Wyrok z dnia 2021-02-04 sygn. II PSKP 7/21

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sygn. akt II PSKP 7/21

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 4 lutego 2021 r.

Sąd Najwyższy w składzie:

SSN Romualda Spyt (przewodniczący)
‎SSN Bohdan Bieniek
‎SSN Halina Kiryło (sprawozdawca)

w sprawie z powództwa K. I.
‎przeciwko (…) Bank Spółce Akcyjnej w W.
‎o zadośćuczynienie,
‎po rozpoznaniu na posiedzeniu niejawnym w Izbie Pracy i Ubezpieczeń Społecznych w dniu 4 lutego 2021 r.,
‎skargi kasacyjnej powódki od wyroku Sądu Okręgowego w W.
‎z dnia 30 stycznia 2019 r., sygn. akt XXI Pa (…),

uchyla zaskarżony wyrok i przekazuje sprawę Sądowi Okręgowemu w W. do ponownego rozpoznania i rozstrzygnięcia o kosztach postępowania kasacyjnego.

UZASADNIENIE

Powódka K. I. wniosła o zasądzenie od pozwanego (…) Bank S.A. w W. kwoty 10.000 zł tytułem zadośćuczynienia za naruszenie przez pracodawcę jej dóbr osobistych, tj. czci, dobrego imienia, poczucia bezpieczeństwa oraz prawa do ochrony danych osobowych, przez bezprawne udzielenie osobie trzeciej określonych informacji zawartych w zbiorach administrowanych przez pozwaną.

Sąd Rejonowy w W. wyrokiem z dnia 24 kwietnia 2018 r. zasądził od pozwanego (...) Bank S.A. na rzecz powódki K. I. kwotę 10.000 zł wraz z odsetkami ustawowymi tytułem zadośćuczynienia i oddalił powództwo w pozostałym zakresie oraz zasądził od pozwanego na rzecz powódki kwotę 1.800 zł tytułem zwrotu kosztów procesu.

Powyższe rozstrzygnięcie zostało poprzedzone ustaleniami faktycznymi, z których wynikało, że powódka K. I. była zatrudniona w (...) Bank S.A. w W. na podstawie umowy o pracę na czas nieokreślony od 3 listopada 2010 r., ostatnio na stanowisku PR Manager. W pozwanym banku obowiązywała procedura „Prawo alertu etycznego/ Whistleblowing”, przyjęta uchwałą Nr (…)2014 Zarządu (...) Bank S.A. z dnia 24 marca 2014 r. Zgodnie z § 4 procedury, alert etyczny dotyczył ujawnienia przez pracownika nielegalnych, niemoralnych lub bezprawnych praktyk dokonywanych za wiedzą pracodawcy. Polegał na informowaniu o tych praktykach dyrektora departamentu ryzyka operacyjnego (DRY), który dysponował wiedzą umożliwiającą wpłynięcie na niepoprawne działanie procesów zachodzących w banku, czy postępowanie krytykowanych pracowników. Stosownie do § 6 ust. 3 procedury, w przypadku wysyłania zgłoszenia pocztą wewnętrzną lub zewnętrzną, koperta, w której znajdowało się zgłoszenie, musiała być oznaczona napisem „poufne” i powinna być zaadresowana do dyrektora departamentu ryzyka operacyjnego. Zgodnie natomiast z § 6 ust. 4 i 5 procedury, pracownik miał prawo do poufności. Jego tożsamość miała być znana jedynie dyrektorowi DRY. Poufność ta mogła być uchylona po dobrowolnej deklaracji osoby, która skorzystała z prawa do alertu etycznego. Postępowanie miało być prowadzone z zachowaniem odpowiedniej dyskrecji przez dyrektora DRY i - w przypadku takiej potrzeby - przez inne osoby/jednostki organizacyjne, a pracownikowi przekazywana odpowiedź po rozpatrzeniu wniosku oraz informacja o powziętych krokach. W § 8 ust. 1-3 wskazano zaś, że postępowanie wyjaśniające jest prowadzone przez dyrektora DRY w sposób zapewniający jego poufność. Po przekazaniu zgłoszenia dyrektor DRY niezwłocznie podejmował decyzję o wszczęciu postępowania wyjaśniającego oraz wyznaczał pracownika, który je poprowadzi i przygotuje raport. Dyrektor DRY bądź osoba, o której mowa w ust. 2, mógł zwrócić się do zgłaszającego z prośbą o dostarczenie dodatkowych informacji na temat zgłoszenia, o ile zgłoszenie nie było anonimowe. Dyrektorem departamentu ryzyka operacyjnego w (...) Bank S.A. w W. był M. C. W dniu 14 września 2014 r. powódka - w ramach procedury alertu etycznego - przesłała M. C., drogą listowną, w kopercie zaadresowanej „do rąk własnych dyr. C.” (z dopiskiem „poufne”), pismo, w którym opisała swoje zastrzeżenia co do pracy w biurze PR i analiz (…) Bank S.A. W skardze opisała w szczególności stosowane względem niej praktyki o charakterze mobbingowym oraz wpływ tych działań na stan jej zdrowia. Powódka poinformowała, że na skutek wskazanych okoliczności, została skierowana do lekarza psychiatry z objawami nerwicy i depresji. Wyraziła nadto chęć spotkania celem wyjaśnienia sprawy. Po otrzymaniu powyższej skargi M. C. poinformował powódkę, że jej sprawą zajmie się osobiście i skontaktuje się z powódką w celu przekazania informacji o dalszym postępowaniu. W dniu 1 października 2014 r. pozwany zawarł z A. K., prowadzącą działalność gospodarczą pod nazwą „A. K. Projekt (…)”, umowę dotyczącą świadczenia usług doradczych oraz upoważnił ją do przetwarzania danych osobowych. A. K. oświadczyła, że została zaznajomiona w zakresie obowiązujących przepisów dotyczących ochrony danych osobowych, w szczególności z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych oraz obowiązujących u administratora danych: Polityki bezpieczeństwa (...) Bank S.A. i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Pozwany przekazał A. K., do wglądu, pismo powódki ze skargą. A. K. miała wesprzeć pracodawcę w komunikowaniu się z powódką, a następnie przekazać raport wraz z podsumowaniem i rekomendacjami. Powódka nie składała pracodawcy oświadczenia o upoważnieniu osoby trzeciej do zapoznania się ze skargą. A. K. skontaktowała się z powódką przez wiadomość sms-ową, w której wyjaśniła, że w związku ze złożoną skargą chciałaby z nią porozmawiać i wyjaśnić sprawę. Po kilkukrotnych zapytaniach odnośnie do osoby A. K., M. C. poinformował powódkę, że jest to osoba, która ma zdiagnozować, czy powódka cierpi na depresję, czy jest „wypalona zawodowo”. Nadto, A. K. (po uprzednim zapytaniu ze strony powódki) udzieliła powódce informacji, że jest psychologiem zajmującym się sprawami dotyczącymi mobbingu. W korespondencji e-mailowej z dnia 4 listopada 2014 r. A. K. poinformowała K. I., że w związku z udzielonym upoważnieniem do zajmowania się sprawą powódki otrzymała jej pismo ze skargą. Oświadczyła także, że rozumie, iż w związku z zaistniałą sytuacją powódka może być „w złym stanie psychicznym”. Dodała, że rozmowa i spotkanie z powódką są kluczowe dla wyjaśnienia tej sprawy. Z powodu złego stanu zdrowia powódka pozostawała na zwolnieniu lekarskim. Propozycje spotkań mających na celu wyjaśnienia sprawy powodowały u niej stres oraz lęk. Powódka obawiała się konsekwencji ze strony pracodawcy. W tym okresie spędzała czas w domu, izolując się od grupy znajomych i rodziny. Lekarze odradzali powódce osobiste kontakty z przedstawicielami banku. Na powyższą okoliczność powódka przedłożyła stosowne zaświadczenie z poradni. Powódka powiadomiła A.K. o braku możliwości spotkania z uwagi na swój stan zdrowia. Wskazywała nadto, że na wszelkie pytania dotyczące sprawy udzieli odpowiedzi w formie pisemnej. W trakcie postępowania wyjaśniającego A.K. kontaktowała się wyłącznie z B. G., zatrudnioną w pozwanym banku na stanowisku dyrektora zasobów ludzkich. Wszelkie czynności (w sprawie powódki) wykonywała osobiście. Nadto, zachowała ona w poufności dane, które były zawarte w skardze. Po rozpatrzeniu sprawy pismo ze skargą powódki zostało zniszczone. A.K. nie kontaktowała się także z osobami wskazanymi przez powódkę, które mogły mieć wiedzę co do okoliczności przytoczonych w skardze. W związku z zaistniałą sytuacją powódka złożyła skargę do Generalnego Inspektora Ochrony Danych Osobowych. W decyzji z dnia 30 czerwca 2017 r. GIODO odmówił uwzględnienia wniosku powódki o podjęcie sugerowanych przez nią czynności, z uwagi na nieodwracalność działań (...) Bank S.A. i związany z tym brak podstaw do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Jednocześnie GIODO skierował do prokuratury zawiadomienie o popełnieniu przestępstwa określonego w art. 51 ustawy o ochronie danych osobowych. Postępowanie z zawiadomienia o podejrzeniu popełnienia przestępstwa (sygn. PR 7 Ds. (…)) w sprawie K. I. zostało zakończone w dniu 30 października 2017 r. postanowieniem o umorzeniu dochodzenia wobec braku znamion czynu zabronionego.

Sąd Rejonowy zważył, że informacje o stanie zdrowia - stosownie do art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jednolity tekst: Dz.U. z 2016 r., poz. 922 ze zm., dalej jako „ustawa o o.d.o.”) - należą do szczególnej kategorii danych osobowych, tzw. danych wrażliwych, których przetwarzanie jest dopuszczalne tylko w przypadkach wskazanych w art. 27 ust. 2 ustawy o o.d.o.

Zdaniem Sądu, przekazanie danych o zdrowiu powódki nie wyczerpało przesłanki z art. 23 ust. 2 pkt 6 ustawy o o.d.o., gdyż było nieproporcjonalne do określonego celu, tj. nie było potrzebne do wyjaśnienia złożonej przez powódkę skargi na działania mobbingowe ze strony przełożonej i zweryfikowania podniesionych w niej zarzutów. Sąd Rejonowy zwrócił uwagę, że zgodnie z § 6 ust. 4 i 5 „Prawo alertu etycznego/ Whistleblowing”, tożsamość pracownika powinna być znana jedynie dyrektorowi DRY. W trakcie procedury alertu etycznego miała być zachowana poufność, która mogła być uchylona po dobrowolnej deklaracji osoby, która skorzystała z tej procedury. Postępowanie powinno być prowadzone z zachowaniem odpowiedniej dyskrecji przez dyrektora DRY, a jedynie w przypadku takiej potrzeby - przez inne osoby/jednostki organizacyjne. Po przekazaniu zgłoszenia dyrektor DRY miał niezwłocznie podjąć decyzję o wszczęciu postępowania wyjaśniającego oraz wyznaczyć pracownika, który je poprowadzi. W pierwszej kolejności pracodawca winien był zbadać okoliczności faktyczne zdarzenia, a następnie dopiero weryfikować, czy doszło do uszczerbku na zdrowiu po stronie powódki. W ocenie Sądu Rejonowego, do wyjaśnienia złożonej przez powódkę skargi nie była potrzebna pomoc osoby trzeciej – A. K. (psychologa). W niniejszej sprawie przekazanie przez pracodawcę danych osobowych powódki osobie trzeciej (bez uzyskania zgody powódki) wykraczało poza potrzeby związane z wykonaniem nałożonych na pracodawcę przez Kodeks pracy obowiązków przeciwdziałania mobbingowi. Ujawnienie danych powódki ze sfery intymności, wbrew jej woli, doprowadziło do naruszenia jej prywatności oraz dobrego imienia i w konsekwencji skutkowało naruszeniem dóbr osobistych w rozumieniu art. 24 k.c. Oceniając wymiar należnego powódce z tego tytułu zadośćuczynienia w świetle unormowania art. 448 k.c., Sąd pierwszej instancji doszedł do przekonania, że wskazana w pozwie kwota 10.000 zł (to jest dwukrotność miesięcznego wynagrodzenia powódki) jest adekwatna do doznanej przez nią krzywdy w związku z naruszeniem przez pracodawcę wrażliwych danych osobowych.

Rozpoznając apelację strony pozwanej, Sąd Okręgowy w W. wyrokiem z dnia 30 stycznia 2019 r. zmienił zaskarżone orzeczenie w ten sposób, że oddalił powództwo.

