III OSK 3838/21

III OSK 3838/21 - Wyrok NSA
Data orzeczenia
2024-02-23
orzeczenie prawomocne
Data wpływu
2021-01-04
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski /sprawozdawca/
Olga Żurawska - Matusiak /przewodniczący/
Wojciech Jakimowicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2227/19 - Wyrok WSA w Warszawie z 2020-09-15
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2023 poz 1634
art. 207 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 2 ust. 1, art. 4 pkt 6
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Olga Żurawska - Matusiak Sędziowie: Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Mariusz Kotulski (spr.) Protokolant: asystent sędziego Dominika Daśko po rozpoznaniu w dniu 23 lutego 2024 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 września 2020 r. sygn. akt II SA/Wa 2227/19 w sprawie ze skarg [...] Sp. z o.o. z siedzibą w [...] oraz T. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2019 r. nr [...] w przedmiocie udzielenia upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, 2. odstępuje od zasądzenia na rzecz Prezesa Urzędu Ochrony Danych Osobowych zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 15 września 2020 r. sygn. akt II SA/Wa 2227/19, po rozpoznaniu sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] oraz T. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2019 r., nr [...], [...] w przedmiocie udzielenia upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, uchylił zaskarżoną decyzję (pkt 1), zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. z siedzibą w [...] zwrot kosztów postępowania (pkt 2), a także zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz T. J. zwrot kosztów postępowania (pkt 3).
Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.
T. J. (dalej: "skarżący", "wnioskodawca") był zatrudniony w [...] Sp. z o.o. z siedzibą w [...] (dalej: "Spółka") od 16 stycznia 2006 r. do 20 sierpnia 2018 r. Wnioskodawca pełnił w Spółce funkcję przewodniczącego Organizacji Zakładowej NSZZ "Solidarność".
Spółka - za pośrednictwem kuriera - czterokrotnie usiłowała dostarczyć wnioskodawcy oświadczenie o wypowiedzeniu. Korzystał on bowiem ze zwolnienia z obowiązku świadczenia pracy z zachowaniem prawa do wynagrodzenia.
W dniu 20 sierpnia 2018 r. dwaj upoważnieni przedstawiciele Spółki wręczyli wnioskodawcy wypowiedzenie w poczekalni biura poselskiego. Wnioskodawca odmówił przyjęcia pisma. W obecności osób trzecich znajdujących się w biurze poselskim (poseł A. M.) reprezentanci Spółki, reagując na odmowę przyjęcia pisma, odczytali, posługując się danymi osobowymi wnioskodawcy treść oświadczenia o wypowiedzeniu, a następnie pozostawili je na znajdującym się obok wnioskodawcy stole. W trakcie wręczania pisma jeden z przedstawicieli Spółki poinformował wnioskodawcę, że jest to wypowiedzenie i jest mu wręczane, bo nie odbiera pism od kurierów. W odwołaniu od wypowiedzenia skierowanym do Sądu Rejonowego wskazano, że 20 sierpnia 2018 r. przedstawiciele Spółki osobiście wręczyli wnioskodawcy pismo o wypowiedzeniu.
Na powyższą zaistniałą czynność T. J. wniósł skargę do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ"). Skarga wnioskodawcy dotyczyła nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę. Polegały one na udostępnieniu jego danych osobowych osobom nieuprawnionym. Zarzucano, że pracownicy Spółki - w obecności osób trzecich znajdujących się w biurze poselskim (poseł A. M.) - odczytali, posługując się danymi osobowymi wnioskodawcy, treść oświadczenia o wypowiedzeniu. Wnioskodawca wskazał, że - po odmówieniu przez niego przyjęcia wypowiedzenia, przedstawiciele Spółki pozostawili niezabezpieczone pismo zawierające wypowiedzenie, w obecności osób przebywających w biurze poselskim. W związku z tym wnioskodawca wniósł o podjęcie wszelkich działań zmierzających do usunięcia wskazanych naruszeń. Zwrócił się też do organu o rozważenie wszczęcia postępowania sądowego przeciwko osobom reprezentującym Spółkę z tytułu naruszenia ustawy z dnia 10 maja 2018 r., o ochronie danych osobowych (Dz. U. poz. 1000 ze zm., zwana dalej: "ustawa o danych").
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] lipca 2019 r., nr [...], [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm., zwana dalej: "k.p.a.") oraz art. 5 ust. 1 lit. c i f, art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016, zwanego dalej: "RODO"), udzielił Spółce upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 6 ust. 1, w zw. z art. 5 ust. 1 lit. c oraz f RODO.
