II SA/Wa 49/21

II SA/Wa 49/21 - Wyrok WSA w Warszawie
Data orzeczenia
2021-06-23
orzeczenie prawomocne
Data wpływu
2021-01-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Janusz Walawski
Joanna Kruszewska-Grońska
Łukasz Krzycki /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 6858/21 - Wyrok NSA z 2025-03-20
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Janusz Walawski, po rozpoznaniu w trybie uproszczonym w dniu 23 czerwca 2021 r. sprawy ze skargi O. Polska Sp. z o.o. z siedzibą w S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2020 r. znak: [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 1 zaskarżonej decyzji; 2. oddala skargę w pozostałym zakresie; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz O. Polska Sp. z o.o. z siedzibą w S. kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną decyzją - przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.), zwanej dalej "K.p.a." oraz art. 58 ust. 2 lit. b i lit. G, w zw. z art. 17 ust. 1 lit. d, rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO" - wobec skargi p. P. G. zwanego dalej "Pracownikiem" na nieprawidłowości w przetwarzaniu danych osobowych:
- nakazano O. [...] Sp. z o.o., zwanej dalej "Spółką", usunięcie danych osobowych Pracownika, w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS (pkt 1 orzeczenia),
- udzielono Spółce upomnienia za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. b RODO, polegające na wykorzystaniu danych osobowych Pracownika w zakresie jego prywatnego adresu poczty elektronicznej po ustaniu zatrudnienia - bez podstawy prawnej (pkt 2 orzeczenia).
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- skarga Pracownika dotyczyła nieprawidłowości przy przetwarzaniu jego danych osobowych przez Spółkę; polegała ona na wykorzystywaniu jego danych osobowych, pozyskanych za pośrednictwem monitoringu GPS, bez zgody i wiedzy Pracownika oraz wykorzystywaniu jego prywatnego adresu poczty elektronicznej ([...] - po ustaniu zatrudnienia; w skardze wskazano, że Pracownika zatrudniono w Spółce - na stanowisku [...] - od [...] lutego 2015 r.; głównym miejscem wykonywania przezeń czynności zawodowych było miasto [...], województwo [...] i ościenne; [...] lipca 2019 r. - gdy przebywał na zwolnieniu lekarskim – poinformowano go telefonicznie o rozwiązaniu stosunku pracy przez pracodawcę — bez wypowiedzenia; za przyczynę uznano ciężkie naruszenie przez Pracownika podstawowych obowiązków pracowniczych – w myśl art. 52 § 1 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (obecnie opubl. w Dz.U. z 2020 r., poz. 1320 ze zm.); w ocenie Spółki, Pracownik dopuścił się licznych nadużyć, polegających na niezgodności deklarowanego przez niego miejsca pobytu z faktycznymi lokalizacjami, zarejestrowanymi przez urządzenie GPS - w okresie od stycznia do czerwca 2019 roku; jak podkreślał Pracownik, o istnieniu urządzeń monitorujących przez pracodawcę dowiedział się dopiero z treści oświadczenia o rozwiązaniu stosunku pracy; pracodawca nigdy wcześniej nie poinformował go o fakcie, celach, zakresie oraz sposobie stosowania monitoringu - wbrew obowiązkowi, wynikającemu z przepisów RODO i ustawy - Kodeks pracy; Pracownik nie wiedział, gdzie miałyby być zamontowane lokalizatory GPS (w samochodzie służbowym czy w telefonie komórkowym); Pracownik przypuszczał również, że monitoring mógł rejestrować jego dane geolokalizacyjne przez całą dobę - również poza godzinami pracy jak i podczas przebywania na urlopie wypoczynkowym; w jego ocenie należy to traktować w kategoriach inwigilacji pracownika; obecnie przed Sądem Rejonowym w [...] toczy się postępowanie w sprawie niezgodnego z prawem rozwiązania stosunku pracy (sygn. akt [...]); pozwana Spółka powołuje się tam na sporządzone przez siebie zestawienia danych z raportów, dotyczących odbytych przez Pracownika podróży służbowych oraz danych z rzekomych raportów zarejestrowanych przez urządzenie GPS; wydruków tych nie opatrzono podpisem osoby upoważnionej, ani choćby pieczęcią pracodawcy; nie wskazano na nich również źródła pochodzenia danych w nich zawartych; dokumenty takie nie mogą - w ocenie Pracownika - stanowić dowodu naruszenia przezeń obowiązków pracowniczych; wniósł on o podjęcie stosownych kroków, zmierzających do kontroli przestrzegania przez Spółkę przepisów, dotyczących przetwarzania danych osobowych, w okresie jego zatrudnienia, a - w przypadku stwierdzenia uchybień - o nakazanie niezwłocznego usunięcia jego danych osobowych, przetwarzanych bez podstawy prawnej i o nałożenie na Spółkę kary pieniężnej; Pracownik zakwestionował także wykorzystanie przez Spółkę jego prywatnego adresu poczty elektronicznej, na który wysłano - już po ustaniu zatrudnienia - wezwania do uzupełnienia raportów za pierwsze pięć miesięcy roku 2019,
- w toku postępowania administracyjnego organ ustalił następujący stan faktyczny:
- Pracownika zatrudniono w Spółce przez ponad 4,5 roku, zarówno jako [...], jak i [...] oddziału w [...], a okresowo także w [...] (tak: wyjaśnienia Spółki z [...] lutego 2020 r.),
- monitoring - oparty na umowie, obowiązującej od stycznia 2010 roku - dotyczył ustalenia miejsca pobytu pracownika Spółki, identyfikowanego wyłącznie przez osobę wyznaczoną przez Spółkę; nadto korzystanie z danych z monitoringu (zwracanie się do operatora o podanie ich) miało miejsce jedynie w przypadkach uzasadnionych wątpliwości, odnośnie do rzetelności, podawanych przez pracownika danych, w sprawozdaniach z odbytych wyjazdów służbowych (tak: wyjaśnienia Spółki z [...] lutego 2020 r.);