Sąd Okręgowy podkreślił, że zgodnie z art. 27 ust. 2 pkt. 1 i 6 ustawy o o.d.o., przetwarzanie danych osobowych (wrażliwych) jest dopuszczalne, jeśli osoba, której dane dotyczą, wyraziła na to zgodę na piśmie, a także gdy przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. W niniejszej sprawie powódka nie wyrażała zgody na przetwarzanie swoich danych osobowych, jednakże druga przesłanka, zdaniem Sądu, upoważniała pracodawcę do przetwarzania danych związanych ze wszystkimi zadaniami administratora danych, nałożonymi nań nie tylko przez Kodeks pracy, ale również inne źródła prawa pracy wymienione w art. 9 k.p. Jednym z obowiązków pracodawcy względem pracownika jest obowiązek przeciwdziałania mobbingowi (art. 94³ §1 k.p.). Obowiązek ten mieści się w pojęciu zadań administratora w rozumieniu art. 27 ust. 2 pkt 6 ustawy o o.d.o., a zakres przetwarzanych danych sprzężony został z elementami mobbingu, o jakich mowa w art. 94³ § 1 k.p. Oznacza to, że z punktu widzenia przepisów prawa pracy, pracodawca był upoważniony do przetwarzania danych w takim zakresie, w jakim było to niezbędne dla wyjaśnienia stawianego zarzutu mobbingu.

Sąd odwoławczy zauważył, że procedura - Prawo alertu etycznego (zwana dalej procedurą) wprowadzona została uchwałą z dnia 24 marca 2014 r. przez Zarząd pozwanej spółki, a więc z inicjatywy pracodawcy, w celu realizacji obowiązku przestrzegania zasad kodeksowych dotyczących przeciwdziałania mobbingowi i dyskryminacji. Uchwała Zarządu spółki była suwerennym aktem wewnętrznym pracodawcy, w którym samodzielnie określił on zasady, na jakich ma odbywać się przeciwdziałanie tym zjawiskom, wskazał osoby upoważnione do działania i wyznaczył ich kompetencje. Pracodawca określając procedurę i kompetencje dyrektora Departamentu Ryzyka Operacyjnego (DRY), powinien jednak nie tylko dążyć do realizacji celów związanych z przeciwdziałaniem mobbingowi i dyskryminacji, ale również wziąć pod uwagę konieczność jednoczesnego przestrzegania innych zasad, do których naruszenia może dojść przy wdrożeniu ustalonej przez niego procedury. Te zasady to nie tylko wynikająca z art. 11¹ k.p. zasada poszanowania godności i dóbr osobistych wszystkich pracowników, ale również obowiązki wynikające z art. 94 k.p., w tym dotyczące przestrzegania zasad współżycia społecznego, a nawet zasad konstytucyjnych wyznaczonych przez standardy praworządności i państwa prawa urzeczywistniającego zasady sprawiedliwości społecznej (art. 2 Konstytucji RP) i równego traktowania (art. 32 Konstytucji RP). Przestrzeganie tych zasad ma zasadnicze znaczenie dla oceny, czy pracodawca działał w ramach porządku prawnego, czy też można mu postawić zarzut bezprawności działania, uzasadniający ochronę przewidzianą w art. 24 k.c. w związku z art. 300 k.p.

Zgodnie z § 6 ust. 2 procedury, zgłoszenie w sprawie mobbingu winno zawierać między innymi wszelkie informacje mające związek ze zgłoszeniem, w tym dokumenty potwierdzające opisywaną sytuację. Zgłoszenie w zamkniętej kopercie jest kierowane do dyrektora DRY, który jest wyłącznie uprawniony do zapoznania się informacją, w tym z tożsamością osoby zgłaszającej. Poufność tożsamości może być uchylana tylko za zgodą zgłaszającego. Powyższy obowiązek winien być jednak odczytywany nie w oderwaniu od pozostałych przepisów procedury, lecz łącznie z nimi. I tak, zgodnie z § 7 ust. 3 procedury, dane zgłaszającego nie mogą być ujawnione, z wyłączeniem sytuacji opisanych w samej procedurze oraz wynikających z przepisów prawa - takim przepisem jest wszakże art. 27 ustawy o o.d.o. Kontestowana poufność tożsamości doznaje również uszczuplenia w sytuacji możności przekazania raportu z postępowania jednostkom i osobom (§ 7 ust. 4 procedury). Z § 3 ust. 5 procedury wynika, że postępowanie może być prowadzone przez dyrektora DRY, i jeśli jest taka potrzeba - również przez inne osoby i jednostki organizacyjne, zaś pracownik ma prawo do informacji o wnioskach końcowych i powziętych krokach. W ocenie Sądu Okręgowego, prawidłowa interpretacja postanowień procedury alertu jednoznacznie przesądza o tym, że to we wstępnej fazie przekazania zgłoszenia następuje moment, w którym wyłącznie dyrektor DRY zapoznaje się z jego treścią (nie przekazując jej nikomu) i dalej decyduje o kolejnych krokach. Procedura dopuszcza zatem możliwość skierowania sprawy do innej osoby (pracownika, osoby trzeciej, jednostki organizacyjnej), za jednoczesnym informowaniem zgłaszającego. Brak zgody zgłaszającego nie był w związku z tym bezwzględny i został sprowadzony jedynie do wstępnej fazy postępowania. Nadto także zgodnie z ustawą o o.d.o., pracodawca posiadał uprawnienie do przetworzenia danych wrażliwych (art. 27 ust. 2 pkt 6 ustawy o o.d.o.), albowiem zapis taki był zawarty w procedurze. Wybór podmiotu zewnętrznego było uprawnieniem pracodawcy, na co nie musiał mieć zgody powódki, pod warunkiem, że przetworzenie danych wrażliwych odbyło się zgodnie z prawem (bez naruszenia jakichkolwiek przepisów) i gwarantowało jej poufność i dyskrecję.

Zdaniem Sądu drugiej instancji, apelant dołożył należytej staranności w wyborze profesjonalnego podmiotu zajmującego się tego typu sprawami. Z jednej strony, świadczą o tym postanowienia umowy z dnia 1 października 2014 r. nakładające na A.K. nieograniczony w czasie obowiązek poufności wiedzy, jaką miała posiąść przy rozpoznawaniu sprawy, z drugiej strony, czynności, jakie podjęła, a dokładnie - jakich nie podejmowała bez wyrażenia zgody przez powódkę. W sprawie nie wykazano, iżby wiedza, jaką posiadła A.K. (treść zgłoszenia), została przez nią upubliczniona, przekazana innym osobom czy też choćby sygnalizacyjnie przekazana pracownikom, z którymi miała przeprowadzić rozmowy. Pozwana mogła więc skutecznie powołać się na art. 429 k.c. w związku z art. 300 k.p., podnosząc, że nie dopuściła się winy w wyborze, czyli że nie wybrała niewłaściwej osoby do przeprowadzenia postępowania, a także do powierzenia takiej osobie przetwarzania danych osobowych. Pozwana powierzyła obowiązek przeprowadzenia postępowania podmiotowi zawodowo zajmującemu się taką działalnością (dodatkowo psychologowi) i miała w pełni uzasadnione prawo przyjmować, że A. K., jako profesjonalistka, nie ujawni danych dotyczących powódki w sposób umożliwiający jej identyfikację. Zebrany w sprawie materiał dowodowy potwierdza, że działanie A. K. nie wykroczyło poza zapoznanie się ze zgłoszeniem i próbę e - mailowego kontaktu z powódką.

W ocenie Sądu Okręgowego, przekazane informacje dotyczące stanu zdrowia powódki były informacjami sprowadzającymi się jedynie do zasygnalizowania kontaktu z psychiatrą oraz ewentualnych skutków mobbingu, ponadto zostały udostępnione podmiotowi, który zachował wszystkie standardy dla tego rodzaju sytuacji, zatem przekazanie skargi powódki wraz z danymi wrażliwymi nie miało charakteru nieproporcjonalnego. Działanie pracodawcy nie tylko nie było bezprawne, ale też w żaden sposób nie doprowadziło do naruszenia dóbr osobistych powódki, skutkującego powstaniem po jej stronie jakiejkolwiek krzywdy. Powódka takich okoliczności nie udowodniła, zaś zachowanie A. K. było w pełni profesjonalne i zgodne z prawem.

W wywiedzionej od powyższego wyroku skardze kasacyjnej powódka, zaskarżając wyrok Sądu Okręgowego w całości, podniosła zarzut naruszenia:
‎(-) art. 94³ § 1 i 2 k.p. w związku z art. 26 ust. 1 pkt. 1-4 i art. 27 ust. 1 i 2 pkt. 1 i 6 ustawy o o.d.o., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec przyjęcia przez Sąd Okręgowy w W., że obowiązek przeciwdziałania mobbingowi stanowi podstawę do przetwarzania danych pracownika bez jego zgody, bez żadnych ograniczeń, w tym danych wrażliwych, a w konsekwencji błędne przyjęcie, że przetwarzanie danych wrażliwych w postępowaniu wyjaśniającym nie narusza zasady proporcjonalności; (-) art. 9 k.p. i art. 27 ust. 1 i 2 pkt. 6 ustawy o o.d.o., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec przyjęcia przez Sąd Okręgowy w W., że przepisem ustawy upoważniającym pracodawcę do przetwarzania danych wrażliwych są regulacje wewnątrz zakładowe, w szczególności postanowienia uchwały zarządu spółki prawa handlowego; (-) art. 31 oraz art. 37 i art. 39 w związku z art. 26 ust. 1 pkt 1 ustawy o o.d.o., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec przyjęcia przez Sąd Okręgowy w W., że pozwany pracodawca udostępniając A. K. bez umowy powierzenia przetwarzania danych oraz na podstawie upoważnienia do przetwarzania danych, osobowych, w którym nie określono ani zakresu, ani celu przetwarzania danych, działał zgodnie z prawem i nie naruszył swoich obowiązków jako administrator danych osobowych; (-) art. 23 i art. 24 k.c. w związku z art. 300 k.p. i § 3 ust. 4 rozporządzenia z 30 maja 1996 r. Ministra Zdrowia i Opieki Społecznej w związku z art. 229 k.p., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec przyjęcia, że nie narusza dóbr osobistych skarżącej próba przeprowadzenia przez psychologa wywiadu z pracownikiem i uzyskania opinii psychologicznej bez jego zgody; (-) art. 23 i art. 24 k.c. w związku z art. 300 k.p. i art. 26 ust. 1 pkt. 3 ustawy o o.d.o. i § 6 ust. 4 Procedury Alertu Etycznego/Whistleblowing w związku z art. 94³ § 1 i 2 k.p., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec przyjęcia przez Sąd Okręgowy w W., że pozwany działał zgodnie z prawem, ujawniając tożsamość skarżącej (jako sygnalisty nieetycznych działań) A. K. oraz dyrektorowi kadr, mimo braku zgody skarżącej na uchylenie poufności zgłoszenia w tym zakresie; (-) art. 23 k.c. i art. 24 k.c. w związku z art. 448 k.c. w związku z art. 27 ust. 1 i art. 26 ust. 1 pkt. 1-4 ustawy o o.d.o., przez ich błędną wykładnię i niewłaściwe zastosowanie, wobec oddalenia przez Sąd Okręgowy w W. żądania skarżącej o zapłatę zadośćuczynienia, mimo udostępnienia przez pozwanego A. K., bez zgody powódki, danych wrażliwych, dotyczących sfery prywatności skarżącej i ujawnienia jej tożsamości jako sygnalisty.

Z powołaniem się na powyższe zarzuty powódka wniosła o uchylenie zaskarżonego wyroku Sądu Okręgowego w W. w całości i przekazanie sprawy temu Sądowi do ponownego rozpoznania wraz z orzeczeniem o kosztach postępowania kasacyjnego; ewentualnie wniosła o uchylenie zaskarżonego wyroku i orzeczenie co do istoty sprawy, przez zasądzenie od pozwanego na rzecz powódki kwoty 10.000 zł tytułem zadośćuczynienia oraz zasądzenie zwrotu kosztów procesu.

W uzasadnieniu skarżąca podniosła, że Sąd Okręgowy błędnie uznał, iż w przypadku realizacji wynikającego z art. 94³ § 1 k.p. obowiązku przeciwdziałania mobbingowi pracodawca może przetwarzać dane osobowe pracowników bez ograniczenia. Sąd odwoławczy niesłusznie przyjął, że w odniesieniu do danych, które są przetwarzane w toku postępowania wyjaśniającego zarzut mobbingu, zasada proporcjonalności (adekwatności) w ogóle nie obowiązuje, gdyż cel, jakim jest przeciwdziałanie mobbingowi, usprawiedliwia przetwarzanie wszelkich danych i w takim przypadku pracodawca może ujawniać osobom zaangażowanym w wyjaśnienie sprawy wszystkie dane zawarte w zgłoszeniu, nawet te, które zostały dodatkowo ujawnione w treści zgłoszenia, chociaż nie odnoszą się do nieuprawnionych działań wobec pracownika w miejscu pracy, lecz na przykład do jego sytuacji rodzinnej lub zdrowotnej, bez potrzeby dokonywania analizy, czy bez tych danych możliwe jest wypełnienie obowiązków w zakresie wskazanym w art. 94³ § 1 k.p.

