III OSK 6858/21

III OSK 6858/21 - Wyrok NSA
Data orzeczenia
2025-03-20
orzeczenie prawomocne
Data wpływu
2021-10-05
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Paweł Mierzejewski /sprawozdawca/
Rafał Stasikowski /przewodniczący/
Zbigniew Ślusarczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 49/21 - Wyrok WSA w Warszawie z 2021-06-23
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok w części i w tej części skargę oddalono
Powołane przepisy
Dz.U. 2024 poz 935
art. 188 w zw. z art. 151 oraz art. 203 pkt 2 w zw. z art. 205 par i art. 209
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Rafał Stasikowski Sędziowie: Sędzia NSA Zbigniew Ślusarczyk Sędzia del. WSA Paweł Mierzejewski (spr.) Protokolant: Asystent sędziego Antoni Cypryjański po rozpoznaniu w dniu 20 marca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 czerwca 2021 r. sygn. akt II SA/Wa 49/21 w sprawie ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 1 zaskarżonego wyroku i w tym zakresie oddala skargę; 2. zasądza od [...] Sp. z o.o. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie (dalej: "WSA w Warszawie" albo "Sąd pierwszej instancji") wyrokiem z dnia 23 czerwca 2021 r., sygn. akt II SA/Wa 49/21, po rozpoznaniu sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] (dalej: "spółka" albo "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO" albo "organ") z dnia [...] listopada 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych:
1) uchylił pkt 1 zaskarżonej decyzji (pkt 1 sentencji wyroku);
2) oddalił skargę w pozostałym zakresie (pkt 2 sentencji wyroku);
3) zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. kwotę 697 złotych tytułem zwrotu kosztów postępowania (pkt 3 sentencji wyroku).
W uzasadnieniu wydanego wyroku Sąd pierwszej instancji wskazał, że zaskarżoną decyzją wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), dalej "k.p.a.", oraz art. 58 ust. 2 lit. b i lit. g, w zw. z art. 17 ust. 1 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L. nr 119. str. 1, ze zm.), dalej "RODO", wobec skargi P. G. (dalej: "uczestnik" albo "pracownik") na nieprawidłowości w przetwarzaniu danych osobowych:
- nakazano [...] Sp. z o.o. usunięcie danych osobowych uczestnika, w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS (pkt 1 decyzji),
- udzielono spółce upomnienia za naruszenie art. 6 ust. 1 oraz art. 5 ust. 1 lit. b RODO, polegające na wykorzystaniu danych osobowych uczestnika w zakresie jego prywatnego adresu poczty elektronicznej po ustaniu zatrudnienia - bez podstawy prawnej (pkt 2 decyzji).
Sąd pierwszej instancji wskazał, że w uzasadnieniu decyzji podano, że skarga uczestnika dotyczyła nieprawidłowości przy przetwarzaniu jego danych osobowych przez spółkę. Polegała ona na wykorzystywaniu jego danych osobowych, pozyskanych za pośrednictwem monitoringu GPS, bez zgody i wiedzy pracownika oraz wykorzystywaniu jego prywatnego adresu poczty elektronicznej ([...]) - po ustaniu zatrudnienia. W skardze dotyczącej nieprawidłowości wskazano, że uczestnika zatrudniono w spółce - na stanowisku [...] - od [...] lutego 2015 r., głównym miejscem wykonywania przezeń czynności zawodowych było miasto [...] , województwo [...] i ościenne. W dniu [...] lipca 2019 r. - gdy przebywał na zwolnieniu lekarskim - poinformowano uczestnika telefonicznie o rozwiązaniu stosunku pracy przez pracodawcę bez wypowiedzenia. Za przyczynę uznano ciężkie naruszenie przez pracownika podstawowych obowiązków pracowniczych – w myśl art. 52 § 1 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2020 r., poz. 1320 ze zm.), dalej: "k.p.". Uczestnik nie wiedział, gdzie miałyby być zamontowane lokalizatory GPS (w samochodzie służbowym czy w telefonie komórkowym). Przypuszczał również, że monitoring mógł rejestrować jego dane geolokalizacyjne przez całą dobę - również poza godzinami pracy, jak i podczas przebywania na urlopie wypoczynkowym. W jego ocenie należy to traktować w kategoriach inwigilacji pracownika. Uczestnik wskazał, że obecnie przed Sądem Rejonowym w [...] toczy się postępowanie w sprawie niezgodnego z prawem rozwiązania stosunku pracy (sygn. akt [...]). Pozwana spółka powołuje się tam na sporządzone przez siebie zestawienia danych z raportów, dotyczących odbytych przez pracownika podróży służbowych oraz danych z rzekomych raportów zarejestrowanych przez urządzenie GPS. Wydruków tych nie opatrzono podpisem osoby upoważnionej, ani choćby pieczęcią pracodawcy. Nie wskazano na nich również źródła pochodzenia danych w nich zawartych. Dokumenty takie nie mogą - w ocenie pracownika - stanowić dowodu naruszenia przezeń obowiązków pracowniczych. Uczestnik wniósł zatem o podjęcie stosownych kroków, zmierzających do kontroli przestrzegania przez spółkę przepisów dotyczących przetwarzania danych osobowych, w okresie jego zatrudnienia, a - w przypadku stwierdzenia uchybień – o nakazanie niezwłocznego usunięcia jego danych osobowych, przetwarzanych bez podstawy prawnej i o nałożenie na spółkę kary pieniężnej. Pracownik zakwestionował także wykorzystanie przez spółkę jego prywatnego adresu poczty elektronicznej, na który wysłano - już po ustaniu zatrudnienia - wezwania do uzupełnienia raportów za pierwsze pięć miesięcy roku 2019.