- Spółka wyjaśniła, że korzystała z monitoringu GPS wyłącznie w podanych wyżej okolicznościach i w podanym celu; za podstawę prawną wskazała: "art. 100 § 1 § 2 p. 1) i p. 2) Kodeksu pracy, a w dalszej kolejności oparte na nich zapisy regulaminu pracy. Stanowią one o obowiązkach pracownika, które pracodawca może i powinien egzekwować. Dotyczy to sumiennego i starannego wykonywania pracy oraz przestrzegania ustalonego czasu pracy. Pracodawca robi to w odniesieniu do wszystkich pracowników, stosownie do sytuacji. W przypadku pracowników świadczących pracę w siedzibie firmy - przez osobisty nadzór, m.in. dotyczący przebywania w miejscu pracy, nadzoru nad opuszczaniem jej. W przypadku pracowników zatrudnionych poza siedzibą firmy (tak jak skarżący) jedyną praktycznie dostępną i rzetelną formą nadzoru jest monitoring (...) forma ta jest wykorzystywana nie permanentnie, a tylko w razie wątpliwości dotyczących rzetelności pracownika" (tak: wyjaśnienia Spółki z [...] lutego 2020 r.);
- Spółka nie sporządzała żadnego dokumentu, w którym miałaby (sama sobie) określać zasady monitoringu; kierowana jednoosobowo, cały czas przez tę samą osobę, miała ustaloną praktykę; praktyka ta (czyli zasady) była przedstawiana przy zatrudnianiu pracownika i przypominana podczas szkoleń; głównym celem Spółki było uświadomienie pracownikom "terenowym", że w razie konieczności jest możliwe zweryfikowanie czasu i prawidłowości wykonywanej przez nich pracy oraz podawanych informacji - zwłaszcza związanej z odbywanymi wyjazdami służbowymi; istnienie takiej motywacji dowodzi tego, że Spółka była zainteresowana, aby pracownicy wiedzieli o monitoringu; w kontekście tego nie jest uzasadniona sugestia, że pracodawca "namierzał pracowników podstępnie i w niecnym celu"; Spółka nie znajduje podstawy, aby miała obowiązek pisemnego informowania pracowników o stosowaniu monitoringu; konieczność taka nie wynika z przepisów ustawy - Kodeks pracy; również z umowy o świadczenie usługi Monitoring Plus - z załącznika nr 2 ust. 1 pkt c - nie wynika obowiązek pisemnego powiadomienia "Użytkowników Monitorowanych" (tak: wyjaśnienia Spółki z [...] lutego 2020 r.);
- Spółka wskazała, że o monitoringu i jego zakresie czasowym poinformowano wszystkich pracowników: dysponujących samochodami służbowymi oraz zatrudnionych poza swoimi "miejscami stacjonarnymi" (biurami); informacje te przekazywano zarówno podczas procedury zatrudniania (pierwszy raz) jak i podczas szkoleń, prowadzonych regularnie w siedzibie firmy (dowód: oświadczenie kierownika zakładu pracy - p. G. K. – zwanego dalej "Kierownikiem"); Pracownika zatrudniono, gdy monitoring był już stosowany od ponad 5 lat; nie powiadomiono go więc o wprowadzeniu, lecz o stosowaniu monitoringu (tak: wyjaśnienia Spółki z [...] lutego 2020 r.);
- Spółka wyjaśniła, że geolokalizacja karty SIM jest standardową wiedzą, którą dostawca telefonii posiada za każdym razem, gdy zmienia się pozycja geograficzna karty SIM; wiedza o tym jest dostępna dla właściciela karty SIM, jako odrębna usługa, na podstawie zawieranej umowy i po określeniu częstotliwości pobierania raportów dokumentujących lokalizację karty SIM na dany moment; w analizowanym przypadku, informacja ta dotyczyła lokalizacji telefonu od godziny 8:00 do godziny 16:00 - 5 razy w ciągu dnia; poza tymi ramami czasowymi oraz w dni wolne od pracy dana usługa nie była dla Spółki dostępna; nie stanowiła również jej przedmiotu zainteresowania; oznacza to, że żadne aplikacje ani dodatkowe urządzenia nie były nigdzie instalowane w celu otrzymania tych informacji (tak: wyjaśnienia Spółki z [...] lutego 2020 r.);
- Spółka nie przekazała informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu; monitoring GPS nie jest również uregulowany w obowiązującym w zakładzie regulaminie pracy (tak: wyjaśnienia Spółki z [...] lutego 2020 r., kopia obowiązującego w Spółce Regulaminu Pracy z [...] sierpnia 2017 r.);
- aktualnie Spółka ma dane osobowe Pracownika - pozyskane za pośrednictwem monitoringu GPS - i pozostanie w ich posiadaniu do czasu prawomocnego zakończenia wszczętego postępowania sądowego; w tym czasie może ich ponownie użyć, jeśli okażą się konieczne w postępowaniu dla wykazania nieprawdziwości twierdzeń Pracownika; dane te zostaną usunięte niezwłocznie po prawomocnym zakończeniu postępowania sądowego (tak: wyjaśnienia Spółki z [...] czerwca 2020 r.);
- Spółka nie ma odrębnej procedury, dotyczącej analizy niezbędności przetwarzania danych osobowych; od wielu lat (także przed zatrudnieniem Pracownika) posługiwała się zakupionym u operatora GPS monitoringiem poruszania się swoich pracowników w godzinach pracy; mając w pełni legalnie takie dane, wykorzystywała je zgodnie z przeznaczeniem; w konkretnym przypadku – po uzyskaniu informację, że pracownik oszukuje Spółkę przy wykonywaniu obowiązków pracowniczych – zweryfikowała ją; było to możliwe z wykorzystaniem wyłącznie owych danych osobowych (tak: wyjaśnienia Spółki z [...] czerwca 2020 r.);