Według skarżącej, pozwany pracodawca w oparciu o treść procedury alertu etycznego mógł wykonać obowiązek przeciwdziałania mobbingowi przez przeprowadzenie postępowania jedynie przez dyrektora departamentu ryzyka operacyjnego, bez udziału osób trzecich: A.K. oraz pracowników departamentu kadr, których udział w wyjaśnieniu okoliczności faktycznych nie był niezbędny. Ponadto, angażując A.K. oraz pracowników departamentu kadr w czynności związane z postępowaniem wyjaśniającym, działający w imieniu pracodawcy dyrektor departamentu ryzyka operacyjnego nie dokonał selekcji danych wrażliwych, które powinien wyłączyć z dalszego przetwarzania, jako zbędnych dla wyjaśnienia zgłoszonego zarzutu mobbingu.

W ocenie skarżącej, Sąd drugiej instancji błędnie uznał, że procedura alertu etycznego stanowi wewnątrzzakładowy akt prawa pracy, jako źródło prawa pracy w rozumieniu art. 9 k.p. i daje podstawę do przetwarzania danych wrażliwych pracownika przekazanych w zgłoszeniu alertu etycznego. Sąd Okręgowy przyjął możliwości ustalania wyjątków od zasady nieprzetwarzania danych wrażliwych, w treści przepisów wewnątrzzakładowych, które mogą być wprowadzane jednostronnie przez pracodawcę, takich jak regulaminy lub uchwały zarządu spółki kapitałowej. W zastosowanej przez Sąd odwoławczy wykładni przepisów o dozwolonym zakresie przetwarzania danych wrażliwych pracowników decydowałby dowolnie sam pracodawca, podejmując swobodnie decyzje, jakie dane wrażliwe wolno mu zbierać i przetwarzać. Taka wykładnia prowadzi do całkowitego uchylenia ochrony pracowników w tym zakresie i jest rażąco sprzeczna z celem ustanowienia przepisów dotyczących ochrony danych osobowych, jak również z celem przepisów prawa pracy, a w szczególności z zasadą semiiperatywności przepisów tej gałęzi prawa.

Zdaniem skarżącej, ujawnienie jej imienia i nazwiska w związku z informacją, że zgłosiła ona alert etyczny na podstawie przyjętej w pozwanym banku procedury, było działaniem bezprawnym i narażało skarżącą na nieprzyjazne działania ze strony innych osób, zwłaszcza tych, których zachowania zostały wskazane jako budzące zastrzeżenia etyczne lub wręcz za działania naruszające prawo. Naruszenie zasad ochrony danych osobowych skarżącej przez pozwanego prowadziło do naruszenia jej dóbr osobistych, takich jak prawo zachowania poufności jej działań w charakterze sygnalisty zgłaszającego alert etyczny, a w konsekwencji również prawo do intymności, prywatności, a nawet prawo do zachowania tajemnicy korespondencji. W szczególności naruszone zostało prawo do zachowania poufności informacji dotyczących stanu zdrowia i sytuacji osobistej powódki oraz jej relacji zawodowych wewnątrz zespołu kierowanego przez bezpośrednią przełożoną powódki. Pozwany pracodawca nie miał żadnej podstawy prawnej, aby bez uzyskania wcześniejszej zgody skarżącej ujawniać osobom trzecim pełną treść zgłoszenia powódki wraz z ujawnieniem jej danych jako sygnalisty.

Sąd Najwyższy zważył, co następuje:

Skarga kasacyjna zasługuje na uwzględnienie.

Analizę prawidłowości zaskarżonego wyroku wypada rozpocząć od podkreślenia, że przedmiotem postępowania są wywodzone przez K. I. z art. 23, art. 24 § 1 i art. 448 k.c. roszczenia o ochronę dóbr osobistych, których naruszenia przez pozwany (...) Bank S.A. w W. powódka upatrywała w nieprawidłowym postępowaniu pracodawcy w ramach procedury antymobbingowej.

Inicjując rozważania w kwestii zasadności żądania pozwu, warto przytoczyć treść zamieszczonego w Rozdziale II Konstytucji RP zatytułowanym "Wolność, prawa i obowiązki człowieka i obywatela", przepisu art. 47, który zapewnia każdemu obywatelowi ochronę prawną życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym. Konkretyzacją wymienionych w tym artykule kategorii wolności obywatelskich są między innymi przepisy art. 23 i art. 24 Kodeksu cywilnego oraz art. 11¹ Kodeksu pracy, regulujące problematykę ochrony dóbr osobistych na płaszczyźnie każdej z tych gałęzi prawa.

Powołane przepisy nie definiują pojęcia dóbr osobistych. Nie czyni tego również art. 23 k.c., jednakże zawiera on katalog owych dóbr. Katalog dóbr osobistych jest określony w tym przepisie jedynie przykładowo, a więc ma charakter otwarty. Jak wyjaśnił Sąd Najwyższy w uzasadnieniu uchwały składu siedmiu sędziów z dnia 16 lipca 1993 r., I PZP 28/93 (OSNCP 1994 nr 1, poz. 2), odpowiedź na pytanie, czy określone dobro człowieka jest jego dobrem osobistym w rozumieniu art. 23 i art. 24 k.c., zależy od wielu czynników, gdyż pojęcie to należy odnosić do określonego poziomu rozwoju technologicznego i cywilizacyjnego, przyjętych w społeczeństwie zasad moralnych i prawnych, istniejącego rodzaju stosunków społecznych, gospodarczych czy nawet politycznych. Pojęcie naruszenia określonego dobra osobistego jest również pojęciem dynamicznym w czasie i dotyczącym konkretnych środowisk.

Wymienione w art. 23 k.c. dobra osobiste można pogrupować na te, które jako wartości niematerialne odnoszą się do istnienia człowieka w wymiarze biologicznym, ale i w określonej kondycji fizycznej i psychicznej (życie i zdrowie), do jego poczucia wartości w oczach własnych i otoczenia (cześć, dobre imię, wiarygodność), do więzi emocjonalnej z najbliższymi, do tożsamości (imię, nazwisko, pseudonim, cechy identyfikujące, pochodzenie od określonych rodziców i z określonej wspólnoty, orientacja seksualna itd.), do wolności (sumienia, wyznania, wypowiedzi, gromadzenia wiedzy, decydowania o miejscu pobytu), do prywatności, która może być też opisywana w ujęciu wolnościowym, przez uprawnienie do zażądania, by inne osoby nie wnikały w informacje o osobie i jej życiu poza ten zakres, jaki ona sama wyznaczy, albo jaki powinien być udostępniony innym z uwagi na rolę w życiu społecznym osoby, której sferę dóbr wyznaczamy (tajemnica korespondencji, mir domowy). Wszystkie dobra osobiste człowieka mają wspólne źródło w przyrodzonej mu godności. Na mocy art. 43 k.c. przepisy o ochronie takich dóbr mogą być odpowiednio stosowane do dóbr niematerialnych uznawanych za przynależne osobom prawnym.

Z kolej w myśl art. 11¹ k.p., pracodawca powinien szanować godność i inne dobra osobiste pracownika, a obowiązek ten podniesiony został przez ustawodawcę do rangi jednej z podstawowych zasad prawa pracy. Także ten przepis Kodeksu pracy nie definiuje w sposób szczególny dóbr osobistych pracownika, ani też nie stanowi o ich odrębności, jednakże nakazuje ich ochronę. Definicje doktrynalne pojęcia "dobro osobiste" stworzone na użytek prawa cywilnego odnoszą się również do "dóbr osobistych osoby zatrudnionej" (por. szerzej H. Szewczyk: Ochrona dóbr osobistych w zatrudnieniu, Wolters Kluwer 2007). Podobnie w judykaturze dobra osobiste osoby zatrudnionej nie są traktowane jako odrębna kategoria prawna, ale uznaje się je za dobra osobiste powszechnego prawa cywilnego. Jak skonstatował Sąd Najwyższy w wyroku z dnia 29 października 1971 r., II CR 455/71 (OSNC 1972 nr 4, poz. 77), cześć, dobre imię, dobra sława człowieka są pojęciami obejmującymi wszystkie dziedziny jego życia osobistego, zawodowego i społecznego. Naruszenie czci może więc nastąpić zarówno przez pomówienie o ujemne postępowanie w życiu osobistym i rodzinnym, jak i przez zarzucenie niewłaściwego postępowania w życiu zawodowym, naruszające dobre imię danej osoby i mogące narazić ją na utratę zaufania potrzebnego do wykonywania zawodu lub innej działalności.

W doktrynie prawa cywilnego przyjmuje się, że cześć człowieka przejawia się w dwóch aspektach - dobrym imieniu, które wiąże się z opinią, jaką o wartości danego człowieka mają inni ludzie (cześć zewnętrzna) i w godności, rozumianej jako wyobrażenie o własnej osobie (cześć wewnętrzna). Naruszenie dobrego imienia polega na pomawianiu człowieka o takie postępowania lub właściwości, które mogą go poniżyć w opinii publicznej albo narazić na utratę zaufania potrzebnego do zajmowania danego stanowiska bądź wykonywania zawodu, czy rodzaju działalności. Natomiast do naruszenia godności prowadzi zniewaga (por. A. Szpunar: Ochrona dóbr osobistych, Warszawa 1979, s. 104). Funkcjonujące w literaturze definicje godności pracowniczej utożsamiają ją raczej z czcią wewnętrzną, choć nie rozgraniczają całkowicie od czci zewnętrznej. Zdaniem autorów, w świadomości pracownika wytwarzają się szczególnego rodzaju wartości, nierozłącznie związane z pracą. Dotyczą one przede wszystkim oceny siebie jako pracownika, dokonywanej przez innych ludzi w procesie pracy. Oceny te są weryfikowane i obiektywizowane w życiu społecznym, ulegając utrwaleniu w świadomości jednostki. I właśnie ten zespół wartości wytworzonych na podstawie wskazanych procesów ocennych, składających się na sferę życia psychicznego jednostki w związku z jej uczestnictwem w stosunku pracy, można uznać za godność pracowniczą (por. J. A. Piszczek: Cywilnoprawna ochrona godności pracowniczej, Toruń 1981, s. 47-48). Innymi słowy, pracowniczą godność tworzy poczucie własnej wartości, oparte na opinii dobrego fachowca i sumiennego pracownika oraz na uznaniu zdolności, umiejętności i wkładu pracy pracownika przez jego przełożonych (por. J. Jończyk: Sprawy ze stosunku pracy, Warszawa 1965, s. 135). Naruszeniem tak rozumianej godności pracowniczej może być upublicznienie przez pracodawcę informacji dyskredytujących umiejętności zawodowe pracownika.

W rozpoznawanej sprawie powódka K. I. dochodzi roszczeń z tytułu naruszenia przez pozwany (...) Bank S.A. w W. - wskutek ujawnienia osobom trzecim danych osobowych skarżącej, jako sygnalisty stosowanych wobec niej przez przełożonych zachowań mobbingowych, w tym informacji o stanie zdrowia pokrzywdzonej - jej dóbr osobistych w postaci czci, dobrego imienia, poczucia bezpieczeństwa, prywatności oraz tajemnicy korespondencji.

Godzi się zatem zauważyć, że prawo do ochrony danych osobowych, ujęte w art. 51 Konstytucji, wiąże się ściśle ze sferą poszanowania prywatności, swobody i integralności człowieka. Łączy w sobie prawo do rzetelnej informacji o ich gromadzeniu i przetwarzaniu z prawem do żądania sprostowania oraz usunięcia danych nieprawdziwych. Dane osobowe nie są tożsame z dobrami osobistymi, chociaż pewne ich rodzaje mogą złożyć się na elementy tożsamości i prywatności. Zostały one objęte ochroną prawną dedykowaną im bezpośrednio, jako danym osobowym, a jej specyficzny mechanizm ustalony w ustawie o ochronie danych osobowych działa obok ochrony udzielanej dobrom osobistym.

