II SA/WA 1724/21

II SA/Wa 1724/21 - Wyrok WSA w Warszawie
Data orzeczenia
2021-09-29
orzeczenie prawomocne
Data wpływu
2021-04-30
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa
Janusz Walawski /przewodniczący/
Karolina Kisielewicz /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 1018/22 - Wyrok NSA z 2025-05-29
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2018 poz 1000
art. 101a ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. c, art. 6 ust. 1 lit. f, art. 7 ust. 1, art. 34 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski, Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Karolina Kisielewicz (spr.), po rozpoznaniu na posiedzeniu niejawnym w dniu 29 września 2021 r. sprawy ze skargi M. S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
M. S. zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję z [...] marca 2021 r. (nr [...]), którą Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 k.p.a w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 5 ust. 1 lit. c. art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46AVE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), udzielił upomnienia [...] Sp. z o.o. z siedzibą w [...] za naruszenie art. 5 ust. 1 lit. c oraz art. 6 ust. 1 rozporządzenia, polegające na udostępnieniu przez pracownika Spółki danych osobowych skarżącego, zawartych w treści e-maila z dnia [...] lutego 2019 r. na rzecz osoby nieuprawnionej.
Z okoliczności faktycznych sprawy wynika, że M. S. w dniu [...] października 2020 r. złożył do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o.o. z siedzibą w [...], polegające na udostępnieniu jego danych osobowych na rzecz osób nieuprawnionych.
Skarżący podał, że w dniu [...] lutego 2019 r. pracownik Spółki (jego ówczesny przełożony) wysłał wiadomość mailową, zawierającą jego dane osobowe takie jak imię, nazwisko oraz informację o rezygnacji z pracy do pracowników Spółki oraz do Z. K., który nie był jej pracownikiem "w celu postawienia go w negatywnym świetle". W ten sposób doszło do naruszenia art. 6 ust. 1 lit b i f rozporządzenia. Spółka ponadto nie zgłosiła naruszenia organowi właściwemu zgodnie z art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
M. S. wniósł o wydanie decyzji zobowiązującej Spółkę do usunięcia tych danych oraz nałożenia na nią jako administratora danych osobowych stosownej kary pieniężnej.
[...] Sp. z o.o. z siedzibą w [...] w piśmie z [...] listopada 2020 r., podała, że w dniu [...] lutego 2019 r. M. S. był jej pracownikiem i Spółka przetwarzała jego dane osobowe (imię, nazwisko) na podstawie art. 6 ust. 1 lit c rozporządzenia oraz art. 221 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz.U. z 2020 r., poz. 1320).
Spółka wyjaśniła, że w dniu [...] lutego 2019 r. bezpośredni przełożony skarżącego (J. R.) w wiadomości skierowanej do podlegających mu pracowników z tej samej komórki organizacyjnej Spółki poinformował, że "w związku z rezygnacją z pracy na stanowisku M. S. na rzecz własnego pomysłu na życie, proszę o uwzględnienie powyższego w grafiku na marzec 2019". Informacja ta, zawierająca jedynie dane osobowe skarżącego w postaci wyłącznie jego imienia i nazwiska, miała na celu zabezpieczenie ciągłości pracy Spółki (ustalenie grafiku).
[...] Sp. z o.o. z siedzibą w [...] podała, że wśród adresatów tej wiadomości znalazł się klient Spółki i wyjaśniła, że w momencie powzięcia wiadomości o wysłaniu wiadomości do niewłaściwej osoby, wysłała do niej kolejną wiadomość z prośbą o usunięcie poprzedniej, jako błędnie do niej skierowanej. Adresat potwierdził usunięcie wiadomości email. O powyższym naruszeniu został poinformowany zarząd Spółki, który przeprowadził rozmowę dyscyplinującą z J. R.
Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] marca 2021 r. na podstawie art. 58 ust. 2 lit. b rozporządzenia 2016/679 udzielił upomnienia [...] Sp. z o.o. z siedzibą w [...] za naruszenie art. 5 ust. 1 lit. c oraz art. 6 ust. 1 rozporządzenia. Organ stwierdził, że udostępnienie przez pracownika Spółki danych osobowych skarżącego, zawartych w treści e-maila z dnia [...] lutego 2019 r. osobie trzeciej, niebędącej pracownikiem spółki, stanowiło naruszenie art. 5 ust. 1 lit. c (zasady minimalizacji danych) oraz było niezgodne z art. 6 ust. 1 rozporządzenia.
Organ podał, że udostępnienie danych osobowych skarżącego, zawartych w wiadomości e-mail pracownikom Spółki, znajdowało oparcie w art. 6 ust. 1 lit. f rozporządzenia, który stanowi, że przetwarzanie danych jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Spółka dokonała udostępnienia danych osobowych skarżącego na podstawie art. 221 k.p. Organ podkreślił, że Spółka przekazała byłym współpracownikom skarżącego minimalny zakres jego danych osobowych, tj. imię i nazwisko, wyłącznie w celu ustalenia grafiku pracy i zapewnienia w ten sposób ciągłości pracy w Spółce, w związku z rozwiązaniem z M. S. umowy o pracę z dniem [...] marca 2019 r.
Prezes Urzędu Ochrony Danych Osobowych wyjaśnił, że niektóre z uprawień naprawczych które mu przysługują na podstawie art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 służą przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych i mogą być zastosowane o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. Zdaniem organu, w okolicznościach rozpatrywanej sprawy właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 5 ust. 1 lit. c oraz art. 6 ust. 1 RODO. Organ odnosząc się do pozostałych żądań skarżącego zawartych w skardze na niezgodne z prawem przetwarzanie danych osobowych podał, że na żądanie osoby składającej skargę nie przeprowadza kontroli co do zgodności przetwarzania danych osobowych oraz nie wymierza administracyjnych kar pieniężnych oraz że sprawa dotycząca ewentualnego naruszenia dóbr osobistych skarżącego należy do właściwości sądu powszechnego, nie zaś Prezesa Urzędu Ochrony Danych Osobowych.
M. S. w skardze wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r. zarzucił organowi naruszenie art. 7 w zw. z art. 77 § 1 k.p.a. przez niewyczerpujące rozpatrzenie materiału dowodowego i w konsekwencji nieustalenie, czy jego były pracodawca miał co do zasady prawo posługiwania się adresem e-mali pracownika. Zdaniem skarżącego, jego były pracodawca w ogóle nie był uprawniony do przetwarzania jego danych osobowych w postaci adresu poczty e-mail i wysyłania jego danych osobowych innym pracownikom oraz klientowi [...] Sp. z o.o. Skarżący dodał, że znajdujące się w aktach sprawy upoważnienia do przetwarzania danych osobowych mają charakter ogólny, gdyż ograniczają się wyłącznie do wskazania dwóch zbiorów danych: zawartych w zbiorze papierowym oraz w systemie informatycznym i w związku z tym nie mogą stanowić "skutecznej" podstawy do udzielania adresatom maila dostępu do danych osobowych skarżącego (otrzymywania tych danych na niezabezpieczone skrzynki mailowe). Skarżący podniósł, że w aktach sprawy brak jest upoważnienia dla Z. K., który był jednym z adresatów poczty mailowej z [...] lutego 2020 r., co potwierdza, że nie był uprawniony do przetwarzania jakichkolwiek danych osobowych przetwarzanych przez Spółkę.