- Spółka wyjaśniła, że ani ona, ani żaden z jej pracowników nie pozyskiwał danych osobowych Pracownika w zakresie adresu poczty elektronicznej, w związku z działalnością własną Spółki; najprawdopodobniej adres ten podał sam Pracownik w podaniu o przyjęcie do pracy, wyrażając jednocześnie zgodę na jego wykorzystywanie; w okresie zatrudnienia (do [...] lipca 2019 r.) wszelka korespondencja odbywała się adres służbowy Pracownika; Spółka podkreśliła, że oryginał jego akt osobowych jest w sądzie - w związku z wytoczoną sprawą, a skan cv. fizycznie usunięto - zgodnie z przepisami RODO (tak: wyjaśnienia Spółki z [...] września 2020 r.);
- wraz z rozwiązaniem umowy o pracę pozbawiono Pracownika służbowego adresu poczty elektronicznej; ponieważ konieczne było zdania posiadanego przez Pracownika mienia Spółki i rozliczenia się z tego w możliwie krótkim czasie, korespondencja w tym zakresie była kierowana na adres, wskazany w cv.; dotyczyła ona też dostarczenia zaległego sprawozdania; Spółka nie przetwarza aktualnie danych osobowych Pracownika w zakresie prywatnego adresu poczty elektronicznej (tak: wyjaśnienia Spółki z [...] września 2020 r.),
- organ zważył, co następuje,
- odnosząc się do przetwarzania danych osobowych Pracownika, pozyskanych za pośrednictwem monitoringu GPS bez jego zgody i wiedzy, wskazano, że - zgodnie z art. 4 pkt 1 RODO: "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; stąd dane o lokalizacji stanowią dane osobowe - wynika to wprost z zawartej w RODO definicji danych osobowych,
- w przedmiotowej sprawie zakres danych, których przetwarzanie kwestionuje Pracownik, mieści w granicach tzw. "zwykłych", w rozumieniu art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych, w tym ich udostępnianie, jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek, wskazanych w tym przepisie; ich katalog - w art. 6 ust. 1 RODO - jest zamknięty; każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny; oznacza to, że są one - co do zasady – równoprawne; spełnienie wobec tego co najmniej jednej z nich, stanowi o zgodnym z prawem przetwarzaniu danych osobowych; powinno się to też odbywać zgodnie z zasadami, określonymi w art. 5 RODO,
- w przedmiotowej sprawie - dla oceny zgodności procesu przetwarzania danych osobowych Pracownika z przepisami o ochronie danych osobowych - w pierwszej kolejności należy przeanalizować ograniczenia prawne i obowiązki pracodawców, mające zastosowanie do monitoringu w miejscu pracy; ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), zwaną dalej "ustawą o danych", wprowadzono do ustawy - Kodeks pracy przepisy dotyczące monitorowania pracowników,
- przetwarzanie danych osobowych Pracownika za pośrednictwem stosowanego w Spółce monitoringu GPS jest legalne, o ile spełniono warunki, określone w przepisach ustawy - Kodeks pracy - odnoszące się do monitoringu wizyjnego, a stosowane odpowiednio do innych form monitoringu pracownika,
- zgodnie z art. 223 § 1 ustawy - Kodeks pracy, jeżeli jest to niezbędne do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz do właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej); nonitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika (§ 2); art. 222 § 6-10 stosuje się odpowiednio (tak: § 3); przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1 (tak: § 4); stosownie natomiast do art. 222 § 6: cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy; pracodawca informuje pracowników o wprowadzeniu monitoringu w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem (§ 7); pracodawca - przed dopuszczeniem pracownika do pracy - przekazuje mu na piśmie informacje, o których mowa w § 6 (§ 8); w razie wprowadzenia monitoringu, pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem (tak: § 9); § 9 nie narusza art. 12 i art. 13 RODO (tak: § 10),
- w uchwalonych ustawą o danych przepisach szczególnych, dotyczących monitoringu wizyjnego i innych jego form, nie przewidziano okresów przejściowych; także w RODO nie ustanowiono dodatkowych terminów na dostosowanie; w związku z tym wskazane przepisy ustawy - Kodeks pracy oraz właściwe postanowienia RODO mają zastosowanie do wszystkich istniejących i przyszłych systemów monitorowania; podmiot, u którego funkcjonował system monitoringu GPS przed 25 maja 2018 r., powinien był niezwłocznie podjąć wszelkie działania w celu dostosowanie do nowych wymogów - aby wykazać dążenie do zapewnienia zgodności z obowiązującym prawem; przetwarzanie danych osobowych jest bowiem procesem ciągłym i musi uwzględniać zmiany w obowiązujących przepisach,
- w toku postępowania administracyjnego ustalono, że Spółka stosowała monitoring GPS od 2010 roku; Pracownika zatrudniono [...] lutego 2015 r. - zatem przed 25 maja 2018 r.; nie oznacza to jednak zwolnienia Spółki z obowiązku rzetelnego poinformowania Pracownika o celach, zakresie oraz sposobie zastosowania monitoringu; zgodnie z art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); o zasadzie przejrzystości mówi także motyw 39 RODO: "(...) dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania",
- art. 5 ust. 2 RODO stanowi też, że administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"); jak podkreśla się w doktrynie "stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń)" (tak: Fajgielski Paweł. Art. 5. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.),
