Wnioskodawcy, zawartych w aktach płacowych przez Pracownika, a - przed ich udostępnieniem - ocenić czy ich przekazanie mieści się w jej prawnie uzasadnionych interesach; z akt postępowania wynika tymczasem, że Izba nie miała wiedzy na temat wykorzystania danych osobowych, pochodzących z jej zbiorów, w prywatnej sprawie Pracownika,
- jest bez znaczenia nadanie Pracownikowi upoważnienia do przetwarzania danych osobowych; obejmuje ono bowiem tylko procesy przetwarzania w zakresie niezbędnym do wykonywania obowiązków, wynikających ze stosunku pracy i realizowanych zadań w określonych przez administratora celach; należy podzielić również aktualne - na gruncie RODO - stanowisko Naczelnego Sądu Administracyjnego w Warszawie, wyrażone w wyroku z 4 kwietnia 2003 r., (sygn. akt II SA 2935/02), że - za działania swoich pracowników w zakresie naruszenia ustawy z 1997 roku o ochronie danych osobowych - odpowiada administrator; ustalone powyżej okoliczności potwierdzają, że udostępnienie przez Izbę danych osobowych Wnioskodawcy, do celów prywatnych Pracownika stanowiło naruszenie art. 5 ust. 1 lit. b oraz art. 6 ust. 1 RODO,
- ocena dokonywana przez organ służy w każdym przypadku zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych; jest to uzasadnione i potrzebne jeżeli nieprawidłowości w procesie przetwarzania danych osobowych istnieją; na podstawie art. 58 ust. 2 RODO przysługują organowi uprawnienia naprawcze - w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b); biorąc to pod uwagę oraz charakter kwestionowanego zachowania - mianowicie jego nieodwracalność - zdecydowano o zastosowaniu wobec Izby upomnienia.
W skardze zarzucono wydanie decyzji z naruszeniem przepisów:
- prawa materialnego - art. 5 ust. 1 lit. b oraz art. 6 ust. 1 RODO, poprzez ich niewłaściwe zastosowanie i przyjęcie, że udostępnienie Pracownikowi danych osobowych Wnioskodawcy, dotyczących wynagrodzenia, nastąpiło niezgodnie z celem, dla którego zostały zebrane; skutkowało to niesłusznym uznaniem, że doszło do naruszenia przepisów RODO, skutkujących upomnieniem Izby; udostępnienie danych Pracownika nastąpiło natomiast zgodnie z posiadanym przezeń upoważnieniem do przetwarzania danych osobowych,
- postępowania - art. 7, 77 § 1 i art. 80 K.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie; przejawiało się to w uznaniu, że Izba udostępniła Pracownikowi dane osobowe Wnioskodawcy, dotyczące wynagrodzenia niezgodnie z celem, dla którego zostały zebrane; Pracownik - w dacie udostępnienia dotyczących wynagrodzenia Wnioskodawcy danych osobowych - był władny je pozyskać w ramach posiadanych uprawnień.
W uzasadnieniu skargi rozwinięto powyższe zarzuty wywodząc, że - skoro Izba dopełniła wszystkich powinności (Pracownik dysponował stosownym upoważnieniem i było ono adekwatne do wykonywanych zadań) - nie sposób przypisać jej winy za zaistniałą sytuację - wykorzystania danych Wnioskodawcy w celach innych niż były one gromadzone przez Izbę (archiwizacji danych, wobec uprzedniego zatrudnienia). Podnoszono też, że - wedle stanowiska, które sam prezentuje organ - co do zasady, obrona praw przed sądem - przy wykorzystaniu wszelkich środków dowodowych, podlegających ocenie niezawisłego sądu - jest działaniem w prawnie uzasadnionym interesie, o którym mowa w RODO.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Sąd zważył, co następuje.
Skarga nie zasługuje na uwzględnienie, gdyż zaskarżona decyzja nie narusza prawa.
Trafnie organ ustalił istotne uwarunkowania faktyczne sprawy a także przywołał jej ramy prawne w kwestii istnienia podstaw prawnych dla wydania decyzji, którą udzielono Izbie upomnienia – w związku z naruszeniem reguł przetwarzania danych osobowych Wnioskodawcy. Wobec szczegółowego zreferowanie stanowiska organu powtarzanie jego argumentacji byłoby bezzasadne. Sąd przyjmuje ją za własną.
Wobec zarzutów skargi należy dodać jedynie co następuje.