Sąd pierwszej instancji w dalszej części uzasadnienia wskazał, że organ podał, iż pracownika zatrudniano w spółce przez ponad [...] roku, zarówno jako [...], jak i [...], a okresowo także w [...] . Monitoring oparty na umowie, obowiązującej od stycznia 2010 r. - dotyczył ustalenia miejsca pobytu pracownika spółki, identyfikowanego wyłącznie przez osobę wyznaczoną przez spółkę. Nadto korzystanie z danych z monitoringu (zwracanie się do operatora o podanie ich) miało miejsce jedynie w przypadkach uzasadnionych wątpliwości, odnośnie do rzetelności, podawanych przez pracownika danych, w sprawozdaniach z odbytych wyjazdów służbowych. Spółka wyjaśniła, że korzystała z monitoringu GPS wyłącznie w podanych wyżej okolicznościach i w podanym celu. Za podstawę prawną wskazała: "art. 100 § 1 § 2 p. 1) i p. 2) Kodeksu pracy, a w dalszej kolejności oparte na nich zapisy regulaminu pracy. Stanowią one o obowiązkach pracownika, które pracodawca może i powinien egzekwować. Dotyczy to sumiennego i starannego wykonywania pracy oraz przestrzegania ustalonego czasu pracy. Pracodawca robi to w odniesieniu do wszystkich pracowników, stosownie do sytuacji. W przypadku pracowników świadczących pracę w siedzibie firmy - przez osobisty nadzór, m.in. dotyczący przebywania w miejscu pracy, nadzoru nad opuszczaniem jej. W przypadku pracowników zatrudnionych poza siedzibą firmy (tak jak skarżący) jedyną praktycznie dostępną i rzetelną formą nadzoru jest monitoring (...) forma ta jest wykorzystywana nie permanentnie, a tylko w razie wątpliwości dotyczących rzetelności pracownika". Spółka nie sporządzała żadnego dokumentu, w którym miałaby (sama sobie) określać zasady monitoringu. Kierowana jednoosobowo, cały czas przez tę samą osobę, miała ustaloną praktykę; praktyka ta (czyli zasady) była przedstawiana przy zatrudnianiu pracownika i przypominana podczas szkoleń. Głównym celem spółki było uświadomienie pracownikom "terenowym", że w razie konieczności jest możliwe zweryfikowanie czasu i prawidłowości wykonywanej przez nich pracy oraz podawanych informacji - zwłaszcza związanej z odbywanymi wyjazdami służbowymi. Istnienie takiej motywacji dowodzi tego, że spółka była zainteresowana, aby pracownicy wiedzieli o monitoringu. W kontekście tego nie jest uzasadniona sugestia, że pracodawca "namierzał pracowników podstępnie i w niecnym celu". Spółka nie znajduje podstawy, aby miała obowiązek pisemnego informowania pracowników o stosowaniu monitoringu. Konieczność taka nie wynika z przepisów ustawy - Kodeks pracy. Również z umowy o świadczenie usługi [...] - z załącznika nr 2 ust. 1 pkt c - nie wynika obowiązek pisemnego powiadomienia "Użytkowników Monitorowanych". Spółka wskazała, że o monitoringu i jego zakresie czasowym poinformowano wszystkich pracowników: dysponujących samochodami służbowymi oraz zatrudnionych poza swoimi "miejscami stacjonarnymi" (biurami). Informacje te przekazywano zarówno podczas procedury zatrudniania (pierwszy raz) jak i podczas szkoleń, prowadzonych regularnie w siedzibie firmy. Pracownika zatrudniono, gdy monitoring był już stosowany od ponad [...] lat. Nie powiadomiono go więc o wprowadzeniu, lecz o stosowaniu monitoringu.
Spółka wyjaśniła nadto, że geolokalizacja karty SIM jest standardową wiedzą, którą dostawca telefonii posiada za każdym razem, gdy zmienia się pozycja geograficzna karty SIM. Wiedza o tym jest dostępna dla właściciela karty SIM, jako odrębna usługa, na podstawie zawieranej umowy i po określeniu częstotliwości pobierania raportów dokumentujących lokalizację karty SIM na dany moment. W analizowanym przypadku, informacja ta dotyczyła lokalizacji telefonu od godziny 8:00 do godziny 16:00 - 5 razy w ciągu dnia. Poza tymi ramami czasowymi oraz w dni wolne od pracy dana usługa nie była dla spółki dostępna. Nie stanowiła również jej przedmiotu zainteresowania. Oznacza to, że żadne aplikacje ani dodatkowe urządzenia nie były nigdzie instalowane w celu otrzymania tych informacji. Spółka nie przekazała informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu. Monitoring GPS nie jest również uregulowany w obowiązującym w zakładzie regulaminie pracy. Aktualnie spółka ma dane osobowe pracownika - pozyskane za pośrednictwem monitoringu GPS - i pozostanie w ich posiadaniu do czasu prawomocnego zakończenia wszczętego postępowania sądowego. W tym czasie może ich ponownie użyć, jeśli okażą się konieczne w postępowaniu dla wykazania nieprawdziwości twierdzeń pracownika. Dane te zostaną usunięte niezwłocznie po prawomocnym zakończeniu postępowania sądowego. Ponadto spółka nie ma odrębnej procedury, dotyczącej analizy niezbędności przetwarzania danych osobowych. Od wielu lat (także przed zatrudnieniem Pracownika) posługiwała się zakupionym u operatora GPS monitoringiem poruszania się swoich pracowników w godzinach pracy. Mając w pełni legalnie takie dane, wykorzystywała je zgodnie z przeznaczeniem. W konkretnym przypadku – po uzyskaniu informację, że pracownik oszukuje spółkę przy wykonywaniu obowiązków pracowniczych – zweryfikowała ją. Było to możliwe z wykorzystaniem wyłącznie owych danych osobowych.
Spółka wyjaśniła ponadto, że ani ona, ani żaden z jej pracowników nie pozyskiwał danych osobowych pracownika w zakresie adresu poczty elektronicznej, w związku z działalnością własną spółki. Najprawdopodobniej adres ten podał sam pracownik w podaniu o przyjęcie do pracy, wyrażając jednocześnie zgodę na jego wykorzystywanie. W okresie zatrudnienia (do [...] lipca 2019 r.) wszelka korespondencja odbywała się adres służbowy pracownika. Spółka podkreśliła, że oryginał jego akt osobowych jest w sądzie w związku z wytoczoną sprawą, a skan cv fizycznie usunięto - zgodnie z przepisami RODO. Wraz z rozwiązaniem umowy o pracę pozbawiono pracownika służbowego adresu poczty elektronicznej. Ponieważ konieczne było zdanie posiadanego przez pracownika mienia spółki i rozliczenia się z tego w możliwie krótkim czasie, korespondencja w tym zakresie była kierowana na adres, wskazany w cv. Dotyczyła ona też dostarczenia zaległego sprawozdania. Spółka wskazała, że nie przetwarza aktualnie danych osobowych pracownika w zakresie prywatnego adresu poczty elektronicznej.
Jak wskazał Sąd pierwszej instancji Prezes UODO odnosząc się do przetwarzania danych osobowych pracownika, pozyskanych za pośrednictwem monitoringu GPS bez jego zgody i wiedzy, wskazał, że zgodnie z art. 4 pkt 1 RODO: "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. W szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Stąd dane o lokalizacji stanowią dane osobowe - wynika to wprost z zawartej w RODO definicji danych osobowych. W przedmiotowej sprawie zakres danych, których przetwarzanie kwestionuje pracownik, mieści w granicach tzw. "zwykłych", w rozumieniu art. 6 ust. 1 RODO. Zgodnie z nim, przetwarzanie danych, w tym ich udostępnianie, jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek, wskazanych w tym przepisie; ich katalog - w art. 6 ust. 1 RODO - jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że są one - co do zasady – równoprawne. Spełnienie wobec tego co najmniej jednej z nich, stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Powinno się to też odbywać zgodnie z zasadami, określonymi w art. 5 RODO. W przedmiotowej sprawie - dla oceny zgodności procesu przetwarzania danych osobowych pracownika z przepisami o ochronie danych osobowych, zdaniem organu, należy przeanalizować ograniczenia prawne i obowiązki pracodawców, mające zastosowanie do monitoringu w miejscu pracy. Ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), zwaną dalej "ustawą o danych", wprowadzono do ustawy - Kodeks pracy przepisy dotyczące monitorowania pracowników. W ocenie organu przetwarzanie danych osobowych pracownika za pośrednictwem stosowanego w spółce monitoringu GPS jest legalne, o ile spełniono warunki, określone w przepisach ustawy - Kodeks pracy - odnoszące się do monitoringu wizyjnego, a stosowane odpowiednio do innych form monitoringu pracownika. Zgodnie z art. 223 § 1 ustawy - Kodeks pracy, jeżeli jest to niezbędne do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz do właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika (§ 2); art. 222 § 6-10 stosuje się odpowiednio (tak: § 3); przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1 (tak: § 4). Stosownie natomiast do art. 222 § 6: cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem (§ 7). Pracodawca - przed dopuszczeniem pracownika do pracy - przekazuje mu na piśmie informacje, o których mowa w § 6 (§ 8). W razie wprowadzenia monitoringu, pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem (tak: § 9). § 9 nie narusza art. 12 i art. 13 RODO (tak: § 10).