Prawo do ochrony danych osobowych jest wywodzone w piśmiennictwie z takich dóbr osobistych, jak godność człowieka oraz prawo do prywatności. W ten sam sposób kwalifikuje je Trybunał Konstytucyjny, w którego orzecznictwie utrwalił się pogląd, że art. 47 i art. 51 Konstytucji RP chronią tę samą wartość konstytucyjną - sferę prywatności. Autonomia informacyjna stanowi istotny element składowy prawa do prywatności i oznacza prawo do samodzielnego decydowania o ujawnianiu informacji dotyczących swojej osoby oraz prawo do sprawowania kontroli nad tymi informacjami znajdującymi się w posiadaniu innych podmiotów (wyroki Trybunału konstytucyjnego z dnia: 19 lutego 2002 r., sygn. U 3/01, OTK-A 2002 nr 1, poz. 3, z dnia 20 listopada 2002 r., sygn. K 41/02, OTK-A 2002 nr 6, poz. 83, czy z dnia 13 grudnia 2011 r., K 33/08, OTK-A 2011 nr 10, poz. 116). Prywatność obejmuje także ochronę informacji dotyczących określonego podmiotu (wyrok Trybunału Konstytucyjnego z dnia 12 listopada 2002 r., sygn. SK 40/01, OTK-A 2002 nr 6, poz. 81), w tym informacji dotyczących jego sytuacji zdrowotnej czy rodzinnej.

Realizację prawa do ochrony danych osobowych zapewniać powinno wykonywanie nałożonego na podmioty przetwarzające owe dane w art. 26 ust. 1 u.o.d.o. obowiązku dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Zbierane dane mogą być gromadzone i przetwarzane jedynie zgodnie z prawem, wyłącznie w oznaczonych i legalnych celach, z dbałością o ich merytoryczną poprawność, rozumianą jako prawdziwość i aktualność informacji oraz dostosowanie jej zakresu do celu przetwarzania, a także przechowywane nie dłużej niż jest to niezbędne ze względu na cel przetwarzania. Sąd Najwyższy w wyroku z dnia 15 lutego 2008 r. (I CSK 358/07) zwrócił uwagę na konieczność wykładania przepisów ustawy o ochronie danych osobowych z uwzględnieniem zaleceń dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L 95.281.31 ze zm.; dalej jako dyrektywa 95/46/WE). W jej części wstępnej podkreślono, że systemy przetwarzania danych są tworzone po to, aby służyły człowiekowi i muszą szanować podstawowe prawa i wolności osób fizycznych, a szczególnie prawo do prywatności.

Uchybienie przepisom o ochronie danych osobowych nie w każdym wypadku musi prowadzić do naruszenia dóbr osobistych, konieczne jest więc zawsze poddanie ocenie przedmiotu, charakteru i skutków tego uchybienia. Jeżeli w wyniku nienależytej dbałości o interesy osoby, której dane osobowe są gromadzone i przetwarzane, nastąpiło wkroczenie w sferę wartości o charakterze niemajątkowym, wiążących się z osobowością człowieka, uznanych powszechnie w społeczeństwie, to poza środkami administracyjnymi przewidzianymi w ustawie o ochronie danych osobowych pokrzywdzony może sięgnąć również po możliwości obrony przewidziane w art. 24 k.c. Zabiegający o udzielenie ochrony dobrom osobistym, nawet jeśli jej przesłanki miałyby pozostawać w związku z korzystaniem z danych osobowych, musi zatem wykazać występowanie okoliczności warunkujących zastosowanie na jego korzyść środków przewidzianych przez art. 23, art. 24 i art. 448 k.c.

Trzeba więc przypomnieć, że w razie naruszenia przez pracodawcę dóbr osobistych (w tym godności) pracownika, ten ostatni może dochodzić swoich praw na podstawie art. 24 k.c. w związku z art. 300 k.p. Przepis art. 24 § 1 k.c. reguluje problematykę majątkowych i niemajątkowych środków ochrony dóbr osobistych. Realizacja roszczeń majątkowych w ramach tej ochrony wymaga spełnienia częściowo odmiennych przesłanek wynikających z innych przepisów, do których odsyła § 1 zdanie 3 tego artykułu. Przesłanki dochodzonej przez powoda niemajątkowej ochrony dóbr osobistych, to istnienie dobra osobistego, którego ochrony domaga się pokrzywdzony, zagrożenie naruszeniem lub naruszenie tego dobra oraz bezprawność działania (zaniechania), które zagraża dobru lub je narusza. Rozpoznając roszczenia w tym zakresie sąd powinien w pierwszej kolejności ustalić, czy w ogóle doszło do naruszenia dóbr osobistych, a dopiero w przypadku pozytywnej odpowiedzi na tak sformułowane pytanie zbadać, czy działanie pozwanego było bezprawne (a więc sprzeczne z obowiązującymi przepisami i zasadami współżycia społecznego). Dowód, że dobro osobiste zostało zagrożone lub naruszone, ciąży na osobie poszukującej ochrony prawnej z mocy art. 24 k.c., natomiast na sprawcy owego zagrożenia lub naruszenia spoczywa obowiązek wykazania, iż jego działanie nie było bezprawne (wyrok Sądu Najwyższego z dnia 17 czerwca 2004 r., V CK 608/03, LEX nr 109404).

W orzecznictwie Sądu Najwyższego dominuje koncepcja badania naruszenia dóbr osobistych w świetle kryteriów obiektywnych. Ocena, czy nastąpiło naruszenie dobra osobistego, jakim jest stan uczuć, godność osobista i nietykalność cielesna, nie może być dokonywana według miary indywidualnej wrażliwości zainteresowanego, ta bowiem może być szczególnie duża ze względu na cechy osobnicze czy uwarunkowania chorobowe. Kryteria oceny musza być poddane obiektywizacji, przez uwzględnienie odczuć szerszego grona uczestników zdarzenia i powszechnie przyjmowanych, a zasługujących na akceptację norm postępowania, w tym obyczajowych, wynikających z tradycji (wyrok Sądu Najwyższego z dnia 11 marca 1997 r., III CKN 33/97, OSNC 1997 nr 6 - 7, poz. 93). Sąd powinien rozważyć, czy typowa, przeciętna osoba na miejscu pokrzywdzonego uznałaby określone zachowanie za naruszenie dobra osobistego oraz czy w odczuciu społecznym określone działanie może być zakwalifikowane jako naruszające dobra osobiste. Kryterium oceny, czy doszło do naruszenia dobra osobistego, stanowią przy tym przeciętne opinie ludzi rozsądnie i uczciwie myślących (wyroki Sądu Najwyższego: z dnia 6 października 1969 r., I CR 305/69, LEX nr 6576; z dnia 12 listopada 1974 r., I CR 610/74, LEX nr 7611; z dnia 16 stycznia 1976 r., II CR 692/75, OSNC 1976 Nr 11, poz. 251; z dnia 11 września 1981 r., II CR 297/81, LEX nr 8353; z dnia 25 kwietnia 1989 r., I CR 143/98, OSP 1990 nr 9, poz. 330; z dnia 4 kwietnia 2001 r., III CR 323/00, LEX nr 365051; z dnia 26 października 2001 r., V CKN 195/01, LEX nr 53107; z dnia 23 maja 2002 r., IV CKN 1076/00, OSNC 2003 nr 9, poz. 121; z dnia 23 marca 2005 r., I CK 639/04, LEX nr 380977; z dnia 5 kwietnia 2002 r., II CKN 953/00 LEX nr 55098; z dnia 19 maja 2004 r., I CK 636/03, LEX nr 188474; z dnia 17 września 2004 r., V CK 69/04, LEX nr 197661; z dnia 23 marca 2005 r., I CK 639/04, LEX nr 380977; z dnia 29 października 2010 r., V CSK 19/10, OSNC - ZD 2011 nr 2, poz. 37; z dnia 22 stycznia 2014 r., III CSK 123/13, Legalis). Uwzględnienie kryteriów obiektywnych przy ocenie, czy doszło do naruszenia dobra osobistego, nie oznacza całkowitego pomijania czynnika subiektywnego w postaci odczuć żądającego ochrony, ale nie można im przypisać rozstrzygającego znaczenia. Naruszenie dobra osobistego należy więc rozpatrywać przede wszystkim w granicach przeciętnych ocen społecznych, nie pomijając subiektywnego, indywidualnego odczucia osoby domagającej się ochrony (wyroki Sądu Najwyższego: z dnia 28 marca 2003 r., V CSK 308/02, OSNC 2004 nr 5, poz. 82 i z dnia 22 stycznia 2014 r., III CSK 123/13, OSNC 2014 nr 11, poz. 115). Nie każde zatem pozbawienie człowieka pewnych uprawnień jest ujmowaniem jego godności, uzasadniającym zastosowanie cywilnoprawnych środków ochrony dóbr osobistych. Zależy to bowiem od tego, czy w powszechnym odczuciu stanowi ono naruszenie godności człowieka, czy też opinia publiczna nie wiąże z nim takich konsekwencji. Dla oceny w tym zakresie istotne znaczenie mają rodzaj i charakter uprawnień, których człowiek został pozbawiony, sposób działania sprawcy, a także stosunek, jaki mają inni ludzie do faktu pozbawienia danej osoby tychże uprawnień (wyrok Sądu Najwyższego z dnia 25 kwietnia 1989 r., I CR 143/89, LEX nr 5282). Jak skonstatował Sąd Najwyższy w uchwale składu siedmiu sędziów z dnia 28 maja 1971 r., III PZP 33/70 (OSNCP 1971 nr 11, poz. 188), naruszeniem czci jest sformułowanie uwłaczającej czci każdego człowieka, w granicach przeciętnych ocen aktualnie stosowanych w społeczeństwie a nie w indywidualnym odczuciu osoby, która domaga się ochrony prawnej. Przy ocenie, czy doszło do naruszenia dobrego imienia, należy mieć na uwadze nie tylko subiektywne odczucia osoby żądającej ochrony, lecz także obiektywną reakcję opinii publicznej. Istotna jest przy tym dokładna analiza całego tekstu wypowiedzi, a nie badanie, czy dotarła ona do szerszego kręgu osób i jaki był jej faktyczny odbiór (wyrok Sądu Najwyższego z dnia 16 stycznia 1976 r., II CR 692/75, OSNCP 1976 nr 11, poz. 251 z glosą J. S. Piątkowskiego, NP 1977 nr 7 - 8, s. 1144). Zastrzega się przy tym, że odwołanie do obiektywnych kryteriów naruszenia dobra osobistego nie oznacza, że decydujące znaczenie ma reakcja, jaką dane zachowanie wywołuje, gdyż nie reakcja jest tu ważna, ale występująca w społeczeństwie opinia. O zniesławiającym charakterze wypowiedzi nie decyduje jej skutek w postaci reakcji otoczenia powoda, wyrażającej się zmianą w nastawieniu do niego; chodzi wyłącznie o opinię znajdującą wyraz w poglądach ludzi rozsądnie i uczciwie myślących (wyroki Sądu Najwyższego: z dnia 29 października 2010 r., V CSK 19/10, OSNC 2011 Zbiór dodatkowy B, poz. 37 oraz z dnia 8 marca 2012 r., V CSK 109/11, OSNC 2012 nr 10, poz. 119).

Odnosząc się do zwyczajów środowiskowych w kontekście oceny naruszenia dóbr osobistych w relacjach między osobami z danego środowiska, orzecznictwo przyjmuje, że zwyczaje te mogą do pewnego stopnia usprawiedliwiać działania, które w innej sytuacji byłyby uznane za niedopuszczalne. Zaznacza się jednak, że zasady panujące w danej grupie społecznej mogą być uwzględniane tylko wtedy, gdy zarówno osoba, której dobra osobiste naruszono, jak i odbiorcy działania naruszającego należą do tego samego środowiska, na przykład odbiorców internetu (wyroki Sądu Najwyższego: z dnia 19 września 1968 r., II CR 291/68, OSNCP 1969 nr 11, poz. 200; z dnia 8 marca 2012 r., V CSK 109/11, OSNC 2012 nr 10, poz. 119 i z dnia 18 stycznia 2013 r., IV CSK 270/12, OSNC 2013 nr 7 - 8, poz. 94). Trzeba jednak zaznaczyć, że nawiązanie do zwyczajów środowiskowych może mieć także odwrotny skutek i prowadzić do stwierdzenia naruszenia dobra osobistego przez zachowanie, które choć akceptowalne w innych przypadkach, w danym środowisku przyjmowane jest za godzące w dobra osobiste osoby należącej do danej społeczności.

