Wyrok z dnia 2011-06-20 sygn. II SA/Wa 719/11

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędziowie WSA Anna Mierzejewska, Ewa Pisula – Dąbrowska (spr.), Protokolant spec. Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 20 czerwca 2011 r. sprawy ze skargi [...] Szpitala [...] w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2011 r. nr [...], na podstawie art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy swoją decyzję z dnia [...] września 2010 r. [...], którą to decyzją nakazał [...] Szpitalowi im. [...] z siedzibą w [...] przy ul. [...], usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. zaprzestanie zbierania danych osobowych, obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników [...] Szpitala [...] z siedzibą w [...] przy ul. [...] w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna,

2. uzupełnienie w polityce bezpieczeństwa wykazu systemów informatycznych służących do przetwarzania danych osobowych, o system informatyczny o nazwie "RCP", w terminie 7 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Jako podstawę rozstrzygnięcia organ wskazał art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 26 ust. 1 pkt 1, art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz § 4 pkt 2, pkt 3 i pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

W motywach uzasadnienia podał, że w Szpitalu [...] z siedzibą w W. (zwanego dalej Szpitalem) funkcjonuje elektroniczny system rejestracji czasu pracy zwany "RCP", który oparty jest o karty zbliżeniowe, na których to kartach zapisane są charakterystyczne punkty linii papilarnych palców pracownika oraz czytniki linii papilarnych wraz z oprogramowaniem, służącym do rejestracji wejść i wyjść, w oparciu o rejestrowane obrazy cyfrowe linii papilarnych. Cyfrowy wzorzec odcisku palca odpowiednio zaszyfrowany w postaci zapisu cyfrowego zapisany jest na karcie elektronicznej.

Organ wyjaśnił, że w wyniku zestawienia kodu cyfrowego, zapisanego na karcie pracownika, z kodem cyfrowym wygenerowanym on-line przez oprogramowanie czytnika dla przyłożonego palca, możliwe jest potwierdzenie tożsamości pracownika i jego identyfikacja na podstawie zapisanego na karcie elektronicznej numeru ID.

Głównym elementem systemu informatycznego o nazwie "RCP" jest czytnik, który odczytuje obraz linii papilarnych z palców dłoni i po przetworzeniu do określonej postaci cyfrowej porównuje ze wzorcem, który zapisany jest na karcie elektronicznej. Do czasu zakończenia operacji porównania linii papilarnych, w pamięci czytnika przechowywany jest cyfrowy obraz odcisku linii papilarnych palca pracownika Szpitala. Wobec powyższego należy uznać, że Szpital przetwarza dane osobowe swoich pracowników w systemie informatycznym o nazwie "RCP".

Organ podał, że zgodnie z treścią art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Zakres danych, jaki może być pozyskiwany przez pracodawcę od pracownika, zatrudnionego na podstawie umowy o pracę określa art. 221§ 1 ustawy z dnia 26 czerwca 1976 r. – Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.), zgodnie z którym pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko, 2) imiona rodziców, 3) datę urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wykształcenie, 6) przebieg dotychczasowego zatrudnienia. Ponadto, zgodnie z § 2 cytowanego przepisu, pracodawca ma także prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Ponadto, stosownie do art. 221 § 4 ustawy – Kodeks pracy, pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Organ stwierdził, że zakres danych osobowych, jaki pracodawca może pozyskiwać od osoby zatrudnionej na podstawie umowy o pracę stanowi katalog zamknięty, szczegółowo określony przez przepisy prawa pracy. Wskazał, że pracodawca może pozyskiwać dodatkowe dane dotyczące pracownika, tylko w sytuacji, jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa.

Wyjaśnił, że w myśl art. 6 ust. 1 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Stwierdził, że w kontekście definicji danych osobowych zawartej w art. 6 ustawy, dane pracowników Szpitala pozyskane przez pracodawcę, przetworzone do zapisu cyfrowego stanowią dane osobowe w rozumieniu tego przepisu.