Organ wskazał dalej, że w przepisach szczególnych, dotyczących monitoringu wizyjnego i innych jego form, nie przewidziano okresów przejściowych. Także w RODO nie ustanowiono dodatkowych terminów na dostosowanie. W związku z tym wskazane przepisy ustawy - Kodeks pracy oraz właściwe postanowienia RODO mają zastosowanie do wszystkich istniejących i przyszłych systemów monitorowania. Podmiot, u którego funkcjonował system monitoringu GPS przed 25 maja 2018 r., powinien był niezwłocznie podjąć wszelkie działania w celu dostosowanie do nowych wymogów - aby wykazać dążenie do zapewnienia zgodności z obowiązującym prawem. Przetwarzanie danych osobowych jest bowiem procesem ciągłym i musi uwzględniać zmiany w obowiązujących przepisach.
Organ wskazał nadto, że w toku postępowania ustalono, że spółka stosowała monitoring GPS od [...] r. Pracownika zatrudniono [...] lutego 2015 r. - zatem przed 25 maja 2018 r. Nie oznacza to jednak zwolnienia spółki z obowiązku rzetelnego poinformowania pracownika o celach, zakresie oraz sposobie zastosowania monitoringu. Zgodnie z art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). O zasadzie przejrzystości mówi także motyw 39 RODO: "(...) dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania".
Art. 5 ust. 2 RODO stanowi też, że administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"); jak podkreśla się w doktrynie "stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń)".
W przedmiotowej sprawie ustalono, że spółka przetwarza dane osobowe pracownika, w zakresie danych o lokalizacji, pozyskane za pośrednictwem monitoringu GPS m.in.: w okresach [...] 2018 r. i [...] 2019 r. Spółka nie zamieściła w Regulaminie pracy ani w żadnym innym dokumencie celów, zakresu oraz sposobu zastosowania monitoringu GPS. Nie poinformowano również o tym pracownika na piśmie. Z oświadczenia spółki wynika, że - jako kierowana jednoosobowo, cały czas przez tę samą osobę - miała ona ustaloną praktykę (czyli zasady). Przedstawiano ją przy zatrudnianiu pracownika i przypominano podczas szkoleń. Na dowód spółka załączyła oświadczenie kierownika.
Organ nie zakwestionował przy tym uprawnień pracodawcy do kontroli wykonywania i egzekwowania obowiązków pracowników, na które powołuje się spółka w swoich wyjaśnieniach. Wykonując niemniej swoje uprawnienia spółka winna mieć na względzie przepisy, dotyczące ochrony danych osobowych. Spółka nie wykazała w sposób wiarygodny faktu poinformowania o stosowanym wobec pracownika monitoringu, w szczególności nie dostosowała się do obowiązujących od 25 maja 2018 r. przepisów, regulujących zasady stosowania monitoringu. Powyższe przesądza, że aktualnie spółka przetwarza dane osobowe pracownika w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS, bez podstawy prawnej. Gdyby nawet przyjąć, że pracownika informowano o stosowanym w spółce monitoringu - podczas szkoleń prowadzonych przez kierownika - to nadal nie zapewniło to pracownikowi stałego dostępu do tych informacji, naruszając przy tym zasadę przejrzystości przetwarzania danych osobowych. Zdaniem organu każda forma monitoringu pracownika ingeruje w jego prywatność. Dlatego to również w interesie pracodawcy jest szczegółowo poinformować o tym fakcie w sposób jasny, przejrzysty i niebudzący wątpliwości pracownika, tak aby w przyszłości nie narazić się zarzut naruszenia jego dóbr osobistych. Takie podejście potwierdza dotychczasowe orzecznictwo sądów administracyjnych ukształtowane - co istotne - jeszcze przed wprowadzeniem do ustawy - Kodeks pracy przepisów, dotyczących monitorowania pracowników. Organ podzielił stanowisko Naczelnego Sądu Administracyjnego, wyrażone w wyroku z dnia 13 lutego 2014 r. (sygn. akt I OSK 2436/12) a mianowicie, że wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się z powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji.
Odnosząc się do zarzutu dotyczącego wykorzystywania przez spółkę prywatnego adresu poczty elektronicznej pracownika po ustaniu zatrudnienia, Prezes UODO wskazał, że jak wynika z wyjaśnień spółki, to najprawdopodobniej pracownik przekazał spółce swój prywatny adres poczty elektronicznej w podaniu o przyjęcie do pracy. Zgodnie z art. 221 § 1 ustawy - Kodeks pracy, pracodawca żąda od ubiegającej się o zatrudnienie osoby podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę; wykształcenie; kwalifikacje zawodowe; przebieg dotychczasowego zatrudnienia. Zgodnie natomiast z art. 221 § 3, pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: adres zamieszkania; numer PESEL, a w przypadku jego braku - rodzaj i numer potwierdzającego tożsamość dokumentu - inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień, przewidzianych w prawie pracy, a także wykształcenia i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie oraz numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Ustawa - Kodeks pracy nie wskazuje zatem prywatnego adresu poczty elektronicznej, jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji; dysponowanie adresem poczty elektronicznej jest i powinno pozostać dobrowolne. Aby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe do pracownika, które pozyskał podczas rekrutacji, takie jak np. adres prywatnej poczty elektronicznej, musi uzyskać na to jego zgodę (pisemną, określająca zasady kontaktu). Dodatkowo dane kontaktowe - wskazane przez ubiegającą się o zatrudnienie osobę - pracodawca może przetwarzać jedynie na potrzeby przeprowadzenia naboru. Na nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi zatem pozyskać zgodę zatrudnionego. W omawianej sprawie spółka nie wykazała, aby posiadała zgodę pracownika na przetwarzanie jego adresu poczty elektronicznej, w celach związanych z zatrudnieniem, jak również po jego ustaniu. Powyższe działanie spółki nie miało zatem oparcia w obowiązujących przepisach prawa.