Zdaniem skarżącego, zaskarżona decyzja została wydana z naruszeniem art.6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, poprzez błędną jego wykładnię i w konsekwencji nieuzasadnione przyjęcie, że wysyłanie maila zawierającego dane osobowe pracownika: imię nazwisko, adres poczty e-mail do pracowników i osoby trzeciej jest uzasadnione ważnym interesem administratora danych osobowych oraz że interes ten jest ważniejszy niż interes osoby, której dane byty przetwarzane. M. S. podniósł, że w mailu ujawniono jego imię i nazwisko, informację, że był pracownikiem Spółki oraz że "nie podjął wyzwania", co jego zdaniem miało na celu pokazanie pozostałym pracownikom Spółki, że nie nadawał się do pracy na tym stanowisku i że jego właściwości oraz cechy nie pozwoliły mu na prawidłowe wykonywanie obowiązków. Zgodnie z art. 94 pkt 9 i art. 943 § 1 k.p., pracodawca jest obowiązany stosować obiektywne i sprawiedliwe kryteria oceny pracowników oraz oceny ich pracy, a także zobowiązany jest do przeciwdziałania wszelkim praktykom mobbingowym. Pisanie przez przełożonego w godzinach wieczornych do pracowników, że skarżący jest osobą niepodejmującą wyzwań zawodowych i wskazywanie tej okoliczności jako przyczyny rezygnacji z pracy stanowi jaskrawy przykład naruszenia dóbr osobistych pracownika. Nie istniał żaden uzasadniony interes prawny pracodawcy jako administratora danych osobowych, aby wysyłać do pracowników tego typu maila. Przełożony zdecydował się postawić pracownika w złym świetle, w tym także przed klientem [...] Sp. z o.o. Skarżący dodał, że art. 221 k.p. nie pozwala na wysyłanie jakichkolwiek ocen pracownika innym pracownikom, a także na przekazywanie danych o zatrudnieniu klientom administratora, a także na przetwarzanie adresu mailowego pracownika. Nietrafna jest zatem ocena organu, że istniał ważny interes Spółki (ówczesnego pracodawcy skarżącego) aby wysłać maila z jego danymi osobowymi do pracowników i osoby trzeciej. To zaś prowadzi, zdaniem skarżącego do wniosku, że organ naruszył art. 221 i art. 943 pkt 9 i 94 § 1 k.p. poprzez ich niezastosowanie.
Skarżący dodał, że w przypadku wysłania maila nie można mówić o nieumyślności. Treść maila była poświęcona skarżącemu - to nie stało się przez przypadek. Ktoś musiał tego maila edytować, wpisać jego treść, wstawić adresy do listy adresowej. Okoliczność, że na liście adresowej znalazła się osoba niebędąca w ogóle pracownikiem Spółki wskazuje, że nie była to lista zaciągnięta przypadkowo z poprzedniej korespondencji mailowej.
M. S. w skardze do Sądu sformułował ponadto zarzuty dotyczące naruszenia art. 34, 37 i 83 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. W ich uzasadnieniu stwierdził, że Spółka [...] Sp. z o.o. jako administrator danych osobowych skarżącego, nie poinformowała organu o naruszeniu danych osobowych mimo obowiązku wynikającego z art. 34 rozporządzenia, a także nie wyznaczyła wcześniej inspektora danych osobowych. [...] Sp. z o.o. nie wykazała, aby mail był wysłany do osób faktycznie zatrudnionych w spółce (brak jest kopii umów o pracę, świadectw pracy, czy zgłoszeń do ZUS). [...] Sp. z o.o. nie załączył do wyjaśnień zakresów obowiązków, umów o pracę. W związku z tym wskazanie, że przetwarzanie było zgodne z zakresem obowiązków nie zostało wykazane zgodnie z zasadą rozliczalności.
Zdaniem skarżącego, zaskarżona decyzja wydana została z naruszeniem art. 189a § 1, § 2 pkt 1 i pkt 2 k.p.a. w zw. z art. 83 ust. 1 i 2 RODO i w zw. z art. 101a ust. 1 i ust. 2 ustawy z dnia 10 maja 2008 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), dalej jako u.o.d.o. przez ich niezastosowanie. Zdaniem skarżącego, organ "zaniechał stosowania kryteriów wymierzenia kary administracyjnej oraz udzielił upomnienia zamiast kary administracyjnej adekwatnej do przewinienia.