Na powyższą decyzję T. J. i [...] Sp. z o.o. z siedzibą w [...] wnieśli skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedziach na obie skargi organ administracji wniósł o ich oddalenie, podtrzymując dotychczasową argumentację.
W dodatkowym piśmie procesowym (k. 64-67 akt o sygn. II SA/Wa 2227/19) Spółka polemizowała ze stanowiskiem wnioskodawcy sformułowanym w skardze, co do okoliczności faktycznych doręczenia mu w biurze poselskim wypowiedzenia.
W trakcie rozprawy (k. 75) Sąd połączył sprawę ze skargi wnioskodawcy (o sygn. akt II SA/Wa 2227/19) oraz Spółki (o sygn. akt II SA/Wa 2325/19) do wspólnego rozpoznania i rozstrzygnięcia - w myśl art. 111 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm., zwana dalej: "p.p.s.a.").
Wojewódzki Sąd Administracyjny w Warszawie w powołanym wyżej wyroku uznał, że skargi były zasadne i zasługiwały na uwzględnienie, chociaż nie z przyczyn w nich podniesionych.
Uzasadniając swoje stanowisko Sąd I instancji wskazał, że w rozpoznawanej sprawie są poza sporem jej istotne okoliczności w tym zakresie, że przedmiotem skargi do wyspecjalizowanego organu były zdarzenia w miejscu publicznym (biuro poselskie). Różnica stanowisk między stronami dotyczy natomiast tego, czy ujawniono dane osobowe w postaci imienia i nazwiska wnioskodawcy oraz informacji o wypowiedzeniu mu umowy o pracę, a jeśli tak to czy były to działania prawnie dopuszczalne (w tym kontekście także kwestia okoliczności bezskutecznego doręczenia przesyłki przez kuriera).
Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że przedmiotowe zdarzenie nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę, jako zespołu informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.
Odwołując się do brzmienia art. 2 ust. 1, art. 4 pkt 6 RODO stwierdził, że "przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich ujawnianie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Wskazanej oceny nie zmienia to, że przetwarzanie (w tym ujawnienie) może - w myśl art. 4 pkt 3 RODO - nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1 - gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany tylko te, stanowiące część zbioru danych lub mających stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO. (...) Wobec przywołanych uwarunkowań uzasadniony jest wniosek, że - wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych w innych sytuacjach - np. użycia imienia i nazwiska określonej osoby przy zwróceniu się do niej w miejscu publicznym".
W ocenie Sądu jeżeli, wedle twierdzeń wnioskodawcy, w biurze poselskim wymieniono jego imię i nazwisko oraz publicznie ujawniono fakt doręczenia mu wypowiedzenia mu umowy o pracę, czy też pozostawiono dokument w sposób umożliwiający zapoznanie się z jego treścią osobom trzecim, zdarzenie to może wprawdzie stanowić o naruszeniu jego dóbr osobistych w zakresie poszanowania prywatności i ochrony danych, związanych np. z życiem zawodowym - o ile faktycznie do tego doszło i nie było to uzasadnione okolicznościami sprawy (potrzeba doręczenia pisma, wobec wcześniejszej próby bezskutecznego doręczenia przesyłki przez kuriera). Kwestie te są w istocie przedmiotem sporu między stronami. Wyspecjalizowany organ administracji nie jest jednak właściwy do rozstrzygania takiej sprawy. Przetwarzanie danych w danym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami zawartymi w RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Kompetencji organu administracji nie można przy tym wykładać rozszerzająco wobec treści art. 2 § 3 ustawy - Kodeks postępowania cywilnego. Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych w rozumieniu art. 23 i 24 ustawy - Kodeks cywilny - do których zaliczają się dane osobowe - właściwe są zaś sądy powszechne.
Sąd I instancji podkreślił, że w tej sytuacji – "wobec bezsporności faktów, istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków, przewidzianych w RODO, w świetle reguł ustawy o danych - brak było podstaw do orzeczenia w sprawie, co do meritum. Nie mógł więc także organ wykonać kompetencji, określonych w art. 58 ust. 2 lit. i w zw. z art. 83 RODO ani art. 98 ust. 1 ustawy o danych. Orzekając w sprawie organ naruszył natomiast przepis prawa materialnego, zakreślającego jego kompetencje - art. 58 ust. 2 lit. b RODO - poprzez bezpodstawne jego zastosowanie, wobec art. 2 ust. 1, w zw. z art. 4 pkt 6 ustawy o danych".