Sąd pierwszej instancji wskazał dalej, że Prezes UODO stwierdził, że prowadzone przez organ postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO, w celu przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych. Jest więc ona uzasadniona i potrzebna tylko o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W związku z tym nakazano spółce usunięcie danych osobowych pracownika, w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS. Przetwarzanie danych osobowych pracownika w zakresie jego prywatnego adresu poczty elektronicznej po ustaniu zatrudnienia należało z kolei uznać za nadmiarowe, wykraczające poza zasadę ograniczenia celu (art. 5 ust. 1 lit. b RODO). Spółka nie legitymowała się w tym zakresie którąkolwiek z przesłanek, określonych w art. 6 ust. 1 RODO, wobec czego udzielono spółce upomnienia.
Sąd pierwszej instancji wskazał dalej, że spółka, reprezentowana przez pełnomocnika, w skardze na powyższą decyzję podniosła zarzuty naruszenia:
- art. 7 w zw. z art. 77 § 1 oraz art. 80 k.p.a., poprzez brak wyczerpującego, rzetelnego i wszechstronnego rozpatrzenia materiału sprawy; doprowadziło to do poczynienia w zaskarżonej decyzji nieuprawnionych ustaleń faktycznych;
- art. 107 § 3 k.p.a., przez niewskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej;
- art. 6 ust. 1 lit. a oraz b RODO, przez nieuzasadnione przyjęcie, że spółka przetwarzała dane osobowe (dane o lokalizacji) niezgodnie z prawem;
- art. 7 ust. 1 RODO, przez nieuzasadnione przyjęcie, że spółka nie wykazała, że uzyskała zgodę pracownika na przetwarzanie jego danych osobowych.
Z uwagi na powyższe zarzuty wniesiono o uchylenie w całości zaskarżonej decyzji oraz o dopuszczenie - na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.) - dowodu z wydruku maila – notatki, opisującej kontakty pomiędzy pracownikiem a spółką w [...] 2019 r. z prywatnego adresu poczty elektronicznej - dla ustalenia, że pracownik dobrowolnie udostępnił swój adres po ustaniu zatrudnienia.
W uzasadnieniu skargi podniesiono, że nie jest uzasadnione uznanie, że monitoring GPS miał miejsce bez zgody i wiedzy pracownika. Co do tej okoliczności występują w uzasadnieniu skarżonego aktu istotne niekonsekwencje, zarówno w "ustaleniach dotyczących stanu faktycznego" jak i w dalszej części. W uzasadnieniu więcej miejsca zajmują rozważania natury ogólnej niż opis realiów danego postępowania i wynikających stąd wniosków.
Spółka wskazała, że nie wnosi zastrzeżeń w zakresie kompletności materiału dowodowego. Kwestionuje jednak jego rozpatrzenie w całości; w przedmiotowej sprawie organ ustalił stan faktyczny, czyli uznane przez niego za prawdziwe fakty i przebieg zdarzeń, które są podstawą do orzekania (str. 3 do 6). Jako dowód (podstawę) dla ustalonego stanu faktycznego, przywoływano zawsze wyjaśnienia spółki, przy czym - w jednym przypadku - stwierdzono "Spółka nie przekazała informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu". Nie jest prawdziwe, jeśli odnieść to do pisma z [...] lutego 2020 r. Z pisma tego wynika cel monitoringu. Głównym celem było uświadomienie pracownikom "terenowym", że – w razie konieczności - jest możliwe zweryfikowanie czasu i prawidłowości wykonywanej przez nich pracy oraz podawanych informacji - zwłaszcza związanej z odbywanymi wyjazdami służbowymi - zakres (godziny i dnie tygodnia oraz wyjazdy służbowe – a także sposób (geolokalizacja karty SIM). W kwestii monitoringu GPS nie uznano żadnych twierdzeń ze skargi pracownika za element stanu faktycznego. Na podstawie tych dwóch faktów - chociaż w całym uzasadnieniu, z naruszeniem art. 80 k.p.a., nie ma żadnej oceny wiarygodności dowodów - uzasadnione jest niewyrażone tam wprost stwierdzenie, że organ w pełni dał wiarę wyjaśnieniom spółki. Z powodu niezachowania zasad prawidłowej oceny materiału dowodowego wystąpiła istotna rozbieżność pomiędzy ustalonym stanem faktycznym a treścią rozważań, zawartych w uzasadnieniu. Rozważania te są ogólnie słuszne, jednak nie w przedmiotowej sprawie. Są trafne tylko przy założeniu popełnienia przez spółkę licznych deliktów, co w rzeczywistości nie miało miejsca.
Odnośnie używania przez spółkę prywatnego adresu poczty elektronicznej pracownika, ustalenia decyzji oparto na dostępnym materiale dowodowym. Okazał się on jednak niepełny. Spółka nie miała bowiem pełnej orientacji, w jaki sposób weszła w posiadanie owego adresu dlatego też wyraziła przypuszczenie, że był on zamieszczony w podaniu o przyjęcie do pracy. W rzeczywistości to sam pracownik zainicjował korespondencję ze spółką ze swojego prywatnego adresu. Należy domniemywać, że była to jego inicjatywa, skoro do takiego kroku nie była przymuszony, nie będąc już pracownikiem. W tej sytuacji w działaniu spółki nie można dopatrzyć się naruszenia ochrony danych osobowych pracownika. Jest znamienne, że korespondencja była wyjątkowo skąpa i lakoniczna oraz dotyczyła jedynie rozliczenia stosunku pracy. Pracownik nie tylko ją zainicjował, ale też kontynuował. Nie traktował jej więc jako naruszenie swojego dobra. Swoista "refleksja" pojawiła się dopiero po upływie ponad roku. Skarżąca dodała, że zgłoszenie obecnie uzupełniającego dowodu na opisane okoliczności może spotkać się z zarzutem "dowodu spóźnionego". Jest to jednak konieczne wobec tego, że spółka już poprzednio sygnalizowała wątpliwości, co do okoliczności uzyskania adresu pracownika, a nowy dowód nie spowoduje żadnego przedłużenia postępowania i pozwoli wyjaśnić istotne wątpliwości - odnoszące się do pochodzenia adresu, poczty elektronicznej a tym samym intencji stron.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując dotychczasową argumentację.
W piśmie procesowym uczestnik podtrzymał zarzuty wobec spółki wywodząc, że istnieją dowody na okoliczność zwracania się doń przez spółkę na jego prywatny adres poczty elektronicznej, jeszcze przed zainicjowaniem korespondencji, powoływanej przez spółkę. Załączył wydruk wiadomości.
Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 145 § 1 pkt 1 lit. c i art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2022 r. poz. 329), dalej "P.p.s.a.", uwzględnił skargę w części powołanym na wstępie wyrokiem z dnia 23 czerwca 2021 r., sygn. akt II SA/Wa 49/21.
W ocenie Sądu meriti zaskarżoną decyzję wydano w pkt 1 z naruszeniem przepisów postępowania w zakresie obowiązku właściwego wyjaśnienia sprawy, co było następstwem pominięcia przez organ - na etapie rozpatrywania sprawy - przepisu prawa materialnego, zakreślającego granice obowiązku usuwania danych osobowych to jest art. 17 ust. 3 lit. d RODO.