Organ stwierdził też, że celem pozyskiwania przez Szpital danych biometrycznych pracowników w postaci cyfrowego obrazu linii papilarnych palca jest ewidencja czasu pracy. Nie jest to zbiór tworzony ze względów technicznych, ani doraźny, a tym samym nie występuje przesłanka wyłączenia, o której mowa w art. 2 ust. 3 ustawy.

Powyższa decyzja stała się przedmiotem skargi Szpitala do tutejszego Sądu.

Przy czym, co podkreślić należy, zaskarżono decyzję w części dotyczącej rozstrzygnięcia w pkt I 1, tj. zaprzestania zbierania danych osobowych biometrycznych.

Wnosząc o uchylenie zaskarżonej decyzji w tym zakresie, Szpital podniósł naruszenie art. 24 § 3 w zw. z art. 7 i art. 8 k.p.a. w zw. z art. 22 i art. 21, art. 107 § 1 i 3 k.p.a. w zw. z art. 22 u.o.d.o., art. 12 pkt 1 u.o.d.o. w zw. z art. 221 kp, art. 18 ust. 1 pkt 1 w zw. z art. 2 ust. 3 i art. 7 pkt 2 u.o.d.o., art. 23 ust. 1 pkt 1-4 u.o.d.o.

Skarżący Szpital podał że organ nie wskazał przepisów prawa, które Szpital naruszył, że pominął procedurę powstawania kodów. Wskazał, że w jego systemie ewidencji nie istnieje zbiór danych biometrycznych, mających cechy trwałości, że jest to zbiór doraźny w rozumieniu art. 2 ust. 3 u.o.d.o., co wyklucza zastosowanie art. 18 ust. 1 pkt 1 u.o.d.o.

Nadto zarzucił, że organ pominął przesłanki legalizujące – art. 23 ust. 1 u.o.d.o.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie ustalił i zważył, co następuje.

Skarga nie zasługuje na uwzględnienie.

W ocenie Sądu brak jest przesłanek legalizujących zbieranie i przetwarzanie przez Szpital danych biometrycznych pracowników Szpitala.

Zakres dozwolonych prawem danych, pobieranych od pracownika, określa i wymienia enumeratywnie, co słusznie podnosi organ, art. 221 Kodeksu pracy.

Bezsporne jest, że dane biometryczne (punkty linii papilarnych) nie mieszczą się w katalogu dozwolonych do przetwarzania danych, określonych w art. 221 Kodeksu pracy. Ta okoliczność przesądza o tym, że Szpital bezpodstawnie rozszerzył katalog danych, określonych w art. 221 Kodeksu pracy, które mogą być przetwarzane. W żaden sposób nie można zatem uznać, iż w sprawie zaistniały przesłanki legalizujące, określone art. 23 ust. 1 pkt 1 i pkt 4 ustawy o ochronie danych osobowych, wynikające ze zgody pracowników.

Naczelny Sąd Administracyjny w uzasadnieniu wyroku z dnia 1 grudnia 2009 r. sygn. akt I OSK 249/09 w analogicznej sprawie, dotyczącej danych biometrycznych, zaprezentował pogląd, który Sąd w pełni podziela i uznaje za własny, że wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych, niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Rozszerzenie katalogu danych, określonych w art. 221 Kodeksu pracy nie może mieć miejsca poprzez zastosowanie art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych, także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UEL z dnia 23 listopada 1995 r.). Dyrektywa ta, jako implementowana do polskiego systemu prawnego, wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone.

Na podstawie art. 29 Dyrektywy powołano organ konsultacyjny nazwany Grupą Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie, środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej Dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii przyjęto, jako niezbędną, zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w Szpitalu jest nieproporcjonalne do zamierzonego celu ich przetwarzania. We wspomnianym dokumencie z dnia 1 sierpnia 2003 r. Grupa Robocza stwierdziła, że "pracodawca popełnia błąd jeśli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeśli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody".