Wobec wskazanych uwarunkowań Sąd uznał, że poza granicami sprawy (a więc także oceną Sądu) pozostają, podnoszone w obu skargach, kwestie dotyczące błędnych zdaniem stron ustaleń w kwestii, jakie były okoliczności doręczenia wypowiedzenia, czy jego doręczenie skutkowało ujawnianiem danych osobowych wobec wcześniejszego upowszechnienia informacji w sieci internet (tak twierdzenie Spółki) oraz czy ujawnienie danych było uprawnione w myśl obowiązujących regulacji (potrzeba zakomunikowania oświadczenia pracodawcy).
Skargę kasacyjną od tego wyroku wniósł Prezes Urzędu Ochrony Danych Osobowych, zaskarżając wyrok w całości i zarzucając mu naruszenie przepisów prawa materialnego, tj. art. 2 ust. 1, art. 4 pkt 6 RODO w związku z art. 174 pkt 1 p.p.s.a., "poprzez jego błędną wykładnię, polegającą na przyjęciu, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych, lecz tylko gdy chodzi o te, objęte zakresem danej regulacji, przy czym dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych".
Mając powyższe na uwadze skarżący kasacyjnie organ wniósł o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenie zwrotu kosztów postępowania sądowego, a także rozpoznanie skargi kasacyjnej na rozprawie.
Powyższe zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.
W odpowiedzi na skargę kasacyjną T. J. wskazał, iż przyłącza się do stanowiska skarżącego jednakże pozostawił złożoną skargę kasacyjną do uznania Sądu, jak również nie wniósł o przeprowadzenie rozprawy w przedmiotowej sprawie.
Pismem z dnia 3 grudnia 2020 r. uczestnik postępowania [...] Sp. z o.o. z siedzibą w [...] wniósł o przeprowadzenie rozprawy.
Naczelny Sąd Administracyjny zważył, co następuje.
Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny przy rozpatrywaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest granicami tej skargi, a z urzędu bierze pod rozwagę tylko nieważność postępowania w wypadkach określonych w § 2, z których żaden w rozpoznawanej sprawie nie zachodzi. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten, w odróżnieniu od wojewódzkiego sądu administracyjnego, nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów postawionych w skardze kasacyjnej.
Podstawy, na których można oprzeć skargę kasacyjną zostały określone w art. 174 p.p.s.a. Przepis art. 174 pkt 1 p.p.s.a. przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć niewłaściwe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie, dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 p.p.s.a. – naruszenie przepisów postępowania – może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w wypadku oparcia skargi kasacyjnej na tej podstawie skarżący powinien nadto wykazać istotny wpływ wytkniętego uchybienia na wynik sprawy.
Na wstępie rozważań podnieść należy, że ogólnie sformułowana treść zarzutu wymagała jego doprecyzowania. Naczelny Sąd Administracyjny miał na uwadze, że wprawdzie zasadniczo sąd drugiej instancji nie może we własnym zakresie konkretyzować zarzutów skargi kasacyjnej, ani uściślać bądź w inny sposób ich korygować (por. wyrok NSA z dnia 27 stycznia 2015 r., II GSK 2140/13), jest to jednak dopuszczalne, gdy pozwala na to powołana choćby niedoskonale podstawa prawna oraz argumentacja uzasadnienia środka odwoławczego (por. wyrok NSA z dnia 22 sierpnia 2012 r., I FSK 1679/11). Mając na uwadze treść zarzutu oraz przedstawioną w uzasadnieniu skargi kasacyjnej argumentację uznać należy, że organ zarzuca Sądowi I instancji naruszenie art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO poprzez ich błędną wykładnię w ten sposób, że akt ten dotyczy tylko zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.), gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych, a w konsekwencji nie dotyczy zdarzeń pozostających w związku z ujawnieniem (przetworzeniem) danych osobowych w innych sytuacjach.
Odnosząc się do tak sprecyzowanego zarzutu naruszenia przepisów prawa materialnego, tj. art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO poprzez ich błędną wykładnię należy uznać go za uzasadniony.
Podnieść należy, iż Traktat o Unii Europejskiej (dalej TUE) wskazuje, że UE może podejmować tylko takie działania, do których Unia została wyraźnie upoważniona przez państwa członkowskie (art. 5 TUE). Podział kompetencji pomiędzy UE a państwa członkowskie został dokonany w przepisach art. 2-6 Traktatu o funkcjonowaniu Unii Europejskiej (dalej TFUE). Rozdział ich nastąpił przy zastosowaniu bardzo ogólnych kategorii pojęciowych. Sama analiza tych przepisów jest zatem niewystarczająca dla ustalenia zakresu kompetencji legislacyjnych UE. W zakresie przedmiotowo istotnym z punktu widzenia rozpoznawanej sprawy konieczne jest odwołanie się do art. 16 TFUE.