Odnosząc się do kwestii prowadzenia przez spółkę monitoringu GPS jej pracowników Sąd meriti stwierdził, że organ generalnie trafnie opisał stan faktyczny i przywołał treść regulacji normatywnych, mających w sprawie zastosowanie, gdy chodzi o reguły przetwarzania danych osobowych pracowników w danym zakresie – w szczególności zawartych w ustawie – Kodeks pracy. Pominął jedynie treść wskazanego wcześniej przepisu RODO, jak i bezpodstawnie skonstatował, że pracownik nie miał wiedzy o stosowaniu monitoringu. Zdaniem Sądu meriti bezsporna i potwierdzona przez spółkę jest okoliczność, że nie dochowała ona wymagań szczególnych w zakresie przetwarzania danych osobowych pracowników wobec prowadzenie systemu monitoringu GPS. Wprowadzono je w określonej dacie i od tego czasu niezbędne było zachowanie konkretnych procedur. Dotyczyło to także powinności zamieszczenia reguł monitorowania w stosownych dokumentach, których treść znana jest pracownikom, czy potwierdzenia faktu zapoznanie się przez nich z tymi regułami na piśmie (tak art. 222 § 6-8 ustawy – Kodeks pracy). Trafnie wprawdzie podniesiono w skardze, że organ nie wywiódł w sprawie przekonywująco - wobec argumentacji spółki - jakoby pracownik nie miał żadnej wiedzy o fakcie stosowania monitoringu, czy generalnie jego zakresie. Nie ma to jednak kluczowego znaczenia w sprawie, skoro prawodawca określił pewne, sformalizowane wymagania w zakresie gromadzenia a więc przetwarzania danych osobowych pracowników, pochodzących z monitoringu. W takiej sytuacji przetwarzane przez spółkę dotyczące pracownika dane nie mogły być uznane za pozyskane legalnie. Generalnie zachodziła więc przesłanka do wydania nakazu ich usunięcia, wobec treści art. 58 ust. 2 lit. g w zw. z art. 17 ust. 1 lit. d. RODO, o ile nie sprzeciwiał się temu przepis szczególny. Z kolei poza granicami sprawy jest uwypuklana w skardze kwestia, czy dane uchybienie - wymaganiom wynikającym z reguł określonych ustawą - Kodeks pracy - faktycznie godziło w prawo do poszanowania życia prywatnego danego pracownika, jeżeli - jak wychodzi spółka - faktycznie o monitoringu wiedział (mogą na to wskazywać oświadczenia kierownika) zaś był on faktycznie realizowany w zakresie przez nią wskazanym.
Zdaniem Sądu meriti chybione są wywody jakoby brak było przesłanek dla określenia reguł monitorowania pracowników, gdy dany podmiot jest zarządzany w istocie jednoosobowo a ustalenie zasad odbyłoby się niejako "samemu sobie". W myśl bowiem reguł RODO a także regulacji szczególnych - ustawy - Kodeks pracy - spółka powinna przedstawić przejrzyste i jasne reguły monitorowania także swoim pracownikom. Winno być to odzwierciedlone także w formie stosownych dokumentów. Trafnie zauważono natomiast w skardze, że nie są komunikatywne wywody organu, gdzie zarzucono spółce brak dostępu dla pracownika do gromadzonych danych osobowych. Nie powiązano ich z realiami rozpatrywanej sprawy, gdzie spółka wywodziła (zaś organ tego nie kwestionował), że dane pracownika zbierano wyłącznie epizodycznie - wobec skierowania konkretnego zapytania do operatora sieci telefonii komórkowej - a następnie wykorzystano (przesłanka rozwiązania stosunku pracy). Niewątpliwie jednak słusznie organ dostrzegł nieprawidłowość, wobec braku określenia w stosownym dokumencie, z którym zapoznano by formalnie pracowników, reguł zbieranie danych i zakresu zapewnienia możliwości do nich dostępu.
Reasumując Sąd meriti stwierdził, że słuszne jest ustalenie organu o wystąpieniu zdarzenia, polegającego na przetwarzaniu przez spółkę danych osobowych pracownika niezgodnie z prawem, w rozumieniu art. 17 ust. 1 lit. d RODO. Analizującemu okoliczności faktycznych sprawy organowi, zdaniem Sądu pierwszej instancji umknęło jednak, że zgromadzone dane mogą stanowić materię dowodową w toczącym się – z powództwa pracownika - postępowaniu przed sądem powszechnym. Odnotowano takie twierdzenie spółki w uzasadnieniu, lecz nie przypisano temu żadnego znaczenia. Jednocześnie - w myśl art. 17 ust. 3 lit. e RODO - reguł dotyczących możliwości żądania usunięcie danych określonych w ust. 1 (w tym przetwarzanych z naruszeniem prawa) nie stosuje się, gdy przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Organ - uzasadniając orzeczenie w zakresie gdzie zobowiązano spółkę do usunięcia dotyczących lokalizacji pracownika danych - nie odniósł się w ogóle do wskazanej wcześniej kwestii. Ponieważ przywołana regulacja może stanowić przesłankę negatywną do orzeczenia o obowiązku usunięcia danych, uchybienie przepisom postępowania - w zakresie powinności rozpoznania sprawy w jej istotnych aspektach, co winno znaleźć odzwierciedlenie w uzasadnieniu zaskarżonego aktu (tak art. 7, 77 § 1, art. 80 i 107 § 3 wobec art. 8 § 1 k.p.a.) - mogły mieć istotny wpływ na wynik sprawy. W danym zakresie zarzuty spółki - naruszenia przepisów postępowania są trafne. W ocenie Sądu pierwszej instancji skutkowało to potrzebą uchylenia zaskarżonego aktu w zakresie zobowiązania spółki do usunięcia danych. Co wynika z treści RODO, z woli prawodawcy - gdy określone dane osobowe są wykorzystywane w postępowaniu przed sądem - do niego należy ocena, czy ewentualne uchybienia w procesie ich przetwarzania (w tym zbierania), są tego rodzaju, że dyskwalifikują one określone dowody, jako podstawę dokonania wiarygodnych ustaleń faktycznych.