M. S. stwierdził, m.in. że wbrew zapatrywaniu organu wyrażonym w zaskarżonej decyzji, Prezes Urzędu Ochrony Danych Osobowych nie działa w postępowaniu o wymierzenie administracyjnej kary pieniężnej autonomicznie i dowolnie.
Z uwagi na ogólną zasadę stosowania w postępowaniu przez tym organem przepisów k.p.a.(art. 7 ust. 1 u.o.d.o.), do nakładania kar administracyjnych stosuje się art. 189a § 1, § 2 pkt 1 i pkt 2 k.p.a., a organ oceniając czy i ewentualnie w jakiej wysokości zastosować karę pieniężną, powinien kierować się kryteriami wskazanymi w art. 83 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
Zdaniem skarżącego, Prezes Ochrony Danych Osobowych nie zebrał informacji niezbędnych dla ustalenia wymiaru kary (art. 189a § 2 pkt 1 k.p.a.) oraz zastosowania wobec podmiotu odpowiedzialnego za naruszenie zasad przetwarzania danych osobowych pouczenia (art. 189a § 2 pkt 2 k.p.a.), mimo, że przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 nie pozwalają na odstąpienie od wymierzenia kary, w sytuacji gdy administrator danych osobowych nie wdrożył środków bezpieczeństwa, bezprawnie przetwarzał dane osobowe skarżącego, naruszenie miało charakter umyślny, a administrator danych osobowych nie podjął żadnych działań w celu zminimalizowania szkody skarżącego.
Skarżący dodał, że organ nie zastosował art. 101a ust.1 i ust. 2 u.o.d.o., który stanowi, że w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot zobowiązany do przestrzegania przepisów rozporządzenia 2016/679, inny niż jednostka sektora finansów publicznych, instytut badawczy, Narodowy Bank Polski jest obowiązany dostarczyć Prezesowi Urzędu Ochrony Danych Osobowych dane niezbędne do określenia podstawy wymiaru administracyjnej kary pieniężnej. Jeśli nie wywiąże się z tego obowiązku lub gdy dostarczone dane uniemożliwiają ustalenie wymiaru kary, organ ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając kryteria wymienione w ust 2 art. 101a u.o.d.o. W myśl art. 108 ust. 2 tej ustawy, niedostarczenie niezbędnych danych, stanowi przestępstwo zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Skarżący wniósł o uchylenie, na podstawie art. 145 § 1 pkt 1 iit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.), zaskarżonej decyzji w całości oraz zasądzenie kosztów postępowania administracyjnego, w tym kosztów zastępstwa adwokackiego w sprawie oraz opłaty skarbowej od pełnomocnictwa według norm przepisanych.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.
Odnosząc się do zarzutów skargi dotyczących nieustalenia wszystkich istotnych okoliczności faktycznych sprawy organ podał, że na podstawie art. 58 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 zwrócił się do Spółki o złożenie pisemnych wyjaśnień i dowodów. Rozstrzygając sprawę oparł się przede wszystkim na pisemnych wyjaśnieniach skarżącego oraz Spółki i przesłanych przez nie dowodach. Zaskarżona decyzja wydana została w oparciu o wystarczający i niebudzący wątpliwości organu materiał dowodowy.
Ustosunkowując się do zarzutu naruszenia art. 189a § 1 § 2 pkt 1 i 2 k.p.a. w zw. z art. 83 ust. 1 i 2 rozporządzenia w zw. z art. 101a ust. 1 i ust. 2 u.o.d.o., poprzez ich niezastosowanie, a w konsekwencji zaniechanie zbierania informacji niezbędnych dla ustalenia wysokości kary oraz zastosowanie wobec podmiotu odpowiedzialnego za naruszenia zasad przetwarzania danych osobowych pouczenia mimo, że przepisy rozporządzenia nie umożliwiają na odstąpienie od wymierzenia kary, w sytuacji, gdy administrator danych osobowych nie wdrożył środków bezpieczeństwa, bezprawnie przetwarzał dane osobowe skarżącego, naruszenie miało charakter umyślny, administrator danych osobowych nie podjął żadnych działań w celu zminimalizowania szkody skarżącego, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że przysługujące mu na mocy art. 58 ust. 2 lit. i rozporządzenia uprawnienie do nakładania administracyjnych kar pieniężnych należy do jego autonomicznych kompetencji i czynności polegające na karaniu nie są podejmowane na wniosek strony skarżącej. Organ oprócz nakładania administracyjnych kar pieniężnych posiada także inne kompetencje naprawcze, wskazane w art. 58 ust. 2 RODO, w tym m. in. udzielanie upomnień administratorowi lub podmiotowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b art. 58 ust. 2 rozporządzenia).