Odnosząc się do zarzutu podpisania zaskarżonej decyzji przez zastępcę GIODO w sytuacji, gdy poprzednia decyzja została wydana przez bezpośredniego przełożonego, tj. Generalnego Inspektora Ochrony Danych Osobowych, stwierdzić należy, iż zarzut ten nie zasługuje na uwzględnienie.

W myśl art. 24 § 3 k.p.a., bezpośredni przełożony pracownika jest obowiązany na jego żądanie lub na żądanie strony albo z urzędu wyłączyć go od udziału w postępowaniu, jeżeli zostanie uprawdopodobnione istnienie okoliczności niewymienionych w § 1, które mogą wywołać wątpliwość, co do bezstronności pracownika.

Zasada prawdy obiektywnej uzasadnia stosowanie przepisu art. 24 § 3 k.p.a. do wszystkich osób zatrudnionych w urzędzie, rozumianym jako biurze organu administracyjnego, a więc także do osoby piastującej funkcję tego organu. W sytuacji zatem, w której piastun funkcji ministra wydał w sprawie pierwszą decyzję, będzie on wyłączony na podstawie art. 24 § 1 pkt 5 k.p.a. od powtórnego rozpatrzenia tej samej sprawy, które ma nastąpić w wyniku złożenia przez stronę wniosku o ponowne rozpatrzenie sprawy. Nie oznacza to jednak, że w takim przypadku nastąpiłoby wyłączenie ministra jako organu administracji. Wyłączona bowiem jest tylko osoba piastująca funkcję organu administracji, a nie sam organ administracji (wyrok WSA z dnia 12 marca 2009 r. sygn. akt I SA/Wa 1653/2008). Przede wszystkim należy wskazać, iż art. 24 § 1 pkt 5 k.p.a. stanowi, że pracownik organu administracji publicznej podlega wyłączeniu od udziału w postępowaniu w sprawie, w której brał udział w niższej instancji w wydaniu zaskarżonej decyzji. Natomiast art. 127 § 3 k.p.a. stanowi, iż od decyzji wydanej w pierwszej instancji przez ministra lub samorządowe kolegium odwoławcze nie służy odwołanie, jednakże strona niezadowolona z decyzji może zwrócić się do tego organu z wnioskiem o ponowne rozpatrzenie sprawy; do wniosku tego stosuje się odpowiednio przepisy dotyczące odwołań od decyzji. Zatem istota wniosku o ponowne rozpatrzenie sprawy polega na tym, iż ponowne jej rozpoznanie następuje przez ten sam organ, który wydał zaskarżone rozstrzygnięcie i w każdym przypadku jest to decyzja tego organu, a nie osoby, która podpisała decyzję. W niniejszej sprawie zaś decyzje zostały wydane przez organ – Generalnego Inspektora Ochrony Danych Osobowych, a Zastępca działał jedynie z upoważnienia ww. organu. Stanowisko to zostało potwierdzone przez Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 10 października 2007 r. (sygn. akt VI SA/Wa 968/2007), w którym Sąd stwierdził, że postępowanie w trybie art. 127 § 3 k.p.a. nie jest klasycznym postępowaniem dwuinstancyjnym obejmującym działanie dwóch organów niższej i wyższej instancji. Wniosek o ponowne rozpatrzenie sprawy cechuje się bowiem brakiem dewolutywności, tzn. nie przenosi kompetencji do załatwienia sprawy na wyższy organ administracji. W wyniku wniosku o ponowne rozpatrzenie sprawy jest ona z założenia rozpoznawania przez ten sam organ, zatem i przez tego samego piastuna funkcji organu. Jeśli piastun organu – minister – upoważnił do działania w zastępstwie siebie swojego zastępcę, to ten uprawniony jest do wydawania decyzji po ponownym rozpoznaniu sprawy, a jego działanie nie prowadzi do naruszenia art. 24 § 1 pkt 5 k.p.a.