W świetle art. 24 § 1 k.c. ochrona z tytułu naruszenia dobra osobistego przysługuje dopiero wówczas, gdy zachowaniu sprawcy naruszenia można przypisać przymiot bezprawności. O bezprawności decydują kryteria obiektywne. Bezprawne jest zachowanie sprzeczne z szeroko rozumianym porządkiem prawym, a więc z normami prawnymi lub regułami postępowania wynikającymi z zasad współżycia społecznego (wyroki Sądu Najwyższego: z dnia 22 stycznia 1974 r., II CR 752/73, LEX nr 73881; z dnia 16 stycznia 1976 r., II CR 692/75, OSNC 1976 nr 11, poz. 251; z dnia 25 października 1982 r., I CR 239/82, Legalis; z dnia 14 maja 2003 r., I CKN 463/01, OSP 2004 nr 2, poz. 22). Zważywszy, że odpowiedzialność niemajątkowa z tytułu naruszenia dóbr osobistych jest oparta na zasadzie bezprawności a nie za zasadzie winy, dla skorzystania ze środków ochrony z art. 24 § 1 k.c. nie jest istotne, czy naruszenie było zawinione, ani czy było świadome. Sprawca naruszenia jest obowiązany do usunięcia jego skutków, nawet jeśli nie zdawał sobie sprawy z konsekwencji swego działania (wyroki Sądu Najwyższego: z dnia 11 września 1981 r., II CR 297/81 Legalis; z dnia 19 października 1999 r., I CKN 979/98, MoP 1999 nr 12; z dnia 20 września 1999 r., III CKN 939/98, OSNC 2000 nr 3, poz. 56 z glosą J. Sobczak, OSP 2000 nr 6, poz. 94; z dnia 7 listopada 2002 r., II CKN 1293/00, OSNC 2004 nr 2, poz. 27 z glosą J. Sieńczyło - Chlabicz, PiP 2004 nr 4, s. 116 i nast.; z dnia 14 maja 2003 r., I CKN 463/01, OSP 2004 nr 2, poz. 22 z glosami Z. Radwańskiego; R. Tymiec, PiP 2004 nr 4, s. 120 i nast.).

Bezprawność zachowania sprawcy naruszenia dobra osobistego wyrażona jest w formie domniemania prawnego. Takie rozwiązanie w sposób korzystny dla pokrzywdzonego wpływa na rozłożenie ciężaru dowodu oraz ryzyka niewyjaśnienia okoliczności stanu faktycznego, od których zależy bezprawność. Pokrzywdzony nie musi udowadniać, że zachowanie sprawcy naruszenia dobra osobistego było niezgodnie z prawem lub zasadami współżycia społecznego, ale - z uwagi na wzruszalność domniemania - sprawca naruszenia w celu zwolnienia się od odpowiedzialności musi udowodnić, iż jego zachowanie nie nosiło cech bezprawności. Dowód w tym zakresie polega na wykazaniu okoliczności, które w konkretnej sytuacji uzasadniają uchylenie oceny określonego postępowania jako stanowiącego bezprawną ingerencję w sferę dóbr osobistych. Okoliczności te nazywane są w orzecznictwie, w nawiązaniu do siatki terminologicznej prawa karnego, kontratypami.

Do okoliczności wyłączających bezprawność zachowania sprawcy naruszenia dobra osobistego zalicza się: a) zgodę uprawnionego; b) działanie w ramach obowiązującego porządku prawnego; c) wykonywanie prawa podmiotowego oraz d) ochronę uzasadnionego interesu społecznego lub prywatnego.

Spośród wymienionych kontratypów zasadnicze znaczenie ma działanie w ramach porządku prawnego. Jest ono okolicznością wyłączającą bezprawność zagrożenia lub naruszenia dobra osobistego w świetle przepisów różnych dziedzin prawa. Ustalenie tej okoliczności wymaga stwierdzenia, że obowiązuje norma prawna upoważniająca do naruszenia dobra osobistego. Z zakresu prawa cywilnego można wskazać unormowania dotyczące obrony koniecznej (art. 423 k.c.), dozwolonej samopomocy (art. 343 § 2 k.c.) albo działania w stanie wyższej konieczności (art. 424 k.c.). Na gruncie procedury karnej nie dochodzi do bezprawnego naruszenia dóbr osobistych w wyniku stosowania przewidzianych Kodeksem postępowania karnego środków przymusu (zatrzymania osoby, tymczasowego aresztowania, wysłania listu gończego), a także w trakcie wykonywania kary pozbawienia wolności. Jednak w procesie o naruszenie dóbr osobistych osoby zatrzymanej należy badać okoliczności zatrzymania i prawidłowość stosowania przepisów regulujących tę instytucję (uchwała składu siedmiu sędziów Sądu Najwyższego z dnia 10 listopada 1986 r., III CZP 17/86, OSNCP 1987 nr 10, poz. 145). Jak zauważył Sąd Najwyższy w wyroku z dnia 12 stycznia 2017 r., I CSK 745/15 (LEX nr 2240406), czynności organów ścigania i wymiaru sprawiedliwości związane z wypełnianiem ich ustawowych obowiązków nie mają charakteru działań niezgodnych z prawem także wtedy, gdy przeprowadzone postępowanie karne zakończyło się wydaniem prawomocnego wyroku uniewinniającego. Obywatele muszą bowiem w interesie ochrony dobra wspólnego, jakim jest bezpieczeństwo publiczne, ponosić ryzyko związane z legalnym wdrożeniem postępowania karnego. Jeżeli zachodzi uzasadnione podejrzenie popełnienia przestępstwa, wszczęcie śledztwa lub dochodzenia jest działaniem zgodnym z prawem. Podobnie za takie uznać należy wniesienie aktu oskarżenia. Doznanie w takich okolicznościach przez osobę poddaną przymusowi postępowania karnego uszczerbku na dobrach osobistych, w tym na zdrowiu, nie rodzi odpowiedzialności pozwanego za ten uszczerbek z uwagi na legalność jego działania. Działaniami legalnymi, a przez to wyłączającymi bezprawność naruszenia dobra osobistego, są także działania podejmowane w ramach postępowania sądowego, jak zeznania w charakterze świadka, opinie biegłych, czy ujawnianie dokumentów (wyroki Sądu Najwyższego: z dnia 28 października 1971 r., I CR 425/71, LEX nr 700; z dnia 4 kwietnia 2014 r., II CSK 407/13, OSNC 2015 nr 4, poz. 47). Nie uznaje się jednak za zgodne z obowiązującym porządkiem prawnym świadomego przedstawiania w trakcie postępowania sądowego nieprawdziwych faktów lub nierzetelnych ocen albo zbyt drastycznego prezentowania okoliczności sprawy (wyroki Sądu Najwyższego: z dnia 19 lipca 1978 r., I CR 254/78, OSNCP 1979 nr 6, poz. 121 i z dnia 19 października 1989 r., II CR 419/89, OSPiKA 1990 nr 11 - 12, poz. 377). W wyroku Sądu Najwyższego z dnia 13 kwietnia 2000 r., III CKN 777/98 (LEX nr 51361) stwierdzono, że zeznanie w charakterze świadka w procesie karnym, jak również złożenie doniesienia do organów ścigania uznać należy za działanie w ramach obowiązującego porządku prawnego. Nie sposób jednak stawiając tę ogólną tezę pominąć kwestię prawdziwości zarówno zeznań osoby przesłuchanej w charakterze świadka, jak i składanego w prawem przewidzianym trybie zawiadomienia o przestępstwie. Egzoneracja oparta na braku bezprawności z powodu działania w ramach porządku prawnego nie wchodzi w rachubę, gdy wykracza poza granice, jakie porządek ten zakreśla. Nie mieści się w ramach porządku prawnego niezgodne z prawdą oskarżenie innej osoby przed organami powołanymi do ścigania o popełnienie przestępstwa, a także popieranie takiego skarżenia przed sądem (podobnie Sąd Najwyższy w wyroku z dnia 2 czerwca 1982 r., IV CR 46/81, niepublikowanym).

Na gruncie prawa pracy za wyłączające bezprawność naruszenia dobra osobistego uznano zawiadomienie przez pracodawcę organów ścigania o przestępstwie popełnionym przez pracownika. W wyroku z dnia 26 marca 1998 r., I PKN 573/97 (OSNAPiUS 1999 nr 6, poz. 197) Sąd Najwyższy skonstatował, że pracodawca nie ponosi odpowiedzialności odszkodowawczej (art. 24 § 1 k.c.) za skutki postępowania karnego, które zostało przeprowadzone w związku z zawiadomieniem o przestępstwie popełnionym przez pracownika, wywołanego dokonanym przez pracodawcę zawiadomieniem zgodnie z przepisem Kodeksu postępowania karnego, według którego każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub policję. Jednocześnie zaznacza się, że zawiadamiający może ponieść odpowiedzialność, jeżeli świadomie przekazał informacje nieprawdziwe, albo formułując oskarżenia, kierował się złośliwością lub chęcią dokuczenia (wyrok Sądu Najwyższego z dnia 13 kwietnia 2000 r., III CKN 777/98, Legalis).

W orzecznictwie Sądu Najwyższego wyrażany jest pogląd, że rozwiązanie (także wadliwe) stosunku pracy przez pracodawcę wyklucza możliwość stosowania przepisów prawa cywilnego o ochronie dóbr osobistych, chyba że w związku z tym rozwiązaniem pracodawca naruszy dobro osobiste pracownika poza zakresem stosunku pracy, podejmując działania niemieszczące się w ukształtowanej przez ustawodawcę formie i treści czynności prawnej rozwiązującej stosunek pracy (wyroki Sądu Najwyższego: z dnia 6 grudnia 1973 r., I PR 493/73, OSNCP 1974 nr 9, poz. 156, NP 1974 nr 10, s. 1395 z glosą J. Tyszki, NP 1975 nr 4, s. 590 z glosą B. Błachowskiej, NP 1976 nr 10, s. 1477 z glosą J.A. Piszczka; z dnia 6 marca 1991 r., I PR 469/90, OSP 1992 nr 5, poz. 117 z glosą T. Bińczyckiej-Majewskiej, PS 1992 nr 9, s. 70 z glosą A. Szpunara; z dnia 4 grudnia 1997 r., I PKN 418/97, OSNAPiUS 1999 nr 2, poz. 44; z dnia 1 października 1998 r., I PKN 353/98, OSNAPiUS 1999 nr 21, poz. 678; z dnia 16 listopada 2000 r., I PKN 537/00, OSNAPiUS 2002 nr 11, poz. 269, PiP 2003 nr 4, s. 126 z glosą H. Szewczyk). Sąd Najwyższy w uchwale z dnia 30 marca 1994 r., III PZP 9/94 (OSNAPiUS 1994 nr 2, poz. 26) stwierdził, że prowadzenie przez zakład pracy samodzielnego postępowania w celu wyjaśnienia, czy zachowanie pracownika nosi znamiona oczywistości przestępstwa, o którym mowa w art. 52 § 1 pkt 2 k.p., samo przez się nie przesądza o bezprawności takiego działania w rozumieniu art. 24 § 1 k.c. także wówczas, gdy przypisywane pracownikowi przestępstwo nie zostało przez niego popełnione. Sąd Najwyższy podkreślił jednak, że od tej zasady mogą istnieć wyjątki polegające np. na przekraczającym niezbędną miarę nadawaniu rozgłosu przestępstwu, które następnie nie znalazło potwierdzenia w postępowaniu karnym, czy też sięganiu w samodzielnym postępowaniu wyjaśniającym do środków zewnętrznych, bez próby wyjaśnienia sprawy z osobą, którą podejrzewa się o popełnienie przestępstwa.

Nie nosi cech bezprawności działanie pracodawcy, który w piśmie do zarządu zakładowej organizacji związkowej przedstawia ocenę pracy pracownika, wskazując między innymi na jego nieprzydatność na zajmowanym stanowisku, jeśli czyni to w celu uzyskania stanowiska tego organu związkowego w przedmiocie zamierzonego rozwiązania stosunku pracy, o ile nie kieruje się złośliwością w celu szkodzenia dobremu imieniu pracownika (wyroki Sądu Najwyższego: z dnia 2 grudnia 1970 r., II PR 371/70, LEX nr 14102 oraz z dnia 23 września 1997 r., I PKN 287/97, OSNAPiUS 1998 nr 14, poz. 419). W wyroku Sądu Najwyższego z dnia 6 listopada 1973 r., II PR 31173 (LEX nr 14237), podkreślano, że pracodawca obowiązany jest do udzielenia organom związków zawodowych i organów państwowych informacji niezbędnych dla udzielenia odpowiedzi na skargi jego pracowników wnoszone do tych organów, w związku z trwającym lub rozwiązanym stosunkiem pracy. Działanie takie nie jest bezprawne i nie uzasadnia odpowiedzialności pracodawcy z mocy art. 23 i art. 24 k.c. także i wówczas, gdy przekazane przez niego informacje lub dane są dla pracownika niekorzystne, jeśli nie wykraczają poza sferę objętą stosunkiem pracy.