W sprawie są bezsporne kluczowe fakty - wykorzystanie przez Pracownika w postępowaniu przed Sądem Lekarskim danych osobowych, dotyczących wynagrodzenia Wnioskodawcy, których administratorem była Izba, niezgodnie z celem z jakim je zgromadzono (dla potrzeb Izby). Jest też poza sporem, że Pracownika upoważniono do pozyskiwania danych płacowych w Izbie dla celów wykonywania jego zadań określanych jako czynności z zakresu prawa pracy.
Spór sprowadza się do tego, czy - wobec wykorzystania danych Wnioskodawcy niezgodnie z celem, w jakim były gromadzone (w trakcie procesu, gdzie stroną był Pracownik nie zaś Izba) - można przypisać Izbie odpowiedzialność za konkretną nieprawidłowość w procesie przetwarzania. Jest to bowiem niezbędną przesłanką udzielenia upomnienia. Instytucja ta, jako środek dyscyplinujący, ma bowiem służyć eliminowaniu nieprawidłowości po stronie administratora, nie zaś stanowić wyłącznie urzędowe potwierdzenie wystąpienia nieprawidłowości w zakresie przetwarzania danych. Stanowisko takie Sąd w tym składzie podziela.
Odnosząc się do zarzutów skargi w tym kontekście należy wskazać, że są one bezzasadne.
W uzasadnieniu skarżonego aktu organ wskazał jednoznacznie, że nieprawidłowości w zakresie przetwarzania danych Wnioskodawcy - właściwej ochrony informacji o jego wynagrodzeniu - dopatruje się w braku właściwego monitorowania pozyskiwania konkretnych informacji przez osobę, wykonującą zadania określone jako czynności z zakresu prawa pracy - tu Pracownika. Organ odnotował, że Izba nie dysponowała informacjami, jakie dane o płacach były pozyskiwane z administrowanych zasobów oraz w jakich celach. Nieprawidłowości w tym zakresie ujawniono dopiero wobec wystąpienia zgłoszonego przez Wnioskodawcę przypadku wykorzystania jego danych osobowych w innych celach niż je zgromadzono (legalnie przetwarzał je administrator - Izba).
Wobec wystąpienia zgłoszonego przypadku nie uprawnionego transferu i użycia danych osobowych Wnioskodawcy nie sposób kwestionować, że proces przetwarzania danych - w kontekście ich pozyskiwania z bazy administrowanej przez Izbę - nie był zdaniem organu właściwie nadzorowany (nie wdrożono właściwych procedur dokumentowania pobierania danych, ze wskazaniem celu).
W takiej sytuacji organ - w granicach uznania administracyjnego - mógł uznać za stosowne udzielenie Izbie upomnienia, w myśl art. 58 ust. 2 lit. b RODO.
Nie sposób natomiast udzielenie upomnienia Izbie traktować jako konsekwencję samego faktu wykorzystania przed Sądem Lekarskim przez Pracownika danych, pozyskanych poza zakresem swojego upoważnienia - które dotyczyło wykonywania zadań na rzecz samej Izby.
Chybione są wywody skargi, gdzie wskazywano, że legalność użycia określonych danych osobowych Wnioskodawcy przez Pracownika należy rozważać w kontekście ochrony jego praw przed sądem - przy wykorzystaniu wszelkich środków dowodowych. W danym przypadku bowiem przedmiotem rozważań organu nie było przetworzenie danych osobowych Wnioskodawcy przez Pracownika w ramach ich przedłożenia w postępowaniu przed Sądem Lekarskim (nie stanowiło to przetworzenia danych przez samą Izbę), lecz wyłącznie proces ich pozyskania z zasobów Izby, jako ich administratora. Pracownik uczynił to wykraczając poza wykonywanie zadań na jej rzecz, co było następstwem braku właściwych procedur nadzoru ze strony administratora.
Wobec powyższego - wydając skarżoną decyzję - nie uchybiono wskazanym w skardze przypisom prawa materialnego, określającym ramy legalnego przetwarzania danych osobowych ani też innym - statuującym kompetencje wyspecjalizowanego w sprawach ochrony danych osobowych organu, w razie stwierdzenia nieprawidłowości w danym zakresie. Nie naruszono też wymienionych w skardze przepisów postępowania co do powinności właściwego wyjaśnienia sprawy. Żadne jej istotne okoliczności faktyczne nie są bowiem sporne.
Sąd nie dopatrzył się więc w zaskarżonym akcie - w świetle zarzutów skargi ani z urzędu - wad, które uzasadniałyby jego wyeliminowanie z obrotu prawnego.
Z przytoczonych wyżej przyczyn - na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 1634) - orzeczono jak w sentencji.
-----------------------
19