W ocenie organu nie jest również uzasadniony zarzut naruszenia przez Prezesa Urzędu Ochrony Danych Osobowych przepisów art. 22, art. 94 pkt 9 oraz art. 94 § 1 k.p. przez ich niezastosowanie i w konsekwencji przyjęcie, że pracodawca jest uprawniony do przetwarzania adresu e-mail pracownika bez jego zgody, a nadto do wysyłania ocen pracownika zniesławiających go osobom trzecim pocztą elektroniczną, organ wyjaśnił, że może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Prezes Urzędu Ochrony Danych Osobowych nie posiada kompetencji do rozstrzygania w kwestiach dotyczących zniesławienia, mobbingu czy oceny pracowników i wyników ich pracy przez pracodawcę. Przedmiotem postępowania zakończonego zaskarżoną decyzją było udostępnienie danych osobowych skarżącego, zawartych w treści e-maila z [...] lutego 2019 r. osobom nieuprawnionym.
Organ podkreślił, że przekazanie danych osobowych skarżącego innym pracownikom Spółki w celu zapewnienia ciągłości pracy w Spółce nie stanowiło naruszenia przepisów prawa i znajdowało oparcie w art. 6 ust. 1 lit. f rozporządzenia w związku z art. 221 k.p. Sąd Najwyższy w wyroku z dnia 19 listopada 2003 r. (sygn. akt I PK 590/02), stwierdził, że "ujawnienie przez pracodawcę nazwiska pracownika musi być usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika".
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje :
Skarga jest nieuzasadniona.
W kontrolowanej decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że pracownik [...] Sp. z o.o. z siedzibą w [...] z naruszeniem art. 5 ust. 1 lit c i art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, udostępnił dane osobowe skarżącego, zawarte w treści e-maila z [...] lutego 2019 r., osobie nieuprawnionej (niebędącej pracownikiem Spółki) i zastosował wobec Spółki jako administratora danych osobowych, środek naprawczy w postaci upomnienia. Zdaniem organu, udostępnienie danych osobowych skarżącego w mailu skierowanym do pracowników Spółki znajduje uzasadnienie w art. 6 ust. 1 lit. f rozporządzenia. Natomiast udostępnienie tych danych osobie spoza Spółki organ uznał za naruszenie przez Spółkę art. 5 ust. 1 lit. c oraz art. 6 ust. 1 rozporządzenia.
Skarżący w skardze do Sądu zakwestionował stanowisko organu. Zdaniem M. S. stwierdzenie w treści maila wysłanego przez jego przełożonego, że "nie podjął wyzwania", miało na celu pokazanie pozostałym pracownikom Spółki, że nie nadawał się do pracy na tym stanowisku i stanowi "jaskrawy przykład" naruszenia dóbr osobistych pracownika. Skarżący zarzucił też, że udzielenie Spółce upomnienia było "nieadekwatne do przewinienia" (mail został wysłany umyślnie). Prezes Urzędu Ochrony Danych Osobowych dopuścił się naruszenia art. 189a § 1 i § 2 pkt 1 i pkt 2 k.p.a., dotyczącego zasad ustalania wymiaru kary administracyjnej, mającego w sprawie zastosowanie na podstawie art. 7 ust. 1 u.o.d.o., a ponadto art. 101a ust.1 i ust. 2 u.o.d.o., który nakłada na wymienione w nim podmioty obowiązek dostarczenia organowi, w toku postępowania o nałożenie administracyjnej kary pieniężnej, danych niezbędnych do określenia podstawy jej wymiaru.