Za działanie na podstawie prawa uważa się zamieszczenie w opinii o podwładnym uwag dotyczących jego życia prywatnego i rodzinnego, jeżeli działanie takie nakazują wewnętrzne przepisy służbowe (wyrok Sądu Najwyższego z dnia 6 marca 1991 r., I PR 469/90, OSNAPiUS 1992 nr 5, poz. 117), a także sporządzenie i zamieszczenie w aktach osobowych pracownika notatki służbowej o jego zachowaniu, zgodnie z zasadami rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawcę dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. Nr 62, poz. 286 ze zm.), nawet jeśli zawiera ona niekorzystne dla pracownika stwierdzenia na temat jego kwalifikacji i przydatności do pracy (wyrok Sądu Najwyższego z dnia 4 czerwca 2002 r., I PKN 249/01, OSNP 2003 nr 6, poz. 83). Jednakże pracownik może dochodzić na drodze sądowej ochrony swego dobra osobistego, które zostało naruszone przez pracodawcę wskutek świadomego wystawienia mu krzywdzącej i nieprawdziwej opinii (uchwała Sądu Najwyższego z dnia 15 listopada 1967 r., III PZP 41/67, OSNC 1968 nr 5, poz. 91). Sformułowania godzące w cześć i dobre imię człowieka, a zbędne z punktu widzenia potrzeb opinii, stanowią naruszenie tych dóbr osobistych. Natomiast sądy ocenne, nawet ujemne, lecz niezbędne w danych okolicznościach i niepozbawione prima facie podstaw, nie noszą cech bezprawności (uchwała Sądu Najwyższego: z dnia 28 października 1975 r., V PZP 10/75, LEX nr 12337oraz wyroki: z dnia 20 grudnia 1968 r., II PR 549/68, LEX nr 14000; z dnia 2 grudnia 1970 r., II PR 371/70, LEX nr 14102; z dnia 5 maja 1972 r., II PR 90/72, LEX nr 12245; z dnia 24 października 1972 r., I PR 302/72, LEX nr 12257; z dnia 6 grudnia 1973 r., I PR 493/73, LEX nr 12291; z dnia 18 kwietnia 1974 r., II PR 71/74, LEX nr 14252; z dnia 21 stycznia 1977 r., V PRN 3/76, LEX nr 13488; z dnia 12 marca 1981 r., II CR 480/80, LEX nr 16441; z dnia 30 października 1981 r., II CR 384/81, LEX nr 8364; z dnia 20 lutego 1996 r., I CRN 250/95, LEX nr 24928; z dnia 16 lutego 2001 r., IV CKN 252/00, LEX nr 47515; z dnia 15 czerwca 2005 r., II PK 270/04, OSNP 2006 nr 9 - 10, poz. 144; z dnia 10 października 2007 r., II PK 42/07, LEX nr 419149; z dnia 6 marca 2008 r., II PK 188/07, LEX nr 508341; z dnia 10 czerwca 2014 r., I PK 310/13, LEX nr 1563426).

Analiza powyższych orzeczeń Sądu Najwyższego pozwala na sformułowanie konkluzji, że działanie w ramach porządku prawnego wyłącza bezprawność naruszenia dobra osobistego, ale pod pewnymi warunkami. W ogólności bezprawność oznacza bowiem zachowanie niezgodne (sprzeczne) z prawem. Jeżeli więc obowiązujące przepisy przewidują określone procedury, to działanie w ich ramach (często wkraczające w sferę prawnie chronionych dóbr osobistych) z reguły nie jest bezprawne. Jeżeli jednak w toku takich prawnie uregulowanych procedur dochodzi do wyraźnego, poważnego naruszenia przepisów, zwłaszcza w sposób powodujący wykroczenie poza cel i niezbędność postępowania, to nie jest wykluczone uznanie bezprawności takiego działania. Inaczej mówiąc, nie każde naruszenie przepisów regulujących przebieg określonych postępowań w ramach obowiązującego porządku prawnego oznacza bezprawność działania, ale jeżeli wkroczenie w sferę prawnie chronionych dóbr osobistych nastąpiło w toku tychże procedur, może - przy spełnieniu powyższych przesłanek - zostać uznane za bezprawne. Działanie w ramach obowiązującego porządku prawnego, by wyłączyć bezprawność, musi być zatem dokonane w granicach określonych tym porządkiem prawnym, to jest pozostawać w zgodzie z obowiązującymi przepisami, a nadto powinno być rzeczowe, obiektywne, podjęte z należytą ostrożnością i przez osobę uprawnioną; nie może też wykraczać poza niezbędną dla określonych prawem celów potrzebę (wyroki Sądu Najwyższego: z dnia 6 grudnia 1967 r., II CR 328/67,LEX nr 6256; z dnia 13 kwietnia 2000 r., III CKN 777/98, LEX nr 51361; z dnia 9 maja 2000 r., IV CKN 31/00, LEX nr 52650; z dnia 7 listopada 2000 r., I CKN 1149/98, LEX nr 50831). Jak skonstatował Sąd Najwyższy w uzasadnieniu wyroku z dnia 26 marca 2019 r., I PK 269/17 (niepublikowanym), celem normy prawnej wyrażonej w art. 11¹ k.p. jest kształtowanie w sferze stosunków pracy zachowań i postaw eliminujących instrumentalne traktowanie pracowników. Dlatego samo stwierdzenie, że zachowania pracodawcy mieściły się jego ogólnych uprawnieniach w relacjach z pracownikami, nie wystarcza do uznania braku bezprawności tychże zachowań. Z uwagi na potrzebę eliminacji instrumentalnego traktowania pracowników, leżącej u podstaw art. 11¹ k.p., konieczne jest bowiem uwzględnienie okoliczności faktycznych, w jakich pracodawca działał i sposobu w jaki korzystał z przysługujących mu względem pracownika uprawnień.

W niniejszej sprawie pozwany (...) Bank S.A. w W. broniąc się przed zarzutem naruszenia dóbr osobistych K. I. wskutek ujawnienia osobom nieupoważnionym danych osobowych powódki, zawartych w zgłoszeniu przez nią praktyk mobbingowych, twierdził, że działał w granicach prawa, a ściślej – przepisów ustawy o o.d.o. oraz kodeksowych i zakładowych przepisów antymobbingowych.

W tej materii warto przypomnieć, że gromadzone przez pozwanego dane osobowe pracowników stanowią zbiór danych w rozumieniu art. 7 pkt 1 ustawy o o.d.o., jakim jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany czy rozproszony, czy jest jednolity czy podzielony funkcjonalnie lub geograficznie, czy wreszcie jest zautomatyzowany czy niezautomatyzowany. Będąc zgodnie z art. 7 pkt 4 ustawy o o.d.o. administratorem danych osobowych, pracodawca ma rozległe obowiązki informacyjne w stosunku do tych, których dotyczą zbierane i przetwarzane dane osobowe (art. 24, art. 25, art. 32, art. 33 i art. 54 ustawy o o.d.o.), a także obowiązek dbania o legalność i rzetelność przetwarzania danych osobowych (art. 26 i art. 49 ustawy o o.d.o), obowiązek dbania o zachowanie danych w poufności (art. 37-39, art. 51 ustawy o o.d.o.), obowiązek zabezpieczenia zbioru danych osobowych (art. 36-39, art. 52 ustawy o o.d.o.). Administratorem danych nie jest każdy dysponent danych osobowych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania. Wobec odesłania zawartego w art. 7 pkt 4 ustawy o o.d.o., administratorem danych może być jedynie podmiot wymieniony w art. 3 ustawy o o.d.o.

W myśl art. 7 pkt 2 ustawy o o.d.o., przetwarzanie danych oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzanie danych osobowych należy do sfery czynności faktycznych, określanych jako czynności materialno-techniczne, z których to czynności wypływają konsekwencje prawne. W legalnej definicji przetwarzania danych ustawodawca wskazuje przykładowo operacje wykonywane na danych. Kolejność tych operacji wskazana w art. 7 pkt 2 ustawy nie jest przypadkowa i może być przydatna do ustalenia ram czasowych przetwarzania danych. O przetwarzaniu danych można mówić począwszy od zbierania danych, a skończywszy na ich usunięciu. Zarówno przed zbieraniem, jak i po usunięciu danych osobowych nie może być mowy o ich przetwarzaniu i tym samym o stosowaniu ustawy o o.d.o. Przetwarzanie danych osobowych oznacza jakiekolwiek operacje wykonywane na danych osobowych od ich pozyskania do usunięcia (wymazania). Terminem tym objęte są takie działania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie zestawiane, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonywane są w systemach komputerowych. Wystarczy zatem, że wykonywana jest którakolwiek z podanych operacji (np. samo zbieranie danych), a nawet operacja inna niż wymieniona w tym przepisie, mająca za przedmiot dane osobowe, aby należało uznać, iż dochodzi do przetwarzania danych, co otwiera drogę do stosowania regulacji zawartej w ustawie o o.d.o.

Pojęcie danych osobowych nie ma jednorodnego charakteru. Wyróżniono bowiem dane o szczególnym charakterze, tzw. dane wrażliwe (delikatne, sensytywne), przeciwstawiane niekiedy tzw. danym zwykłym (pospolitym), po to, aby w odniesieniu do danych wrażliwych wprowadzić bardziej intensywną ochronę, a ich przetwarzanie poddać odrębnym zasadom. Za dane tego rodzaju art. 27 ust. 1 ustawy o o.d.o. uznaje dane dotyczące: a) pochodzenia rasowego lub etnicznego, b) poglądów politycznych, c) przekonań religijnych lub filozoficznych (odnosi się to także do postawy ateistycznej lub agnostycznej, kategoria ta nie obejmuje natomiast zasad moralnych), d) przynależności wyznaniowej, partyjnej lub związkowej (także fakt nieprzynależności i wystąpienia z organizacji), e) stanu zdrowia, f) kodu genetycznego, g) nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z uzależnieniami), h) życia seksualnego, i) skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Katalog danych zaliczonych do danych wrażliwych jest obszerniejszy w porównaniu do ustanowionego w art. 8 ust. 1 dyrektywy 95/46/WE. Ustawa o.d.o. zalicza bowiem dodatkowo do tej kategorii dane o nałogach i kodzie genetycznym. Kryterium wyróżnienia powyższych danych stanowi to, że dotyczą one bezpośrednio sfer należących do prywatności czy nawet intymności osoby fizycznej. W pozostałych przypadkach (a więc przy danych zwykłych, danych neutralnych, danych trywialnych) ingerencja w obszar prywatności bądź w ogóle nie zachodzi, bądź - jeśli nawet występuje - to wynika nie tyle z samej treści danych, ile raczej z ich zestawienia, kontekstu. Poza tym dane wrażliwe, w przeciwieństwie do pozostałych, wiążą się ze znacznie większym poczuciem zagrożenia oraz niebezpieczeństwem wywołania na różnych polach (zatrudnienie, ubezpieczenie, kredytowanie itd.) decyzji dyskryminacyjnych. Przedstawione w ustawie wyliczenie danych wrażliwych ma charakter taksatywny. Dlatego nie istnieje możliwość poszerzenia go o dalsze kategorie danych. Przepis art. 27 ustawy o o.d.o. dotyczy przy tym danych osobowych w znaczeniu, jakie temu terminowi nadaje przepis art. 6 ustawy o o.d.o. (musi istnieć zatem możliwość określenia tożsamości osoby, której dane dotyczą). Tak więc zbieranie i przetwarzanie informacji dotyczących kwestii wymienionych w ust. 1 nie jest zabronione ani ograniczone, jeśli są to informacje anonimowe.

Jeżeli chodzi o dane drażliwe czy sensytywne, to przesłanki ich przetwarzania reguluje art. 27 ustawy o o.d.o. Natomiast art. 23 tej ustawy normuje przesłanki przetwarzania danych zwykłych. Owo przetwarzanie może mieć miejsce w sytuacji, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę (chyba że chodzi o usunięcie dotyczących jej danych), przy czym zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, przy czym za prawnie usprawiedliwiony cel uważa się w szczególności: a) marketing bezpośredni własnych produktów lub usług administratora danych; b) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej; 6) jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku uzyskania jej zgody na przetwarzanie danych osobowych jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

Z kolei w odniesieniu do danych wrażliwych art. 27 ust. 1 ustawy o o.d.o. ustanawia zakaz ich przetwarzania i to bez względu na to, czy przetwarzanie to ma nastąpić w formie zautomatyzowanej czy tradycyjnej (manualnej). Od zasady tej ustęp 2 tego artykułu wprowadza jednak liczne wyjątki, zastrzegając, że przetwarzanie danych tychże danych jest dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych; 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony; 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora; 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych; 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem; 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych; 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą; 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone; 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Artykuł 27 j ustawy o o.d.o. stanowi lex specialis względem art. 23. Wprawdzie także ustanawia zakaz przetwarzania danych osobowych, to jednak odmiennie reguluje przesłanki uchylające ten zakaz. Zakaz przetwarzania wrażliwych danych osobowych zostaje uchylony w wyniku spełnienia przez administratora danych któregokolwiek z warunków wymienionych w art. 27 ust. 2. Przesłanki wymienione w art. 27 ust. 2 ustawy uchylają przy tym nie tylko zakaz przetwarzania wrażliwych danych osobowych, lecz również zakaz przetwarzania danych innych niż wrażliwe.