- w przedmiotowej sprawie ustalono, że Spółka przetwarza dane osobowe Pracownika, w zakresie danych o lokalizacji, pozyskane za pośrednictwem monitoringu GPS m.in.: w okresach [....] – [...] listopada 2018 r. i [...] – [...] marca 2019 r.; Spółka nie zamieściła w Regulaminie pracy ani w żadnym innym dokumencie celów, zakresu oraz sposobu zastosowania monitoringu GPS; nie poinformowano również o tym Pracownika na piśmie; z oświadczenia Spółki wynika, że – jako kierowana jednoosobowo, cały czas przez tę samą osobę - miała ona ustaloną praktykę (czyli zasady); przedstawiano ją przy zatrudnianiu pracownika i przypominano podczas szkoleń; na dowód Spółka załączyła oświadczenie Kierownika,
- organ nie kwestionuje uprawnień pracodawcy do kontroli wykonywania i egzekwowania obowiązków pracowników, na które powołuje się Spółka w swoich wyjaśnieniach; wykonując niemniej swoje uprawnienia Spółka winna mieć na względzie przepisy, dotyczące ochrony danych osobowych; Spółka nie wykazała w sposób wiarygodny faktu poinformowania o stosowanym wobec Pracownika monitoringu, w szczególności nie dostosowała się do obowiązujących od 25 maja 2018 r. przepisów, regulujących zasady stosowania monitoringu; powyższe przesądza, że aktualnie Spółka przetwarza dane osobowe Pracownika w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS, bez podstawy prawnej; gdyby nawet przyjąć, że Pracownika informowano o stosowanym w Spółce monitoringu - podczas szkoleń prowadzonych przez Kierownika - to nadal nie zapewniło to Pracownikowi stałego dostępu do tych informacji, naruszając przy tym zasadę przejrzystości przetwarzania danych osobowych,
- wskazać należy, że każda forma monitoringu pracownika ingeruje w jego prywatność; dlatego to również w interesie pracodawcy jest szczegółowo poinformować o tym fakcie w sposób jasny, przejrzysty i niebudzący wątpliwości pracownika, tak aby w przyszłości nie narazić się zarzut naruszenia jego dóbr osobistych; takie podejście potwierdza dotychczasowe orzecznictwo sądów administracyjnych ukształtowane - co istotne - jeszcze przed wprowadzeniem do ustawy - Kodeks pracy przepisów, dotyczących monitorowania pracowników; organ podziela stanowisko Naczelnego Sądu Administracyjnego, wyrażone w wyroku z 13 lutego 2014 r. (sygn. akt I OSK 2436/12 – dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych): "Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się z powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji." a dalej "przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być przesłanką legalnego przetwarzania danych osobowych skarżącego, gdyż przetwarzanie to naruszało prawo do prywatności w sytuacji, kiedy skarżący nie miał świadomości monitoringu użytkowania komputera",
- odnosząc się do zarzutu Pracownika, dotyczącego wykorzystywania przez Spółkę jego prywatnego adresu poczty elektronicznej po ustaniu zatrudnienia, wskazano: jak wynika z wyjaśnień Spółki, to najprawdopodobniej Pracownik przekazał Spółce swój prywatny adres poczty elektronicznej w podaniu o przyjęcie do pracy; zgodnie z art. 221 § 1 ustawy - Kodeks pracy, pracodawca żąda od ubiegającej się o zatrudnienie osoby podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę; wykształcenie; kwalifikacje zawodowe; przebieg dotychczasowego zatrudnienia; zgodnie natomiast z art. 221 § 3, pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: adres zamieszkania; numer PESEL, a w przypadku jego braku - rodzaj i numer potwierdzającego tożsamość dokumentu - inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień, przewidzianych w prawie pracy, a także wykształcenia i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie oraz numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych,
- ustawa - Kodeks pracy nie wskazuje zatem prywatnego adresu poczty elektronicznej, jako danych, których pracodawca ma prawo żądać od pracownika; w polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji; dysponowanie adresem poczty elektronicznej jest i powinno pozostać dobrowolne; aby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe do pracownika, które pozyskał podczas rekrutacji, takie jak np. adres prywatnej poczty elektronicznej, musi uzyskać na to jego zgodę (pisemną, określająca zasady kontaktu),
- dodatkowo dane kontaktowe - wskazane przez ubiegającą się o zatrudnienie osobę - pracodawca może przetwarzać jedynie na potrzeby przeprowadzenia naboru; na nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi zatem pozyskać zgodę zatrudnionego; w omawianej sprawie Spółka nie wykazała, aby posiadała zgodę Pracownika na przetwarzanie jego adresu poczty elektronicznej, w celach związanych z zatrudnieniem, jak również po jego ustaniu; powyższe działanie Spółki nie miało zatem oparcia w obowiązujących przepisach prawa,
- prowadzone przez organ postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO, w celu przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych; jest więc ona uzasadniona i potrzebna tylko o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją; zgodnie z art. 17 ust. 1 lit. d RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem; nakazano więc Spółce usunięcie danych osobowych Pracownika, w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS,
- przetwarzanie danych osobowych Pracownika w zakresie jego prywatnego adresu poczty elektronicznej po ustaniu zatrudnienia należy uznać za nadmiarowe, wykraczające poza zasadę ograniczenia celu (art. 5 ust. 1 lit. b RODO); Spółka nie legitymowała się w tym zakresie którąkolwiek z przesłanek, określonych w art. 6 ust. 1 RODO, wobec czego udzielono Spółce upomnienia.