Wojewódzki Sąd Administracyjny w Warszawie uznaje te zarzuty za nieuzasadnione i stwierdza, że zaskarżona decyzja nie narusza prawa.
Przede wszystkim Sąd podziela zapatrywanie organu, co do tego, że udostępnienie przez pracownika [...] Sp. z o.o. z siedzibą w [...] danych osobowych skarżącego, zawartych w treści e-maila z [...] lutego 2019 r. osobie, która nie była (i nie jest) jej pracownikiem, nie znajdowało podstaw w art. 6 rozporządzenia, który określa przypadki, w których przetwarzanie danych jest dozwolone (wskazuje przesłanki dopuszczalności przetwarzania danych) oraz naruszało zasadę adekwatności i minimalizacji danych, o której mowa w art. 5 ust. 1 lit c rozporządzenia, rozumianą jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów.
Sąd zgadza się również z Prezesem Urzędu Ochrony Danych Osobowych co do tego, że udostępnienie danych osobowych skarżącego zawartych w wiadomości emailowej jego ówczesnym współpracownikom znajdowało uzasadnienie w art. 6 ust. 1 lit. f rozporządzenia, który stanowi, że przetwarzanie danych jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Zdaniem Sądu Spółka miała prawnie uzasadniony interes w powiadomieniu współpracowników skarżącego o jego odejściu z pracy.
Z wyjaśnień Spółki i z treści maila wynika, że przesłanie maila z informacją o rezygnacji skarżącego z pracy było podyktowane potrzebą przeorganizowania pracy (ustaleniem nowego grafiku pracy w komórce (dziale sprzedaży), uwzględniającego odejście skarżącego. Do podstawowych i zarazem oczywistych kompetencji (praw) pracodawcy, wynikających z art. 22 § 1 i art. 94 pkt 2 Kodeksu pracy należy organizowanie i kierowanie pracą pracowników. Zachodziła zatem określona w art. 6 ust. 1 lit. f rozporządzenia przesłanka przetwarzania danych osobowych skarżącego przez jego pracodawcę – Spółkę.
Kwestionowana przez skarżącego treść maila dotyczy jego danych osobowych, łącznie ze wzmianką: "nie podjął wyzwania". Wskazuje na to szeroka definicja danych osobowych, zawarta w art. 4 pkt 1 rozporządzenia. Według tego przepisu dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Jedynie na marginesie można zauważyć, że stwierdzenie "nie podjął wyzwania" w kontekście rezygnacji skarżącego z pracy w Spółce jest stwierdzeniem faktu. Jeżeli natomiast skarżący dopatruje się w tym oceny czy opinii naruszającej jego dobra osobiste, to tego rodzaju zarzuty mogą być podnoszone w innym postępowaniu, a nie w rozpatrywanej sprawie.
Należy dodać, że Spółka w piśmie z [...] listopada 2020 r. skierowanym do organu, wymieniła z imienia i nazwiska adresatów spornej wiadomości (pracowników Działu Sprzedaży [...]) i nadesłała udzielone im upoważnienia do przetwarzania danych osobowych "w systemie informatycznym lub w zbiorze w wersji papierowej", a także upoważnienie dla J. R. – nadawcy spornej wiadomości.
Sformułowane przez skarżącego w skardze zarzuty naruszenia przez Prezesa Urzędu Ochrony Danych Osobowych przepisów kodeksu pracy (art. 221 art. 94 pkt 9 i 943 § 1 k.p. poprzez ich niezastosowanie) są całkowicie nieuzasadnione, ponieważ art. 221 k.p. określa dane osobowe, których może żądać pracodawca od pracownika (§ 1 i § 4), natomiast pozostałe przepisy dotyczą obowiązków pracodawcy (stosowania obiektywnych i sprawiedliwych kryteriów oceny pracowników oraz wyników ich pracy i przeciwdziałania mobbingowi). Przestrzeganie tych obowiązków nie jest objęte postępowaniem dotyczącym niezgodnego z prawem przetwarzania danych osobowych.