Zgodnie z art. 16 ust. 1 TFUE każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Z ust. 2 wynika z kolei, że Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Prawo to uregulowane zostało także w art. 8 ust. 1 Karty Praw Podstawowych UE, zgodnie z którym każdy ma prawo do ochrony danych osobowych, które go dotyczą. Unia Europejska była zatem kompetentna w zakresie wprowadzenia przepisów RODO. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest bowiem jednym z praw podstawowych, a ich ochrona jest sensem funkcjonowania UE. Zatem ochrona prawa do prywatności, w tym ochrona osób fizycznych w zakresie przetwarzania danych osobowych, jest działalnością objętą zakresem prawa Unii w rozumieniu art. 2 ust. 2a RODO.
Przedmiotowy zakres zastosowania przepisów RODO w aspekcie pozytywnym określony został w przepisie art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem "zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych" (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 125).
Z przepisu tego wynika więc, że przetwarzanie danych, które odbywa się w sposób niezautomatyzowany (ręcznie), a jednocześnie przetwarzane dane nie stanowią (lub nie mają stanowić) zbioru, nie jest objęte zakresem przedmiotowym RODO. Nadto RODO nie znajduje zastosowania także do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 2 ust. 2 RODO).
Z utrwalonego orzecznictwa ochrona prawa podstawowego do prywatności, zagwarantowanego przez art. 7 KPP, wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne, a wykładnia regulujących je przepisów powinna być dokonywana przez pryzmat praw podstawowych zawartych w Karcie i w sposób ścisły.
Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jednocześnie "zbiór danych" to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria:
- musi to być zestaw informacji stanowiących dane osobowe w rozumieniu przepisu art. 4 pkt 1 RODO,
- zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną strukturę,
- dane osobowe zawarte w tym zestawie informacji dostępne być muszą według określonych kryteriów (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 210).
Dopełnieniem przedstawionych powyżej kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to czy "zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie". Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn., dane mogą być skupione w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. Wskazać należy także, że do przetwarzana danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo, że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość.
Zatem aby określone dane mogły być kwalifikowane jako zbiór lub jako jego część muszą być nośnikiem informacji charakterystycznych lub specyficznych dla tego zbioru np. dane dotyczące miejsca zatrudnienia, przebiegu zatrudnienia, badań lekarskich.
Podzielić należy stanowisko PUODO, że w niniejszej sprawie [...] Sp. z o.o. z siedzibą w [...] pełniła rolę administratora (w rozumieniu art. 4 pkt 7 RODO) danych osobowych T. J. oraz przetwarzała je jako dane osobowe pracownika. Okoliczność wypowiedzenia umowy o pracę była ściśle związana z wiążącym strony stosunkiem pracy. Natomiast rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (Dz. U. z 2018, poz. 2369), przewiduje obowiązek oddzielnego prowadzenia akt osobowych dla każdego pracownika. Zestaw akt osobowych pracowników stanowi wskazany w art. 4 pkt 6 RODO zbiór danych osobowych, ponieważ zawiera dane osobowe zatrudnionych, ma określoną strukturę oraz jest dostępny według określonych kryteriów. Oświadczenia lub dokumenty związane z rozwiązaniem lub wygaśnięciem stosunku pracy przechowuje się w części C akt osobowych pracownika (§ 3 pkt 3 powołanego rozporządzenia). W związku z powyższym wskazać należy, że dane osobowe zawarte w wypowiedzeniu umowy o pracę stanowią część zbioru danych, prowadzonego przez [...] sp. z.o.o., a także podlegają regułom, określonym w art. 2 ust. 1 RODO.
Przetwarzanie danych pracowniczych na podstawie art. 6 ust. 1 lit. f RODO uzasadnione jest w aspekcie dbania o dobro zakładu pracy, sprawność i efektywność jego funkcjonowania, a także z zapewnieniem bezpieczeństwa pracowników i innych osób przebywających na terenie zakładu pracy, w tym z zapewnieniem przez pracodawcę bezpiecznych i higienicznych warunków pracy, zgodnie z art. 207 Kodeksu pracy (zob. Arkadiusz Sobczyk, Processing employee data under art. 6 paragraph 1 point f) GDPR (Przetwarzanie danych pracowniczych na podstawie art. 6 ust. 1 lit. f RODO), Praca i zabezpieczenie społeczne 12/2018).
Interes pracodawcy, który jest przedsiębiorcą oraz jednocześnie administratorem danych osobowych oraz interes pracowników często jest wspólny. Dlatego pracodawca jest uprawniony zwłaszcza w pewnych zawodach do ujawniania m.in. służbowego adresu e-mail, czy imienia i nazwiska pracownika.