Stanowisko to potwierdził również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 20 sierpnia 2008 r. (sygn. akt II SA/Wa 635/09): "Postępowanie w trybie art. 127 § 3 k.p.a. nie jest klasycznym postępowaniem dwuinstancyjnym obejmującym działanie dwóch organów niższej i wyższej instancji. Wniosek o ponowne rozpatrzenie sprawy rozpatruje ten sam organ, który wydał zaskarżoną decyzję, a więc w przypadku Generalnego Inspektora Ochrony Danych Osobowych może to być osoba upoważniona przez niego do wydawania decyzji w tego rodzaju sprawach. Podobny pogląd wyrażony został w wyroku Naczelnego Sądu Administracyjnego z dnia 24 kwietnia 2007 r. o sygn. akt II GSK 381/06, w którym wskazano, iż: "Zastosowanie przez ustawodawcę instytucji ponownego rozpatrzenia sprawy wskazuje, że jego celem było poddanie powtórnej ocenie przez ten sam organ skierowanej doń sprawy. Wola ustawodawcy nie powinna w przypadku omawianego przepisu budzić wątpliwości. Gdyby bowiem ustawodawca uznał za priorytet bezstronność załatwienia sprawy poprzez zachowanie dwuinstancyjności postępowania, przewidziałby wówczas inne środki zaskarżania, które mają charakter dewolutywny i których celem jest rozpatrywanie sprawy przez inny organ, aniżeli ten, który wydał decyzję w pierwszej instancji".

Odnosząc się do kolejnego zarzutu, iż przyjęta procedura wytwarzania i użytkowania kart mikroprocesorowych, w zakresie zakodowanych w nich danych biometrycznych, ma wszelkie cechy zbioru doraźnego w rozumieniu art. 2 ust. 3 ustawy, Sąd zważył.

Jak ustalono w toku kontroli, na etapie postępowania administracyjnego, na karcie mikroprocesorowej służącej do rejestracji czasu pracy oprócz zapisanego cyfrowego wzorca odcisku palca, znajdują się inne informacje dotyczące posiadacza karty mikroprocesorowej, w tym m.in. numer identyfikujący daną osobę w systemie ewidencyjnym pracodawcy. To, że ww. dane zapisane są na tej samej karcie mikroprocesorowej powoduje, iż stanowi ona jednocześnie element wiążący ze sobą te dane. Karty te stanowią niezbędny element systemu informatycznego służącego do ewidencji czasu pracy, w którym zapisane są szczegółowe dane identyfikujące osobę o danym numerze identyfikacyjnym. Wobec powyższego należy stwierdzić, iż możliwe jest poprzez system informatyczny służący do ewidencji czasu pracy w sposób jednoznaczny przyporządkować cyfrowy wzorzec odcisku palca do konkretnej osoby. Istotnym elementem systemu informatycznego służącego do ewidencji czasu pracy są czytniki, które służą do odczytu linii papilarnych osób wchodzących/wychodzących z pracy i po przetworzeniu ich do określonej postaci cyfrowej porównują ze wzorcem, który zapisany jest na karcie mikroprocesorowej. Czytniki te, mimo tego, że nie zapamiętują w żadnej bazie cyfrowego wzorca linii papilarnych, to po pozytywnej weryfikacji ze wzorcem umieszczonym na karcie w bazie danych systemu informatycznego służącego do ewidencji czasu pracy zapisywany jest fakt, że w określonym czasie nastąpiła czynność wejścia/wyjścia z pracy osoby oznaczonej określonym identyfikatorem zapisanym na karcie.

Zgodnie z art. 2 ust. 3 ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w wyższych szkołach, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy.