W skardze zarzucono naruszenie:
- art. 7 w zw. z art. 77 § 1 oraz art. 80 K.p.a., poprzez brak wyczerpującego, rzetelnego i wszechstronnego rozpatrzenia materiału sprawy; doprowadziło to do poczynienia w zaskarżonej decyzji nieuprawnionych ustaleń faktycznych,
- art. 107 § 3 K.p.a., przez niewskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej,
- art. 6 ust. 1 lit a oraz b RODO, przez nieuzasadnione przyjęcie, że Spółka przetwarzała dane osobowe (dane o lokalizacji) niezgodnie z prawem,
- art. 7 ust. 1 RODO, przez nieuzasadnione przyjęcie, że Spółka nie wykazała, że uzyskała zgodę Pracownika na przetwarzanie jego danych osobowych.
Wniesiono o uchylenie w całości zaskarżonej decyzji oraz dopuszczenie - na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.) - dowodu z wydruku maila – notatki, opisującej kontakty pomiędzy Pracownikiem a Spółką w sierpniu 2019 roku z prywatnego adresu poczty elektronicznej - dla ustalenia, że Pracownik dobrowolnie udostępnił swój adres po ustaniu zatrudnienia.
W uzasadnieniu skargi podniesiono:
- nie jest uzasadnione uznanie, że monitoring GPS miał miejsce bez zgody i wiedzy Pracownika; co do tej okoliczności występują w uzasadnieniu skarżonego aktu istotne niekonsekwencje, zarówno w "ustaleniach dotyczących stanu faktycznego" jak i w dalszej części; w uzasadnieniu więcej miejsca zajmują rozważania natury ogólnej niż opis realiów danego postępowania i wynikających stąd wniosków,
- Spółka nie wnosi zastrzeżeń w zakresie kompletności materiału dowodowego; kwestionuje jednak jego rozpatrzenie w całości; w przedmiotowej sprawie organ ustalił stan faktyczny, czyli uznane przez niego za prawdziwe fakty i przebieg zdarzeń, które są podstawą do orzekania (str. 3 do 6); jako dowód (podstawę) dla ustalonego stanu faktycznego, przywoływano zawsze wyjaśnienia Spółki, przy czym – w jednym przypadku - stwierdzono "Spółka nie przekazała informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu"; nie jest prawdziwe, jeśli odnieść to do pisma z [...] lutego 2020 r.; z pisma tego wynika cel monitoringu; głównym celem było uświadomienie pracownikom "terenowym", że - w razie konieczności - jest możliwe zweryfikowanie czasu i prawidłowości wykonywanej przez nich pracy oraz podawanych informacji - zwłaszcza związanej z odbywanymi wyjazdami służbowymi - zakres (godziny i dnie tygodnia oraz wyjazdy służbowe - a także sposób (geolokalizacja karty SIM),
- w kwestii monitoringu GPS nie uznano żadnych twierdzeń ze skargi Pracownika za element stanu faktycznego; na podstawie tych dwóch faktów - chociaż w całym uzasadnieniu, z naruszeniem art. 80 K.p.a., nie ma żadnej oceny wiarygodności dowodów - uzasadnione jest niewyrażone tam wprost stwierdzenie, że organ w pełni dał wiarę wyjaśnieniom Spółki,
- z powodu niezachowania zasad prawidłowej oceny materiału dowodowego wystąpiła istotna rozbieżność pomiędzy ustalonym stanem faktycznym a treścią rozważań, zawartych w uzasadnieniu; rozważania te są ogólnie słuszne, jednak nie w przedmiotowej sprawie; są trafne tylko przy założeniu popełnienia przez Spółkę licznych deliktów, co w rzeczywistości nie miało miejsca,
- opierając się na ustaleniach ze "stanu faktycznego" uzasadnienia, należy stwierdzić, Pracownik - tak jak i inne osoby - był wielokrotnie, jasno i zrozumiale informowany o istnieniu monitoringu, sposobie jego prowadzenia, zakresie i celach; zarówno sama skarga Pracownika, jak i stanowisko podczas całego postępowania są tendencyjne i niewiarygodne; przykładem mogą być oskarżenia Pracownika, np. że jego telefon był namierzany "również podczas urlopu" spędzanego w [...]; w rzeczywistości z [...] zostało wysłane "zaświadczenie lekarskie", ewidentnie sporządzone przez [...] lekarza, co wskazywało na miejsce pobytu Pracownika; przemawia też za tym poza pisemnym stanowiskiem Spółki i oświadczeniem złożonym przez Kierownika i inne przesłanki:
- istnienie monitoringu już od 2010 roku,
- prosta forma monitoringu, stosowana we "flotach" pojazdów na masową skalę,
- oczywista potrzeba mówienia o tym pracownikom nie zaś ukrywanie, wynikająca z prewencyjnej, a nie represyjnej funkcji monitoringu,
- pozycja zawodowa Pracownika w Spółce - był dwukrotnie kierownikiem oddziału Spółki, a tym samym i osobą nadzorującą innych pracowników, w tym posługujących się samochodami (z monitoringiem GPS za pośrednictwem karty SIM w telefonie komórkowym),