W ocenie Sądu pierwszej instancji inaczej ma się rzecz, gdy chodzi o pkt 2 zaskarżonej decyzji. W tym zakresie organ trafnie wywiódł - przywołując treść stosownych regulacji normatywnych - że spółka nie była uprawniona do przetwarzania (jego formą jest posiadanie w swoich dostępnych zasobach) informacji - danych osobowych byłego pracownika, jakim jest jego prywatny adres poczty elektronicznej. W tym zakresie Sąd pierwszej instancji wskazał, że istotnie z wyjaśnień spółki - skierowanych do organu, w toku postępowania – wynikał, brak jej pewności, skąd pozyskano adres do korespondencji z pracownikiem, lecz możliwym jest, że pochodził on z jego aplikacji o pracę (podkreślano to w skardze do Sądu). Takie stanowisko oznaczało jednak, że w praktyce funkcjonowania danego pracodawcy nie istniały przejrzyste reguły usuwania wszelkich danych, których posiadanie po dniu zwolnienia pracownika nie było przewidziane ustawą - Kodeks pracy. W takiej sytuacji wynikły na etapie wnoszenia skargi do sądu spór - czy w istocie adres prywatnej poczty elektronicznej pracownika pozyskano w danym przypadku wobec skierowania przezeń korespondencji do spółki już po zwolnieniu, bądź też spółka posiadała faktycznie nadal ten adres, jako pozyskany jeszcze przed zwolnieniem pracownika - nie ma kluczowego znaczenia. Kwestionowanym orzeczeniem nie zobowiązano spółki do podjęcia konkretnych czynności, co okazałoby się bezpodstawne, wobec ewentualnie odmiennych ustaleń - lecz zwrócono uwagę na określoną nieprawidłowość w kontekście systemu gromadzenia danych osobowych byłych pracowników (udzielono upomnienia). Z kolei - wobec informacji uzyskanych od spółki - organ był uprawniony do konstatacji, że w procesie przetwarzania danych osobowych byłych pracowników występują nieprawidłowości - nie ma stosownych reguł (praktyk) bądź bywają one nieprzestrzegane. Potwierdzało to wyjaśnienia spółki, gdzie wskazywano, skąd mogły zostać pozyskane określone dane osobowe - adres prywatnej poczty elektronicznej - byłego pracownika. Sąd pierwszej instancji nie dopatrzył się więc z urzędu bądź wobec argumentacji skargi naruszenia przepisów postępowania w zakresie obowiązku właściwego wyjaśnienia sprawy lub prawa materialnego w zakresie reguły przetwarzania danych osobowych pracowników, które mogłyby prowadzić do uchylenia zaskarżonej decyzji w zakresie udzielenie spółce upomnienia.
Sąd meriti nie uwzględnił wniosku spółki o przeprowadzenie dowodu z dokumentów w zakresie ustalenia, skąd w istocie pozyskała ona prywatny adres poczty elektroniczny byłego pracownika. Jest to zresztą nadal sporne między stronami, o czym świadczy treść skierowanego do Sądu pisma pracownika. Nie ma to jednak kluczowego znaczenia dla rozstrzygnięcia niniejszej sprawy, gdzie – wobec skierowanej do organu wypowiedzi samej spółki – uzasadniony był wniosek, że przetwarzanie danych osobowych byłych pracowników nie jest realizowane zgodnie z regułami, określonymi w RODO i w przepisach szczególnych – ustawie – Prawo pracy (winno być – Kodeks pracy – uwaga Naczelnego Sądu Administracyjnego).
Prezes UODO zaskarżył wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 czerwca 2021 r., sygn. akt: II SA/Wa 49/21, w części dotyczącej punktu 1 tego wyroku, zarzucając:
1. naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c P.p.s.a. w związku z art. 7, art. 8, art. 77 § 1, art. 80, art. 107 § 3 k.p.a., wobec błędnego uznania, iż Prezes UODO przy dokonywaniu oceny zgromadzonego materiału dowodowego w sprawie nie uwzględnił faktu, iż zebrane przez spółkę dane o lokalizacji, pozyskane za pośrednictwem GPS, mogły być wykorzystane podczas toczącego się z powództwa pracownika, postępowania przed sądem powszechnym, czym naruszył wyżej wskazane przepisy k.p.a., co miało istotny wpływ na wynik sprawy, skutkujący uchyleniem przez sąd decyzji w pkt 1;
2. naruszenie przepisów prawa materialnego, tj. art. 17 ust. 3 lit. e w związku z art. 58 ust. 2 lit. g RODO, wobec przyjęcia, że pomimo przetwarzania przez spółkę danych osobowych skarżącego w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS w sposób nielegalny, spółka ma prawo je przetwarzać z uwagi na to, że stanowią one materiał dowodowy w postępowaniu przed sądem cywilnym, a co miało istotny wpływ na wynik sprawy, bowiem skutkowało uchyleniem zaskarżonej decyzji w pkt 1;
3.naruszenie przepisów prawa materialnego, tj. art. 17 ust. 1 lit. d w związku z art. 58 ust. 2 lit. g RODO, poprzez jego błędną wykładnię, a w konsekwencji jego niewłaściwe zastosowanie, poprzez przyjęcie, iż pomimo wystąpienia przesłanki do nakazania spółce usunięcia danych skarżącego w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS w sposób nielegalny, organ nie miał podstaw do nakazania usunięcia danych, co w konsekwencji doprowadziło do uchylenia decyzji.
Wskazując na powyższe zarzuty organ wniósł o uchylenie zaskarżonego wyroku w pkt 1 i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Nadto skarżący kasacyjnie organ wniósł o rozpoznanie skargi kasacyjnej na rozprawie oraz o zasądzenie zwrotu kosztów postępowania sądowego.
W odpowiedzi na skargę kasacyjną spółka wniosła o jej oddalenie oraz o dopuszczenie dowodu z wyroku Sądu Rejonowego w [...] wydanego w sprawie o sygnaturze [...]. Nadto wniosła o zasądzenie zwrotu kosztów postępowania według norm przepisanych.
W piśmie procesowym z dnia 23 września 2021 r. uczestnik postępowania P. G. wskazał, że skarga kasacyjna Prezesa UODO jest w pełni zasadna. Ponadto podkreślił, że spółka w odpowiedzi na skargę kasacyjną podała nieprawdziwe informacje, w tym te dotyczące rzekomego fałszowania przez niego dokumentacji służbowej.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2024 r. poz. 935 ze zm.), dalej jako "P.p.s.a.", Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 P.p.s.a. Nie zachodzi również żadna z przesłanek odrzucenia skargi albo umorzenia postępowania przed wojewódzkim sądem administracyjnym, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli wyroku zaskarżonego skargą kasacyjną.
Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie (art. 174 pkt 1 P.p.s.a.),
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 pkt 2 P.p.s.a.).
W skardze kasacyjnej podniesione zostały zarzuty dotyczące zarówno naruszenia prawa materialnego jak i przepisów postępowania. W sytuacji, kiedy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty dotyczące naruszenia przepisów postępowania. Z uwagi na to, że w realiach rozpatrywanej sprawy zarzuty naruszenia przepisów postępowania stanowią w istocie konsekwencję naruszenia przepisów prawa materialnego Naczelny Sąd Administracyjny uznał, że zarzuty kasacyjne mogą być rozpoznane łącznie i we wzajemnym powiazaniu.
Przeprowadzona przez Naczelny Sąd Administracyjny w wyznaczonych wyżej granicach kontrola prawidłowości zaskarżonego wyroku prowadzi do wniosku, że skarga kasacyjna zawiera usprawiedliwione podstawy.