W świetle art. 27 ust. 2 ustawy o o.d.o., pierwszym i - można powiedzieć - zasadniczym, warunkiem dopuszczającym przetwarzanie danych osobowych jest to, że osoba, której dane dotyczą, wyrazi na to zgodę na piśmie. Znajduje tu odbicie - traktowana często jako podstawowa - przesłanka usprawiedliwiająca przetwarzanie jakichkolwiek danych osobowych, mianowicie zgoda zainteresowanego. Specyfika związana ze szczególnym charakterem danych sensytywnych polega na tym, że zgoda musi być wyrażona na piśmie. Ustawa o o.d.o. ustanawia wymaganie formy pisemnej, lecz nie określa skutków jej niedochowania. Również dyrektywa 95/46/WE nie rozstrzyga tej kwestii, a brzmienie jej przepisów (art. 7 lit. a, art. 8 ust. 2 lit. a) wywołuje wątpliwości, czy udzielenie zgody musi nastąpić w formie pisemnej. W literaturze wskazuje się, że zgoda na przetwarzanie wrażliwych danych osobowych udzielona w formie innej niż pisemna jest nieskuteczna, a przepisy k.c. o formie czynności prawnych nie znajdują w tym zakresie zastosowania (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, s. 426). Pogląd ten należy podzielić. Artykuł 27 ust. 2 ustawy o o.d.o. nie zawiera postanowienia analogicznego do art. 23 ust. 2. Oznacza to, że osoba, której dane dotyczą, nie może wyrazić skutecznie zgody na przetwarzanie danych w przyszłości.

Uzyskanie zgody na przetwarzanie wrażliwych danych osobowych nie oznacza, że administrator może wykonywać wszelkie operacje na danych osobowych. Ograniczenia w tym zakresie mogą bowiem wynikać z przepisów szczególnych dotyczących udostępniania danych osobowych. Wypada zauważyć, że art. 8 ust. 2 lit. a dyrektywy 95/46/WE stanowi, iż zgoda nie uchyla zakazu przetwarzania wrażliwych danych osobowych, jeżeli przepisy państwa członkowskiego wykluczają uchylanie tego zakazu wskutek wyrażenia zgody. W obowiązującym ustawodawstwie nie ma przepisów wyraźnie wykluczających możliwość udzielenia zgody na przetwarzanie wrażliwych danych osobowych. Jednakże przepisy wyznaczające zakres danych adekwatnych do celu przesądzają także o nieskuteczności zgody na przetwarzanie danych w szerszym zakresie. Ponadto zgoda na przetwarzanie tej kategorii danych osobowych jest z reguły zgodą na naruszenie (zagrożenie) dóbr osobistych. Jeżeli osoba, której dane dotyczą, nie może skutecznie udzielić zgody na naruszenie (zagrożenie) dobra osobistego, to zgoda na przetwarzanie wrażliwych danych osobowych, mimo że skuteczna w świetle ustawy o.d.o., nie uczyni przetwarzania danych legalnym, gdyż może być nieskuteczna w świetle innych przepisów. Jeżeli zgoda byłaby nieskuteczna, choćby tylko w świetle przepisów innych niż ustawa o.d.o., to administrator danych uchybiałby obowiązkowi przetwarzania danych zgodnie z prawem.

Dyrektywa 95/46/WE w art. 8 ust. 4 stanowi, że państwa członkowskie mogą dodatkowo ze względu na ważny interes publiczny, zapewniając odpowiednie gwarancje, ustanowić inne wyjątki od zakazu przetwarzania wrażliwych danych osobowych albo bezpośrednio w prawie krajowym, albo też na podstawie decyzji organu sprawującego nadzór nad ochroną danych osobowych. Ustawodawca skorzystał z powyższej możliwości. Zgodnie z art. 27 ust. 2 pkt 2 ustawy o o.d.o., przetwarzanie wrażliwych danych osobowych jest dopuszczalne wówczas, gdy przepis szczególny innej ustawy zezwala na ich przetwarzanie bez zgody osoby, której one dotyczą, i stwarza pełne gwarancje ich ochrony. Treść art. 27 ust. 2 pkt 2 ustawy o o.d.o. przesądza o tym, że tylko przepis zawarty w akcie normatywnym o randze ustawy może zezwolić na przetwarzanie wrażliwych danych osobowych. Omawiany wyjątek dotyczy przy tym jedynie takich przepisów, które wyraźnie uchylają zakaz przetwarzania wrażliwych danych osobowych, a zatem brzmienie przepisu ustawy szczególnej nie powinno pozostawiać wątpliwości w kwestii uchylenia zakazu przetwarzania danych.

Odrębną kategorię tworzy upoważnienie do przetwarzania danych związane z zatrudnieniem. Artykuł 27 ust. 2 pkt 6 ustawy o o.d.o. stanowi, że zakres wrażliwych danych osobowych, których przetwarzanie jest niezbędne do wykonania zadań administratora danych w zakresie zatrudnienia, musi być określony w ustawie (dyrektywa 95/46/WE nie ustanawia takiego wymagania, lecz stanowi, że przepisy prawa krajowego powinny zapewniać odpowiednie gwarancje w związku z przetwarzaniem wrażliwych danych osobowych na podstawie omawianej przesłanki). Na podstawie tego przepisu, administrator danych zatrudniający inne osoby może przetwarzać takie dane sensytywne, które są dla niego niezbędne do wykonywania zadań odnoszących się do zatrudnienia, do wykonywania swoich praw i obowiązków wynikających z faktu zatrudniania innych osób, a mających swoje źródło w przepisach prawa (głównie prawa pracy), umowie zbiorowej czy umowie indywidualnej. Zakres przetwarzania danych musi być jednak określony w ustawie. Powołany przepis obejmuje swoim zakresem wszelkie kategorie pracodawców (zarówno przedsiębiorstwa państwowe, jak i prywatne, spółki prawa handlowego, osoby fizyczne) oraz wszelkie postaci przetwarzania danych, a jego regulacja odnosi się nie tylko danych osobowych pracowników, ale i do danych osobowych kandydatów do pracy. Zakresem zastosowania omawianej przesłanki objęte jest zarówno zatrudnienie typu pracowniczego, jak i inne typy stosunków zatrudnienia, np. cywilnoprawne, ustrojowe czy administracyjnoprawne. Omawianą przesłanką objęte są także stosunki poprzedzające nawiązanie stosunku zatrudnienia. Jednakże w pracowniczych stosunkach zatrudnienia należy uwzględnić ograniczenia wynikające z innych przepisów, w szczególności z art. 22[1] k.p.

Na gruncie pracowniczych stosunków zatrudnienia zakres danych osobowych, których może żądać pracodawca, został wyznaczony przez art. 22[1] k.p., na podstawie którego pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania wyłącznie danych innych niż wrażliwe, tj. danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.

Jednakże na podstawie art. 22[1] § 4 k.p. pracodawca może żądać podania innych danych osobowych niż wymienione, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Od pracownika pracodawca może żądać dodatkowo innych danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Źródłem szczególnych uprawnień pracownika są nie tylko przepisy szczególne w stosunku do Kodeksu pracy, lecz także postanowienia zawarte w autonomicznych źródłach prawa pracy. Należy przyjąć, że zakres danych osobowych, które mogą być przetwarzane w następstwie żądania pracodawcy, określa art. 22[1] k.p. Przepis ten nie zawiera wyczerpującego wyliczenia danych osobowych, lecz wskazuje na nie także pośrednio, odsyłając do przepisów przyznających pracownikom szczególne uprawnienia, a także przepisów nakazujących pracownikowi podanie danych osobowych. Wśród tych pierwszych szczególne znaczenie mają postanowienia autonomicznych źródeł prawa pracy, przede wszystkim układów zbiorowych pracy.

Przez wykonywanie zadań związanych z zatrudnieniem rozumieć można w niektórych przypadkach nawet zbieranie danych dotyczących stanu zdrowia, jeśli jest to istotne dla zatrudnienia na określonym stanowisku lub uzyskania pewnych przywilejów w związku z zatrudnianiem osób niepełnosprawnych. Zasadniczo jednak pracodawca nie ma podstaw do domagania się udzielenia mu informacji o stanie zdrowia pracownika, o przebytych chorobach czy prowadzonym aktualnie leczeniu. Oceny tej nie zmienia okoliczność, że leczeniem zajmuje się lekarz zakładowy (osoba podporządkowana pracodawcy występującemu tu w roli administratora danych) lub że pracodawca ponosi koszty leczenia. Administrator danych osobowych może przetwarzać dane o stanie zdrowia pracowników tylko wtedy, gdy nie może bez nich wykonać „zadań (...) odnoszących się do zatrudnienia”. Wprawdzie zadania mogą być nakładane na administratora danych (pracodawcę) na podstawie przepisów zawartych w źródłach prawa powszechnie obowiązującego, a także autonomicznych źródłach prawa pracy, jednak w myśl art. 27 ust. 2 pkt 6 zakres przetwarzanych danych musi być określony w ustawie. Dlatego też nawet wtedy, gdy przepisy rozporządzenia albo postanowienia autonomicznych źródeł prawa pracy nakładają na pracodawcę określone zadania, nie jest to wystarczające do legalnego przetwarzania danych osobowych. W konsekwencji przepisy rozporządzenia albo postanowienia autonomicznych źródeł prawa pracy mogą wyznaczać zadania tylko z uwzględnieniem zakresu danych osobowych wyznaczonego w ustawie i nie mogą go poszerzać. Przykładowo, określenie w regulaminie zakładowego funduszu socjalnego zakresu przetwarzanych wrażliwych danych osobowych nie uchyla zakazu ich przetwarzania wynikającego z ustawy o.d.o., ponieważ regulamin funduszu świadczeń socjalnych nie mieści się w pojęciu „ustawa” występującym w art. 27 ust. 2 pkt 6 ustawy o o.d.o. W rezultacie należy przyjąć, że pracodawca może przetwarzać wrażliwe dane osobowe (np. o stanie zdrowia) w związku z ubieganiem się przez pracownika o świadczenia socjalne tylko wtedy, gdy pracownik wyrazi na to zgodę na piśmie, co jest przesłanką uchylającą zakaz przetwarzania wrażliwych danych osobowych wymienioną w art. 27 ust. 2 pkt 1 ustawy o o.d.o. Natomiast w braku takiej zgody pracodawca może zgodnie z prawem żądać przedłożenia dokumentów zawierających wrażliwe dane osobowe wyłącznie do wglądu (np. recept lekarskich w związku z udzielaniem zapomogi na leki). Takie zachowanie pracodawcy (osoby go reprezentującej) nie jest bowiem przetwarzaniem w rozumieniu ustawy. Jednocześnie należy je oceniać jako zgodne z art. 22[1] § 4 k.p., jeżeli regulamin zakładowego funduszu świadczeń socjalnych zawiera postanowienia pozwalające na określenie danych osobowych, które obowiązany jest podać pracownik w związku z ubieganiem się o świadczenia socjalne.

Jak wspomniano wyżej, pozwany (...) Bank S.A. w W. broniąc się przed zarzutami powódki, podnosił, że działała w granicach prawa wyznaczonego przepisami Kodeku pracy oraz przepisami wewnątrzzakładowymi dotyczącymi mobbingu.

Wypada zatem przypomnieć, że art. 94³, dodany do Kodeksu pracy przez ustawę z dnia 14 listopada 2003 r. o zmianie ustawy - Kodeks pracy i zmianie niektórych innych ustaw (Dz.U. Nr 213, poz. 2081), nakłada na pracodawcę obowiązek przeciwdziałania mobbingowi (§ 1 i 2) i uprawnia pracownika, u którego mobbing wywołał rozstrój zdrowia, do dochodzenia od pracodawcy odpowiedniej sumy pieniężnej tytułem zadośćuczynienia za doznaną krzywdę (§ 3), a jeśli wskutek mobbingu pracownik rozwiązał stosunek pracy, może domagać się odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę, ustalane na podstawie odrębnych przepisów (§ 4). Podmiotem ponoszącym odpowiedzialność za mobbing na podstawie przepisów prawa pracy jest pracodawca. Nie ma przy tym znaczenia, czy mobberem (osobą stosującą mobbing) był pracodawca czy też pracownik. Adresatem roszczeń wywodzonych z art. 94³ k.p. jest zawsze podmiot zatrudniający. Z wykładni systemowej wynika, że odpowiedzialność odszkodowawcza pracodawcy (przewidziana art. 94³ § 3-4 k.p.) jest skutkiem naruszenia obowiązku przeciwdziałania mobbingowi (art. 94³ § 1 k.p.).