- absurdalność czynności polegających na "śledzeniu" pracownika, co do którego nie było wcześniej żadnych istotnych zastrzeżeń (poza obniżeniem wyników sprzedaży),
- oczywiste zainteresowanie Pracownika zakwestionowaniem dowodu jego nieuczciwości - wystawiania Spółce rachunków za nieodbyte wyjazdy służbowe,
- tak więc monitoring odbywał się za wiedzą i zgodą Pracownika,
- monitoring bezspornie legalnie funkcjonował od 2010 roku; podawano to do wiadomości pracownikom - zwłaszcza mobilnym, czyli [...], do których należy Pracownik; był on [...] zanim został "[...]"; jak inni, był informowany "w sposób przyjęty u danego pracodawcy"; odbywało się to (od 2010 roku) przed dopuszczeniem pracownika do pracy, w trakcie szkolenia wstępnego,
- wątpliwe, czy wprowadzenie nowych przepisów, w tym przypadku w znacznej mierze tożsamych co do treści z dotychczasowymi, powoduje u pracownika "wyzerowanie" świadomości; w realiach Spółki monitoring funkcjonował na jednakowych zasadach i przed 25 maja 2018 r. i po tej dacie - ze świadomością i wiedzą Pracownika,
- zapisu o istniejącym monitoringu nie wprowadzono faktycznie na czas do regulaminu pracy i nie odebrano pisemnego oświadczenia od Pracownika; nie miało to jednak żadnego wpływu na naruszenie uprawnień do ochrony danych osobowych Pracownika,
- wątpliwy jest zarzut braku "stałego dostępu" Pracownika do przetwarzanych danych; Spółka w zasadzie jedynie wyjątkowo korzysta z danych z monitoringu, co wcześniej wyjaśniono; tym samym i ona tego dostępu nie miała; z natury rzeczy nie mogła go więc udostępniać Pracownikowi; dane te nie mają też cechy trwałości - każdy wykonany w oznaczonej godzinie pomiar GPS ma charakter indywidualny i niepowtarzalny; w konkretnym przypadku nie było też obiektywnie możliwości zapewnienia "stałego dostępu" do informacji, gdyż Pracownik - od [...] czerwca do [...] lipca 2019 r. - przebywał na urlopie za granicą,
- faktycznie "każda forma monitoringu pracownika ingeruje w jego prywatność", organ nie poruszył jednak istotnej kwestii - zakresu tej ingerencji, zwłaszcza, że pracownik - w wynikającym z umowy o pracę zakresie - rezygnuje z "prywatności"; w przypadku Pracownika wystawiał on sobie delegację na wyjazd w godzinach pracy; informował o tym pracodawcę, zgodnie z obowiązującymi u niego procedurami a więc ograniczał swoją prywatność,
- po stronie pracodawcy uprawnione jest domniemanie, że pracownik zrobił to co zadeklarował w złożonej delegacji; budzi wątpliwość, czy i w jakim stopniu sprawdzenie tego "godzi w jego prywatność"; to przykład, gdy - przy zbyt pobieżnej argumentacji - ochrona dobra może z racjonalnej przerodzić się w swoje przeciwieństwo,
- odnośnie używania przez Spółkę prywatnego adresu poczty elektronicznej Pracownika, ustalenia decyzji oparto na dostępnym materiale dowodowy; okazał się on jednak niepełny; Spółka nie miała bowiem pełnej orientacji, w jaki sposób weszła w posiadanie owego adresu; dlatego też wyraziła przypuszczenie, że był on zamieszczony w podaniu o przyjęcie do pracy,
- w rzeczywistości to sam Pracownik zainicjował korespondencję ze Spółką ze swojego prywatnego adresu; należy domniemywać, że była to jego inicjatywa, skoro do takiego kroku nie była przymuszony, nie będąc już pracownikiem; w tej sytuacji w działaniu Spółki nie można dopatrzyć się naruszenia ochrony danych osobowych Pracownika; jest znamienne, że korespondencja była wyjątkowo skąpa i lakoniczna oraz dotyczyła jedynie rozliczenia stosunku pracy; Pracownik nie tylko ją zainicjował, ale też kontynuował; nie traktował jej więc jako naruszenie swojego dobra; "refleksja" taka pojawiła się dopiero po upływie ponad roku,
- zgłoszenie obecnie uzupełniającego dowodu na opisane okoliczności może spotkać się z zarzutem "dowodu spóźnionego"; jest to jednak konieczne wobec tego, że Spółka już poprzednio sygnalizowała wątpliwości, co do okoliczności uzyskania adresu Pracownika, a nowy dowód nie spowoduje żadnego przedłużenia postępowania i pozwoli wyjaśnić istotne wątpliwości - odnoszące się do pochodzenia adresu, poczty elektronicznej a tym samym intencji stron.
W odpowiedzi na skargę organ administracji wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
W dodatkowym piśmie (k. 56-57) Pracownik podtrzymał zarzuty wobec Spółki wychodząc, że istnieją dowody na okoliczność zwracania się doń przez Spółkę na jego prywatny adres poczty elektronicznej, jeszcze przed zainicjowaniem korespondencji, powoływanej przez Spółkę. Załączył wydruk wiadomości.