Wskazać w pierwszej kolejności należy, że w uzasadnieniu zaskarżonego wyroku Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że słuszne jest ustalenie organu o wystąpieniu zdarzenia, polegającego na przetwarzaniu przez spółkę danych osobowych pracownika niezgodnie z prawem, w rozumieniu art. 17 ust. 1 lit. d RODO. W ocenie Sądu pierwszej instancji analizującemu okoliczności faktycznych sprawy organowi umknęło jednak, że zgromadzone dane mogą stanowić materią dowodową w toczącym się - z powództwa pracownika - postępowaniu przed sądem powszechnym. Odnotowano takie twierdzenie spółki w uzasadnieniu, lecz nie przypisano temu żadnego znaczenia. Jednocześnie - w myśl art. 17 ust. 3 lit. e RODO - reguł dotyczących możliwości żądania usunięcie danych określonych w ust. 1 (w tym przetwarzanych z naruszeniem prawa) nie stosuje się, gdy przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Ostatecznie Sąd pierwszej instancji stwierdził, że organ - uzasadniając orzeczenie w zakresie gdzie zobowiązano spółkę do usunięcia dotyczących lokalizacji pracownika danych - nie odniósł się w ogóle do wskazanej wcześniej kwestii. Ponieważ przywołana regulacja może stanowić przesłankę negatywną do orzeczenia o obowiązku usunięcia danych, uchybienie przepisom postępowania - w zakresie powinności rozpoznania sprawy w jej istotnych aspektach, co winno znaleźć odzwierciedlenie w uzasadnieniu zaskarżonego aktu (tak art. 7, art.77 § 1, art. 80 i art. 107 § 3 wobec art. 8 § 1 k.p.a.) - mogło mieć istotny wpływ na wynik sprawy. W danym zakresie – jak skonstatował Sąd pierwszej instancji - zarzuty procesowe zawarte w skardze mogły być uznane za zasadne.
W ocenie Naczelnego Sądu Administracyjnego stanowisko Sądu pierwszej instancji jest nieprawidłowe. Zasadnie skarżący kasacyjnie organ podnosi, że błędnie Sąd pierwszej instancji przyjął, że spółka pomimo przetwarzania danych uczestnika w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS w sposób nielegalny, ma prawo dalej je przetwarzać z uwagi na cel w jakim je wykorzystała, tj. w celu ustalenia, dochodzenia lub obrony roszczeń.
Należy odnotować, że w piśmie z dnia [...] czerwca 2020 r. skierowanym do organu, spółka poinformowała, że dane osobowe uczestnika pozyskane za pośrednictwem monitoringu GPS zamierza przetwarzać do czasu prawomocnego zakończenia postępowania sądowego wszczętego przez uczestnika. Ponadto dodała, że w tym czasie może ich ponownie użyć, jeśli okaże się to konieczne w postępowaniu dla wykazania nieprawdziwości twierdzeń uczestnika. Zdaniem Naczelnego Sądu Administracyjnego tak określony cel przetwarzania danych osobowych jest celem ewentualnym. Dane te, gdyby były niezbędne spółce do realizacji wskazanego przez nią celu, to wówczas zostałyby w tym celu wykorzystane, a nie gromadzone na zapas i nie byłoby to uzależnione od wystąpienia zdarzenia przyszłego i niepewnego. Trafnie więc Prezes UODO argumentuje, że spółka w toku postępowania przed organem nie wykazała niezbędności przetwarzania danych osobowych uczestnika w celu ustalenia dochodzenia lub obrony roszczeń, a przedstawiła wyłącznie przypuszczenie, że dane te może zostaną przez nią wykorzystane, jeżeli okażą się konieczne dla wykazania nieprawdziwych twierdzeń pracownika. Co więcej, spółka nie wykazała przy tym wystąpienia samego roszczenia, dla którego dochodzenia, ustalenia czy obrony przetwarzanie miałoby być niezbędne. Spółka wskazała wyłącznie na toczące się już postępowanie sądowe, ale nie na roszczenie, z którym wiązałaby niezbędność ich przetwarzania.
W związku z tym stwierdzić należy, że Sąd meriti błędnie ocenił, że Prezes UODO nie odniósł się do art. 17 ust. 3 lit. e RODO. Brak legalnego pozyskania danych osobowych uczestnika wpływa jednocześnie na legalność następczego ich przetwarzania, także w celu ustalenia, dochodzenia lub obrony roszczeń. Przepis ten nie miał zastosowania w niniejszej sprawie, gdyż spółka pozyskała dane osobowe pracownika w sposób nielegalny. W toku postępowania przed organem spółka nie powoływała się na niezbędność przetwarzania danych osobowych uczestnika w spornym zakresie, tj. na przesłankę, o której mowa w art. 17 ust. 3 lit. e RODO, lecz wskazywała na możliwą, ewentualną konieczność ich przetwarzania w toczącym się już postępowaniu sądowym. Co istotne, Prezes UODO nie nakazał usunięcia danych osobowych już przetworzonych przez spółkę w celu udzielenia odpowiedzi na pozew uczestnika, będących już w dyspozycji sądu pracy.
W ocenie Naczelnego Sądu Administracyjnego przyzwolenie na gromadzenie danych o osobie fizycznej z naruszeniem zasad przetwarzania danych, takich jak zasada zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji, jak również zasadą rozliczalności, pod warunkiem wystąpienia przyszłego, niepewnego zdarzenia, którego wystąpienie dopiero w sposób wtórny legalizowałoby przetwarzanie tych danych, prowadziłoby do zalegalizowania wadliwej praktyki, stojącej w sprzeczności z przepisami RODO. Według Naczelnego Sądu Administracyjnego niedopuszczalne jest posługiwanie się danymi pozyskanym z pominięciem przepisów prawa (w tym przypadku Kodeksu pracy oraz RODO), w szczególności, gdy działania te wkraczają w sferę prywatności osoby fizycznej.
W sprawie niniejszej ważny jest kontekst, tj. przetwarzanie danych osobowych pracownika. Trafna jest konstatacja organu, że każda forma monitoringu pracownika ingeruje w jego prywatność. W związku z tym w interesie pracodawcy jest dochowanie szczególnej staranności w zakresie jego obowiązków, by w sytuacji sporu, czy kontroli miał możliwość wykazania spełniania wszelkich obowiązków nałożonych na niego przepisami prawa, w tym o ochronie danych osobowych. Nierówna relacja pomiędzy pracownikiem i pracodawcą powoduje, że pracodawca chcąc korzystać ze swoich uprawnień do kontroli prawidłowego wykorzystywania narzędzi przez pracownika, w pierwszej kolejności musi zadbać, aby po jego stronie zostały spełnione wszelkie obowiązki wynikające z przepisów prawa. W niniejszej sprawie spółka pozyskała dane osobowe uczestnika z pominięciem przepisów prawa i niedopuszczalne jest, aby miała prawo takie dane dalej przetwarzać.
W tym miejscu warto zwrócić uwagę na wyrok Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r. (sygn. akt I OSK 249/09; publ. ONSAiWSA 2011; nr 2; poz. 39), który jakkolwiek zapadł na tle odmiennego stanu faktycznego i prawnego. W wyroku tym Naczelny Sąd Administracyjny podniósł, że brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu. Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.