W piśmiennictwie podnosi się, że art. 2 ust. 3 ustawy o ochronie danych osobowych może być rozumiany jako zawierający wyliczenie cech definicyjnych zbioru doraźnego, w sposób kumulatywny bądź też alternatywny. Według dominującego stanowiska art. 2 ust. 3 ustawy dotyczy zbiorów sporządzanych doraźnie, jeżeli jest to podyktowane względami technicznymi, albo szkoleniowymi, albo w związku z dydaktyką w szkołach wyższych, a dane osobowe są po ich wykorzystaniu niezwłocznie usuwane lub poddawane anonimizacji (R. Szałowski, Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r., Zielona Góra 2000, s. 20; J. Barta, R. Markiewicz, Ochrona danych ..., s. 263). Przesłanka "doraźności" nie ma charakteru samodzielnego i wymaga uzupełnienia poprzez "względy" natury technicznej, szkoleniowej lub dydaktycznej.

Sąd podziela pogląd organu, iż przy ocenie doraźności należy odwołać się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych dla określonych precyzyjnie celów. W przypadku Szpitala sprecyzowanym i głównym celem, dla którego przetwarzane są dane osobowe pracowników w zakresie cyfrowo przetworzonego wzorca odcisku palca jest ewidencja czasu pracy pracowników. Należy przy tym podkreślić, iż o ile czynnik czasu, w ciągu którego są przetwarzane dane osobowe odgrywa istotna rolę, o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych osobowych w zbiorze. Jeżeli dane osobowe w postaci cyfrowego obrazu odcisku linii papilarnych palca tworzą wraz z innymi danymi określony zbiór danych i ich przetwarzanie służy realizacji głównego celu, trudno uznać ten zbiór za doraźny i nie zmienia tego okoliczność, że okres przetwarzania tych danych jest relatywnie krótki.

Zatem, z uwagi na to, że głównym celem gromadzenia przez Szpital przetworzonego do postaci cyfrowej obrazu odcisku linii papilarnych palca jest ewidencja czasu pracy, a także z uwagi na to, iż zbiór nie jest tworzony jedynie ze względów technicznych, nie można uznać tego zbioru jako sporządzanego doraźnie.

Należy przy tym zwrócić uwagę, iż sam proces zapisu charakterystycznych punktów linii papilarnych palca na karcie mikroprocesorowej, która stanowi element sytemu ewidencji czasu pracy, jest dokonywany w czytniku znajdującym się w pomieszczeniu Działu Spraw Pracowniczych, który nie jest połączony z system służącym do rejestru czasu pracy i służy wyłącznie do nadawania numeru ID (numer ten jest tożsamy z numerem Akt Osobowych Pracownika oraz numerem w systemie informatycznym o nazwie "TETA") oraz zapisu na karcie cyfrowego wzorca odcisku palca. Tym samym należy uznać, że sam proces wyrabiania karty nie ma zasadniczego znaczenia dla rozstrzygnięcia, czy Szpital w celu ewidencji czasu pracy przetwarza dane pracowników, obejmujące informacje o charakterystycznych punktach linii papilarnych palców, przetworzone do postaci zapisu cyfrowego, bowiem czytnik, za pomocą którego jest ta karta wyrabiana, służy tylko i wyłączenie temu celowi i nie stanowi integralnej części systemu informatycznego "RCP", stosowanego do rozliczenia czasu pracy pracownika. A fakt, iż już w trakcie procesu zapisu wzoru odcisku palca na karcie mikroprocesorowej, wzorzec ten automatycznie zostaje usunięty z pamięci powyższego czytnika oznacza, iż Szpital na etapie wyrabiania karty nie gromadzi wskazanych danych w celu ewidencji czasu pracy ani też w innym celu, bowiem dane te poprzez czytnik zostają zapisane na karcie, będącej elementem systemu ewidencji czasu pracy.

Ponadto fakt, iż po wyrobieniu karta, z zapisanym obrazem linii papilarnych po podpisaniu jej odbioru, jest niezwłocznie wydawana pracownikowi, należy uznać jako element organizacyjny, mający na celu usprawnienie rejestracji czasu pracy w Szpitalu.

Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), skargę oddalił.