Skargę rozpoznano w trybie uproszczonym, wobec treści art. 119 pkt 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Sąd zważył, co następuje.
Skarga jest częściowo zasadna, choć nie miały kluczowego znaczenia sformułowane w niej zarzuty. Sąd nie jest jednak związany wnioskami i zarzutami skargi – tak: art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Zaskarżoną decyzje wydano w pkt 1 z naruszeniem przepisów postępowania w zakresie obowiązku właściwego wyjaśnienia sprawy, co było następstwem pominięcia przez organ - na etapie rozpatrywania sprawy – przepisu prawa materialnego, zakreślającego granice obowiązku usuwania danych osobowych - art. 17 ust. 3 lit. d RODO.
Odnosząc się do kwestii prowadzenia przez Spółkę monitoringu GPS jej pracowników, należy na wstępie wskazać, że organ generalnie trafnie opisał stan faktyczny i przywołał treść regulacji normatywnych, mających w sprawie zastosowanie, gdy chodzi o reguły przetwarzania danych osobowych pracowników w danym zakresie – w szczególności zawartych w ustawie – Kodeks pracy. Pominął jedynie treść wskazanego wcześniej przepisu RODO, jak i bezpodstawnie skonstatował, że Pracownik nie miał wiedzy o stosowaniu monitoringu. Wobec wcześniejszego zreferowania stanowiska organu, jego powtarzanie jest bezzasadne. Sąd przyjmuje za własne z powyższym zastrzeżeniem.
Odnośnie do wywodów skargi należy wskazać, że - co bezsporne i potwierdzone przez Spółkę - nie dochowała ona wymagań szczególnych w zakresie przetwarzania danych osobowych pracowników wobec prowadzenie systemu monitoringu GPS. Wprowadzono je w określonej dacie i od tego czasu niezbędne było zachowanie konkretnych procedur. Dotyczyło to także powinności zamieszczenia reguł monitorowania w stosownych dokumentach, których treść znana jest pracownikom, czy potwierdzenia faktu zapoznanie się przez nich z tymi regułami na piśmie (tak art. 222 § 6-8 ustawy – Kodeks pracy). Trafnie wprawdzie podniesiono w skardze, że organ nie wywiódł w sprawie przekonywująco - wobec argumentacji Spółki - jakoby Pracownik nie miał żadnej wiedzy o fakcie stosowania monitoringu, czy generalnie jego zakresie. Nie ma to jednak kluczowego znaczenia w sprawie, skoro prawodawca określił pewne, sformalizowane wymagania w zakresie gromadzenia a więc przetwarzania danych osobowych pracowników, pochodzących z monitoringu. W takiej sytuacji przetwarzane przez Spółkę dotyczące Pracownika dane nie mogły być uznane za pozyskane legalne. Generalnie zachodziła więc przesłanka do wydania nakazu ich usunięcia, wobec treści art. 58 ust. 2 lit. g w zw. z art. 17 ust. 1 lit. d. RODO, o ile nie sprzeciwiał się temu przepis szczególny. Z kolei poza granicami sprawy jest uwypuklana w skardze kwestia, czy dane uchybienie - wymaganiom wynikającym z reguł określonych ustawą - Kodeks pracy - faktycznie godziło w prawo do poszanowania życia prywatnego danego Pracownika, jeżeli - jak wychodzi Spółka - faktycznie o monitoringu wiedział (mogą na to wskazywać oświadczenia Kierownika) zaś był on faktycznie realizowany w zakresie przez nią wskazanym.
Chybione są wprawdzie wywody skargi, gdzie podnoszono, jakoby brak było przesłanek dla określenia reguł monitorowania pracowników, gdy dany podmiot jest zarządzany w istocie jednoosobowo a ustalenie zasad odbyłoby się niejako "samemu sobie". W myśl bowiem reguł RODO a także regulacji szczególnych - ustawy - Kodeks pracy - Spółka powinna przedstawić przejrzyste i jasne reguły monitorowania także swoim pracownikom. Winno być to odzwierciedlone także w formie stosownych dokumentów.
Trafnie zauważono natomiast w skardze, że nie są komunikatywne wywody organu, gdzie zarzucono Spółce brak dostępu dla Pracownika do gromadzonych danych osobowych. Nie powiązano ich z realiami rozpatrywanej sprawy, gdzie Spółka wywodziła (zaś organ tego nie kwestionował), że dane Pracownika zbierano wyłącznie epizodycznie - wobec skierowania konkretnego zapytania do operatora sieci telefonii komórkowej - a następnie wykorzystano (przesłanka rozwiązania stosunku pracy). Niewątpliwie jednak słusznie organ dostrzegł nieprawidłowość, wobec braku określenia w stosownym dokumencie, z którym zapoznano by formalnie pracowników, reguł zbieranie danych i zakresu zapewnienia możliwości do nich dostępu.
Reasumując słuszne jest ustalenie organu o wystąpieniu zdarzenia, polegającego na przetwarzaniu przez Spółkę danych osobowych Pracownika niezgodnie z prawem, w rozumieniu art. 17 ust. 1 lit. d RODO.