W świetle powyższego zdaniem Naczelnego Sądu Administracyjnego w składzie rozpoznającym sprawę za niezrozumiałe uznać należy stanowisko Sądu pierwszej instancji, który z jednej strony stwierdził, że trafnie podniesiono w skardze, że organ nie wywiódł w sprawie przekonywująco - wobec argumentacji spółki - jakoby pracownik nie miał żadnej wiedzy o fakcie stosowania monitoringu, czy generalnie jego zakresie. Z drugiej strony Sąd pierwszej instancji stwierdził, że nie ma to jednak kluczowego znaczenia w sprawie, skoro prawodawca określił pewne, sformalizowane wymagania w zakresie gromadzenia a więc przetwarzania danych osobowych pracowników, pochodzących z monitoringu. W takiej sytuacji przetwarzane przez spółkę dotyczące pracownika dane nie mogły być uznane za pozyskane legalnie. Generalnie zachodziła więc w ocenie Sądu pierwszej instancji przesłanka do wydania nakazu ich usunięcia, wobec treści art. 58 ust. 2 lit. g w zw. z art. 17 ust. 1 lit. d. RODO, o ile nie sprzeciwiał się temu przepis szczególny. Jednocześnie Wojewódzki Sąd Administracyjny w Warszawie dopuścił przetwarzanie tak pozyskanych danych osobowych na przyszłość z powołaniem się na przesłankę negatywną do obowiązku usunięcia danych osobowych wynikającą z art. 17 ust. 3 lit. e RODO. Uznanie takiego stanowiska za prawidłowe może jednakże prowadzić do sytuacji, w których pracodawca pozyskiwałby dowolne informacje na temat pracowników bez ich wiedzy, a następnie wykorzystywał je w ewentualnych postępowaniach sądowych.
W tym miejscu przywołać również należy stanowisko Naczelnego Sądu Administracyjnego wyrażone w uzasadnieniu wyroku z dnia 6 marca 2019 r. (sygn. akt I OSK 994/17), w którym wskazano, że fakt, iż poszczególne procedury zawierają przepisy dotyczące ciężaru dowodu nie może uzasadniać przetwarzania danych osobowych skoro między stronami nie toczy się żadne postępowanie. Tego rodzaju działanie uznać należy także za sprzeczne z art. 26 ust. 1 ustawy o ochronie danych osobowych (ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; Dz. U. z 2015 r., poz. 2135 ze zm. – uwaga Naczelnego Sądu Administracyjnego), który stanowi, że administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Ponadto Naczelny Sąd Administracyjny w wyroku z dnia 27 marca 2018 r. (sygn. akt I OSK 1459/16) wskazał, że przepis art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych.
Konkludując, na gruncie rozpoznawanej sprawy wyłączenie z art. 17 ust. 3 lit. e RODO nie może zostać uwzględnione ze względu na brak przesłanki niezbędności w przetwarzaniu danych osobowych. Organ wydając decyzję administracyjną zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Tym samym decyzja organu nie może opierać się na przyszłych i niepewnych okolicznościach faktycznych. Wskazać w tym miejscu należy, że do kompetencji Prezesa UODO należy jedynie zbadanie legalności przetwarzania danych osobowych uczestnika przez spółkę, biorąc pod uwagę okoliczności istniejące w chwili wydania decyzji. W niniejszej sprawie spółka nie wykazała niezbędności przetwarzania danych pozyskanych z naruszeniem przepisów o ochronie danych osobowych. Prawidłowo zatem organ zastosował przysługujące mu uprawnienia naprawcze i nakazał spółce spełnienie żądania uczestnika postępowania w oparciu o art. 58 ust. 2 lit. b i g w zw. z art. 17 ust.1 lit. d RODO, tj. usunięcie jej danych osobowych w zakresie wskazanym w pkt 1 sentencji decyzji. W konsekwencji pkt 1 zaskarżonej decyzji wbrew zapatrywaniom wyrażonym przez Sad pierwszej instancji odpowiadał prawu.
W odniesieniu do wniosku dowodowego sformułowanego w odpowiedzi na skargę kasacyjną, wyjaśnić należy, że w postępowaniu przed sądem administracyjnym kontrola aktów administracyjnych odbywa się na podstawie akt sprawy (art. 133 § 1 P.p.s.a.), a zatem co do zasady nie jest możliwe prowadzenie postępowania dowodowego przed sądem administracyjnym, który kontrolę legalności opiera na materiale dowodowym zgromadzonym w postępowaniu przed organem administracji wydającym zaskarżoną decyzję. Przeprowadzenie dowodu z dokumentu jest niezbędne, jeżeli bez tego dokumentu nie jest możliwe rozstrzygnięcie istniejących w sprawie wątpliwości. Zgodnie z ugruntowanym orzecznictwem dopuszczenie dowodu z dokumentu jest nadto uprawnieniem, a nie obowiązkiem sądu (zob. w tej materii m.in. wyroki Naczelnego Sądu Administracyjnego: z dnia 25 września 2012 r.; sygn. akt II OSK 840/11 oraz z dnia 17 grudnia 2015 r.; sygn. akt II OSK 2501/15). Podkreślenia przy tym wymaga, że przepis artykułu 106 § 3 P.p.s.a. nie służy zwalczaniu ustaleń faktycznych, z którymi strona się nie zgadza (zob. wyroki Naczelnego Sądu Administracyjnego: z dnia 25 października 2015 r.; sygn. akt I OSK 300/14 oraz z dnia 25 lutego 2016 r.; sygn. akt II OSK 1592/14). W związku z tym Naczelny Sąd Administracyjny nie znalazł podstaw do uwzględnienia wniosku dowodowego zawartego w odpowiedzi na skargę kasacyjną. Dokument ten sporządzony został bowiem już po wydaniu decyzji przez Prezesa UODO stanowiącej przedmiot oceny ze strony Sądu pierwszej instancji. Podkreślenia zaś wymaga, że Sąd pierwszej instancji oceniał prawidłowość zaskarżonej decyzji przyjmując stan faktyczny i prawny z daty jej wydania. Ponadto co do zasady rolą Naczelnego Sądu Administracyjnego jest kontrola ustaleń Sądu pierwszej instancji, a nie przeprowadzanie postępowania dowodowego w sprawie.
W tym stanie rzeczy stwierdzając, że skarga kasacyjna jest uzasadniona, a istota sprawy jest dostatecznie wyjaśniona Naczelny Sąd Administracyjny miał podstawy do uchylenia pkt 1 zaskarżonego wyroku oraz do rozpoznania skargi w tym zakresie w oparciu o art. 188 P.p.s.a., a w następstwie tego do jej oddalenia na podstawie art. 151 P.p.s.a. (orzeczenie jak w punkcie pierwszym sentencji wyroku). Wskazać w tym miejscu należy, że skorzystanie z instytucji procesowej, o której mowa w art. 188 P.p.s.a. możliwe jest również w sytuacji, gdy nie wnosił o to podmiot składający skargę kasacyjną (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 24 września 2008 r.; sygn. akt I OSK 1494/07).
O kosztach postępowania kasacyjnego orzeczono jak w punkcie drugim sentencji wyroku na podstawie art. 203 pkt 2 w zw. z art. 205 § 2 i art. 209 P.p.s.a.