Sąd nie podziela stanowiska skarżącego, że udzielenie Spółce upomnienia było "nieadekwatne do przewinienia". Upomnienie, jako jedna z kompetencji naprawczych organu nadzorczego (art. 58 ust. 2 rozporządzenia), może być stosowane – jak wyjaśniono w motywie 148 preambuły – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Spółka na naruszenie zareagowała natychmiast po ustaleniu jego zaistnienia, a wiadomość zawierająca dane osobowe skarżącego została usunięta.
Kary pieniężne mogą być stosowane – jak stanowi art. 83 ust. 2 rozporządzenia – "oprócz lub zamiast" innych uprawnień naprawczych. Oznacza to, że organ nadzorczy nie jest zobligowany do nałożenia kary w każdym przypadku naruszenia przepisów rozporządzenia. Może bowiem uznać, że nałożenie kary pieniężnej jest sankcją nieproporcjonalną do rodzaju naruszenia i poprzestać na zastosowaniu innych środków nadzorczych. Taki wniosek potwierdza również treść motywu 148 preambuły rozporządzenia, w którym jak już powiedziano, wyjaśniono, że jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Prowadzi to do wniosku, że organ nadzoru może skorzystać z określonego uprawnienia naprawczego (np. upomnieć administratora danych), nakładając równocześnie administracyjną karę pieniężną, może także ograniczyć się do upomnienia lub nałożenia kary, stosując wówczas zasady jej wymiaru określone w art. 83 rozporządzenia.
W konsekwencji nie mogły odnieść oczekiwanego skutku zarzuty skargi dotyczące naruszenia przez organ art. 189a § 1 i § 2 pkt 1 i pkt 2 k.p.a. (zasady ustalania wymiaru kary administracyjnej) oraz art. 101a ust.1 i ust. 2 u.o.d.o. (obowiązek dostarczenia przez podmiot informacji niezbędnych do określenia podstawy wymiaru kary).
Sąd nie podziela również zarzutu skarżącego, że w rozpatrywanej sprawie Prezes Urzędu Ochrony Danych Osobowych nie wziął pod uwagę, że Spółka nie poinformowała go o naruszeniu jego danych osobowych, mimo obowiązku wynikającego z art. 34 ust. 1 rozporządzenia. Według powołanego przepisu, administrator danych osobowych jest obowiązany zawiadomić osobę, której dotyczy naruszenie ochrony danych osobowych wówczas, gdy może powodować wysokie ryzyko naruszenia jej praw lub wolności.
Z tych wszystkich względów nie są uzasadnione zarzuty skargi. Organ nie naruszył wskazanych w skardze przepisów prawa materialnego oraz ustalił wszystkie istotne okoliczności sprawy. Na marginesie należy zauważyć, że skarżący stawiając zarzut naruszenia art. 7 w zw. z art. 77 § 1 k.p.a. przez niewyczerpujące rozpatrzenie materiału dowodowego zarzucił, że Prezes Urzędu Ochrony Danych Osobowych "pominął, że pracodawca w ogóle nie był uprawniony do przetwarzania danych osobowych pracownika, w postaci adresu poczty e-mail, a także że nie istniały prawne podstawy przetwarzania danych osobowych pracownika poprzez wysłanie danych osobowych pracownika innym pracownikom oraz klientowi [...] Sp. z .o.o.". Treść tego zarzutu i jego uzasadnienie nie koresponduje więc z treścią powołanych przepisów.
Mając to wszystko na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi oddalił skargę M. S. Sąd rozpoznał sprawę na posiedzeniu niejawnym, stosownie do art. 15 zzs4 ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r., poz. 568).