Analizującemu okoliczności faktycznych sprawy organowi umknęło jednak, że zgromadzone dane mogą stanowić materią dowodową w toczącym się - z powództwa Pracownika - postępowaniu przed sądem powszechnym. Odnotowano takie twierdzenie Spółki w uzasadnieniu, lecz nie przypisano temu żadnego znaczenia. Jednocześnie - w myśl art. 17 ust. 3 lit. e RODO - reguł dotyczących możliwości żądania usunięcie danych określonych w ust. 1 (w tym przetwarzanych z naruszeniem prawa) nie stosuje się, gdy przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Organ - uzasadniając orzeczenie w zakresie gdzie zobowiązano Spółkę do usunięcia dotyczących lokalizacji Pracownika danych - nie odniósł się w ogóle do wskazanej wcześniej kwestii. Ponieważ przywołana regulację może stanowić przesłankę negatywną do orzeczenia o obowiązku usunięcie danych, uchybienie przepisom postępowania - w zakresie powinności rozpoznanie sprawy w jej istotnych aspektach, co winno znaleźć odzwierciedlenia w uzasadnieniu zaskarżonego aktu (tak art. 7, 77 §. 1, art. 80 i 107 § 3 wobec art. 8 § 1 K.p.a.) - mogły mieć istotny wpływ na wynik sprawy. W danym zakresie zarzuty Spółki - naruszenia przepisów postępowania są trafne.
Skutkowało to potrzebą uchylenia zaskarżonego aktu w zakresie zobowiązania Spółki do usunięcia danych. Co wynika z treści RODO, z woli prawodawcy - gdy określone dane osobowe są wykorzystywane w postępowaniu przed sądem - do niego należy ocena, czy ewentualne uchybienia w procesie ich przetwarzania (w tym zbierania), są tego rodzaju, że dyskwalifikują one określone dowody, jako podstawę dokonania wiarygodnych ustaleń faktycznych.
Inaczej ma się rzecz, gdy chodzi o pkt. 2 skarżonej decyzji.
W tym zakresie organ trafnie wywiódł - przywołując treść stosownych regulacji normatywnych - że Spółka nie była uprawniona do przetwarzania (jego formą jest posiadanie w swoich dostępnych zasobach) informacji - danych osobowych byłego pracownika, jakim jest jego prywatny adres poczty elektronicznej. Wobec uprzedniego zreferowania stanowiska organu, powtarzanie jego argumentacji w danym zakresie byłoby bezzasadne. Sąd przyjmuje ją za własną.
Odnosząc się do wywodów skargi należy jedynie dodać, co następuje.
Istotnie z wyjaśnień Spółki - skierowanych do organu, w toku postępowania – wynikał, brak jej pewności, skąd pozyskano adres do korespondencji z Pracownikiem, lecz możliwym jest, że pochodził on z jego aplikacji o pracę (podkreślano to w skardze do Sądu). Takie stanowisko oznaczało jednak, że w praktyce funkcjonowania danego pracodawcy nie istniały przejrzyste reguły usuwania wszelkich danych, których posiadanie po dniu zwolnienia pracownika nie było przewidziane ustawą - Kodeks pracy. W takiej sytuacji wynikły na etapie wnoszenia skargi do Sądu spór - czy w istocie adres prywatnej poczty elektronicznej Pracownika pozyskano w danym przypadku wobec skierowania przezeń korespondencji do Spółki już po zwolnieniu, bądź też Spółka posiadała faktycznie nadal ten adres, jako pozyskany jeszcze przed zwolnieniem Pracownika - nie ma kluczowego znaczenia. Kwestionowanym orzeczeniem nie zobowiązano Spółki do podjęcia konkretnych czynności, co okazałoby się bezpodstawne, wobec ewentualnie odmiennych ustaleń - lecz zwrócono uwagę na określoną nieprawidłowość w kontekście systemu gromadzenia danych osobowych byłych pracowników (udzielono upomnienia). Z kolei - wobec informacji uzyskanych od Spółki - organ był uprawniony do konstatacji, że w procesie przetwarzania danych osobowych byłych pracowników występują nieprawidłowości - nie ma stosownych reguł (praktyk) bądź bywają one nieprzestrzegane. Potwierdzało to wyjaśnienia Spółki, gdzie wskazywano, skąd mogły zostać pozyskane określone dane osobowe - adres prywatnej poczty elektronicznej - byłego pracownika.
Sąd nie dopatrzył się więc z urzędu bądź wobec argumentacji skargi naruszenia przepisów postępowania w zakresie obowiązku właściwego wyjaśnienia sprawy lub prawa materialnego w zakresie reguły przetwarzania danych osobowych pracowników, które mogłyby prowadzić do uchylenia zaskarżonej decyzji w zakresie udzielenie Spółce upomnienia.
Sąd nie uwzględnił wniosku Spółki o przeprowadzenie dowodu z dokumentów w zakresie ustalenia, skąd w istocie pozyskała ona prywatny adres poczty elektroniczny byłego pracownika. Jest to zresztą nadal sporne między stronami, o czym świadczy treść skierowanego do Sądu pisma Pracownika. Nie ma to jednak kluczowego znaczenia dla rozstrzygnięcie niniejszej sprawy, gdzie – wobec skierowanej do organu wypowiedzi samej Spółki – uzasadniony był wniosek, że przetwarzanie danych osobowych byłych pracowników nie jest realizowane zgodnie z regułami, określonymi w RODO i w przepisach szczególnych – ustawie – Prawo pracy.
Z przytoczonych wyżej przyczyn, na podstawie art. 145 §. 1 pkt 1 lit. c oraz art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzeczono jak w pkt 1 i 2 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 3 sentencji. W myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2018 r., poz. 265 ze zm.) do kosztów na rzecz Spółki zaliczono wynagrodzenie jej pełnomocnika w kwocie 480 zł, wpis sądowy od skargi w kwocie 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.
Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.
-----------------------
2