W doktrynie zauważono, że podstawowe dane osobowe człowieka (imię i nazwisko) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.) - zob. M. Pieńczykowski "Ochrona danych osobowych jako negatywna przesłanka udostępniania informacji publicznej", Zeszyty Naukowe Sądownictwa Administracyjnego z 2018 r., nr 2, str. 64 i n.
Wprawdzie zgodzić się należy z ogólnym poglądem wyrażonym w uzasadnieniu zaskarżonego wyroku, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO, lecz wyrażony przez Sąd I instancji wniosek jest jednak zbyt ogólny, aby miał charakter uniwersalny i pozwalał tym samym na oddalenie skargi. Już w wyroku z dnia 8 listopada 2012 r., sygn. I CSK 190/1247 Sąd Najwyższy wskazał, że trudno jest jednoznacznie przesądzić, czy udostępnienie imienia i nazwiska osoby fizycznej przez jednostkę samorządu terytorialnego narusza jej prawa do prywatności. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego. Istotne jest powiązanie tych danych osobowych tj. imienia i nazwiska ze wspomnianymi wyżej specyficznymi cechami zbioru (np. wynikającymi z akt osobowych pracownika lub mających stanowić część takich akt – pokazujących miejsce i przebieg stosunku pracy, począwszy od rozpoczęcia zatrudnienia, aż po jego zakończenie).
O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób (jak wskazano wyżej nie dotyczy to użycia tych danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze). Tymczasem Sąd I instancji nie wskazał jaki stan faktyczny przyjął w przedmiotowej sprawie. Wskazał, że "w rozpoznawanej sprawie uzasadnione jest stwierdzenie, że przedmiotowe zdarzenie nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę, jako zespołu informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia". Następnie uznał, iż kwestie stanu faktycznego są sporne między stronami, a "wyspecjalizowany organ administracji nie jest jednak właściwy do rozstrzygania takiej sprawy". Dlatego "pozostają poza granicami sprawy (a więc także oceną Sądu), podnoszone w obu skargach kwestie dotyczące błędnych zdaniem stron ustaleń w kwestii, jakie były okoliczności doręczenia Wypowiedzenia, czy jego doręczenie skutkowało ujawnianiem danych osobowych wobec wcześniejszego upowszechnienia informacji w sieci internet (tak twierdzenie Spółki), oraz, czy ujawnienie danych było uprawnione w myśl obowiązujących regulacji (potrzeba zakomunikowania oświadczenia pracodawcy). Sąd nie przeprowadzał także dowodów w kwestii ustalenie okoliczności faktycznych w danym zakresie".
W konsekwencji, mając na uwadze, że Sąd I instancji nie wyraził jaki stan faktyczny przyjął na potrzeby dokonania oceny niniejszej sprawy, stwierdzić należy, że bez tego nie sposób ocenić (in concreto), czy doszło do naruszenia RODO.
W tym stanie rzeczy na podstawie art. 185 § 1 p.p.s.a. orzeczono jak w pkt 1 sentencji wyroku. Ponownie rozpoznając sprawę Sąd I instancji odniesie się do zarzutów zawartych w skargach [...] Sp. z o.o. z siedzibą w [...] oraz T. J. uwzględniając przedstawioną wyżej wykładnię art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO. W szczególności odniesie się do przyjętego w niniejszej sprawie przez organ stanu faktycznego (okoliczności doręczenia wypowiedzenia, charakteru i zakresu ujawnionych danych osobowych) oraz czy ujawnienie danych było uprawnione w myśl obowiązujących regulacji (potrzeba zakomunikowania oświadczenia pracodawcy).
O kosztach postępowania kasacyjnego rozstrzygnięto w oparciu o art. 207 § 2 p.p.s.a., odstępując od zasądzenia ich zwrotu na rzecz organu. Skład orzekający podzielił pogląd zaprezentowany w wyrokach Naczelnego Sądu Administracyjnego z 17 stycznia 2008 r., I FSK 140/07 i z 21 lutego 2012 r., II GSK 51/11, że jeżeli wyłączną przyczyną sprawiającą, iż doszło do postępowania kasacyjnego było wadliwe orzeczenie Sądu I instancji, które spowodowało wniesienie skargi kasacyjnej uwzględnionej przez Naczelny Sąd Administracyjny, to brak jest dostatecznych podstaw do tego, aby obciążyć stronę, która wniosła skargę do Sądu I, kosztami postępowania kasacyjnego na podstawie art. 203 pkt 2 p.p.s.a.