Obowiązek przeciwdziałania mobbingowi można rozpatrywać na trzech poziomach: po pierwsze, chodzi o zakaz mobbingu bezpośrednio ze strony pracodawcy (osób podejmujących w imieniu pracodawcy czynności z zakresu prawa pracy – art. 31 k.p.), po drugie, o obowiązek pracodawcy eliminowania mobbingu w przypadku jego wystąpienia, po trzecie, o obowiązek zapobiegania mobbingowi, czyli stosowania „prewencji antymobbingowej”. Skutkiem niedopełnienia obowiązku przeciwdziałania mobbingowi jest odpowiedzialność odszkodowawcza pracodawcy określona w art. 94³ § 3-4 k.p. Obowiązek zapłaty odpowiedniej sumy pieniężnej tytułem zadośćuczynienia spoczywa zatem na pracodawcy w związku z naruszeniem obowiązku przeciwdziałania mobbingowi w miejscu pracy niezależnie od tego, czy pracownik, który doznał rozstroju zdrowia, był prześladowany przez pracodawcę (osobę dokonującą w imieniu pracodawcy czynności z zakresu prawa pracy), czy też przez innego pracownika. Odpowiedzialność za działania innych osób wynika z naruszenia przez pracodawcę obowiązku przeciwdziałania mobbingowi. Pracodawca odpowiada nie tylko za krzywdę będącą skutkiem jego własnych działań, ale także za zaniechanie dążenia do wyeliminowania mobbingu (na tym polega obowiązek przeciwdziałania mobbingowi).

Według judykatury, obowiązek pracodawcy przeciwdziałania mobbingowi nie może ograniczać się jedynie do przypadków stwierdzonych zachowań mobbingowych. Obowiązek ten polega na działaniach zmierzających do tego, by mobbing nie wystąpił. Chodzi więc o podejmowanie środków zapobiegawczych. Przeciwdziałanie mobbingowi powinno być zarówno realne, jak i efektywne (wyrok Sądu Najwyższego z dnia 3 sierpnia 2011 r., I PK 35/11, OSNP 2012 nr 19-20, poz. 238). Podobnie w doktrynie przyjmuje się, że obowiązek ten nie polega jedynie na usunięciu skutków zjawiska mobbingu, ale także do prowadzenia w tym zakresie profilaktyki (H. Szewczyk: Ochrona dóbr osobistych w zatrudnieniu, Oficyna a Wolters Kluwer business 2007, s. 482). Tym samym następcze działania pracodawcy (po stwierdzeniu zachowań współpracowników o charakterze mobbingowym), które nie przyniosły realnych efektów nie mogą zwolnić pracodawcy z odpowiedzialności przewidzianej w art. 94³ k.p.

Pracodawca powinien przeciwdziałać mobbingowi w szczególności szkoląc pracowników - informując o niebezpieczeństwie i konsekwencjach mobbingu, czy stosując procedury, które umożliwią wykrycie i zakończenie tego zjawiska. W celu wykonania obowiązku przeciwdziałania mobbingowi pracodawca może używać środków organizacyjnych i perswazyjnych, a gdy są one nieskuteczne, może stosować sankcje przewidziane w prawie pracy. W ramach przeciwdziałania mobbingowi ze strony jednych pracowników przeciwko innym pracownikom pracodawca powinien stosować wszelkie prawnie dostępne środki, takie jak kary porządkowe, przeniesienie na inne stanowisko, wypowiedzenie stosunku pracy, także rozwiązanie stosunku pracy bez wypowiedzenia z winy pracownika. Dobór właściwych środków uzależniony pozostaje oczywiście od konkretnego pracodawcy, jak na przykład rodzaju środowiska pracy, charakteru i ilości interakcji między pracownikami, grożących wystąpieniem tego negatywnego zjawiska, wpływem rodzaju wykonywanej pracy.

W przedmiotowej sprawie pozwany realizując swoje obowiązki wynikające z powyższych unormowań uchwałą Nr (…)/2014 Zarządu (...) Bank S.A. z dnia 24 marca 2014 r. ustanowił procedurę „Prawo alertu etycznego/ Whistleblowing” (dalej jako procedura). Zgodnie z § 4 przyjętej procedury, alert etyczny dotyczył ujawnienia przez pracownika nielegalnych, niemoralnych lub bezprawnych praktyk, dokonywanych za wiedzą pracodawcy. Polegał na informowaniu o tych praktykach dyrektora departamentu ryzyka operacyjnego, który dysponował wiedzą umożliwiającą wpłynięcie na niepoprawne działanie procesów zachodzących w banku, czy postępowanie krytykowanych pracowników. Stosownie do § 6 ust. 3 procedury, w przypadku wysyłania zgłoszenia pocztą wewnętrzną lub zewnętrzną, koperta, w której znajdowało się zgłoszenie, musiała być oznaczona napisem „poufne” i winna być zaadresowana do dyrektora departamentu ryzyka operacyjnego. W myśl § 6 ust. 2, 3 i 4 procedury, zgłoszenie w sprawie mobbingu powinno zawierać między innymi wszelkie informacje mające związek ze zgłoszeniem, w tym dokumenty potwierdzające opisywaną sytuację. Zgłoszenie w zamkniętej kopercie jest kierowane do dyrektora departamentu ryzyka operacyjnego, który jest wyłącznie uprawniony do zapoznania się informacją, w tym z tożsamością osoby zgłaszającej. Poufność tożsamości może być uchylana tylko za zgodą zgłaszającego. Dodatkowo § 7 ust. 3 procedury stanowi, że dane zgłaszającego nie mogą być ujawnione, z wyłączeniem sytuacji opisanych w samej procedurze oraz wynikających z przepisów prawa.

Warto podkreślić, że celem ustanowionej procedury alertowej było ujawnienie i wyeliminowanie bezprawnych czy niemoralnych zachowań wobec pracowników Banku ze strony ich przełożonych czy współpracowników, a zatem także zachowań noszących znamiona mobbingu lub dyskryminacji. Aby zachęcić pracowników do informowania pracodawcy o tego rodzaju zachowaniach, ustanowiona procedura zapewniała im poufność. Chodzi wszak o nienarażanie osób sygnalizujących owe nieprawidłowości na szykany ze strony mobberów. Wbrew twierdzeniom Sądu drugiej instancji, gwarancja nieujawniania – poza przyjmującym zgłoszenie dyrektorem departamentu ryzyka operacyjnego - danych osobowych pracowników składających skargi rozciągała się na całe postępowanie alertowe i mogła ją uchylić tylko zgoda zainteresowanego. W tym zakresie postanowienia procedury korespondują z unormowaniem art. 23 ust. 1 pkt 1 oraz art. 27 ust. 2 pkt 1 ustawy o o.d.o. Ma rację skarżąca, że wynikającego z przepisów tejże ustawy obowiązku ochrony danych osobowych i niemożności ich ujawniania bez zgody pracownika (w razie danych wrażliwych – pisemnej zgody) nie mogły uchylić wewnątrzzakładowe przepisy należące do źródeł prawa pracy w rozumieniu art. 9 k.p. W świetle art. 27 ust. 2 pkt 2 ustawy o o.d.o., ujawnienie danych wrażliwych (a takimi są wszak dane o stanie zdrowia) bez zgody zainteresowanego mogło nastąpić tylko na mocy przepisu szczególnego rangi ustawy. Tymczasem przepisy Kodeksu pracy regulujące problematykę mobbingu nie zawierają takich unormowań. W przedmiotowej sprawie skarżąca nigdy nie wyraziła zgody na ujawnienie innym osobom – poza dyrektorem departamentu ryzyka operacyjnego - jej danych osobowych oraz wrażliwych informacji zawartych w piśmie sygnalizującym praktyki mobbingowe w miejscu pracy. Przeciwnie – w samym zgłoszeniu zastrzegła, że pismo ma poufny charakter i adresowane jest wyłącznie do rąk sprawującego funkcję dyrektora departamentu ryzyka operacyjnego M. C.

Sąd drugiej instancji upatruje legalności ujawnienia danych osobowych powódki, w tym informacji o jej stanie zdrowia, w unormowaniu art. 27 ust. 2 pkt 6 ustawy o o.d.o. oraz szczegółowych regulacjach obowiązującej u pozwanego procedury alertowej, twierdząc że było to niezbędne dla realizacji ciążącego na pracodawcy (administratorze danych) obowiązku odnoszącego się do zatrudnienia pracowników, a ściślej – wynikającego z art. 94³ § 1 k.p. obowiązku przeciwdziałania mobbingowi. Pomijając fakt, że – wbrew zawartemu w art. 27 ust. 2 pkt 6 ustawy o o.d.o. zastrzeżeniu - powołany przepis Kodeksu pracy nie określa zakresu danych mogących podlegać przetworzeniu, ujawnienie danych osobowych powódki, w tym informacji o jej stanie zdrowia nie było konieczne dla przeprowadzenia zainicjowanego jej skargą postępowania antymobbingowego.

Prawdą jest, że z § 3 ust. 5 procedury wynika, iż postępowanie może być prowadzone przez dyrektora departamentu ryzyka operacyjnego, i jeśli jest taka potrzeba - również przez inne osoby i jednostki organizacyjne, zaś pracownik ma prawo do informacji o wnioskach końcowych i powziętych krokach. W § 8 ust 1-3 wskazano zaś, że postępowanie wyjaśniające jest prowadzone przez dyrektora departamentu ryzyka operacyjnego w sposób zapewniający jego poufność. Po przekazaniu zgłoszenia dyrektor departamentu ryzyka operacyjnego niezwłocznie podejmuje decyzję o wszczęciu postępowania wyjaśniającego oraz wyznacza pracownika, który je poprowadzi i przygotuje raport. Dyrektor departamentu ryzyka operacyjnego bądź osoba, o której mowa w ust. 2, mógł zwrócić się do zgłaszającego z prośbą o dostarczenie dodatkowych informacji na temat zgłoszenia, o ile zgłoszenie nie było anonimowe.

W świetle powyższych postanowień procedury dopuszczalne było scedowanie przez dyrektora departamentu ryzyka operacyjnego przeprowadzenia postępowania wyjaśniającego i sporządzenia projektu raportu w sprawie zgłoszenia na inne osoby, w tym na podmioty zewnętrzne trudniące się zawodowo problematyką antymobbingową. Trzeba jednak zadać pytanie, jakie czynności podlegały owemu scedowaniu. O tym przesądza zaś cel postępowania antymobbingowego, jakim tak w kontekście art. 94³ k.p., jak i samej procedury było ujawnienie zachowań mobbingowych w miejscu pracy i ich sprawców oraz wyeliminowanie tego rodzaju praktyk i zapobieganie im na przyszłość. Przedmiotem zainteresowania osób prowadzących postępowanie powinny być zatem powyższe okoliczności. Uwaga prowadzących postępowanie winna skupiać się na stwierdzeniu faktu mobinngu i zdemaskowaniu jego sprawców, a nie na osobie poszkodowanej. Tymczasem z poczynionych przez Sądy ustaleń wynika, że A.K. nie kontaktowała się ze wskazanymi w skardze powódki osobami mającymi potwierdzić stawiane przez nią zarzuty dotyczące mobbigu ze strony przełożonych, natomiast głównym obiektem jej zainteresowania stała się sama skarżąca, którą – jak wyjaśnił w rozmowie z powódką dyrektor M. C. – zamierzała poddać badaniu psychologicznemu dla zdiagnozowania depresji i wypalenia zawodowego. A zatem to nie fakt mobbingu w miejscu pracy, jego przejawy i okoliczności stały się wiodącym tematem postępowania wyjaśniającego, lecz stan zdrowia psychicznego ofiary tego procederu. Nasuwa się pytanie, jaki był cel poddawania powódki badaniom pod kątem wypalenia zawodowego. Czy rzeczywiście chodziło o ujawnienie i wyeliminowanie zachowań mobbingowych, w których skarżąca upatruje przyczyny swoich kłopotów zdrowotnych, czy poszukiwanie innego – poza mobbingiem – ich źródła. Dla potwierdzenia zasadności zarzutów powódki w kwestii samego mobbingu możliwe było zaś przekazanie osobie prowadzącej postępowanie wyjaśniające animizowanego tekstu zgłoszenia. Nawet jeśli zamiarem pracodawcy było zniwelowanie skutków stosowanych wobec powódki praktyk mobbingowych, to nie powinien czynić tego bez jej zgody. Możliwe było zaoferowanie skarżącej pomocy psychologicznej, jednak tylko od jej woli zależało, czy skorzysta z tej propozycji. Z zebranego materiału dowodowego wynika zaś, że powódka w tym czasie pozostawała pod opieką lekarzy właściwej specjalności i nie była zainteresowana oferowaną jej pomocą psychologiczną, a perspektywa osobistych kontaktów z przedstawicielami pracodawcy wywoływała u niej lęk i stres, stąd lekarze odradzali jej udziału w takich spotkaniach. Udostępnienie A. K. zawartych w zgłoszeniu alertowym informacji o stanie zdrowia powódki nie tylko nie było konieczne dla przeprowadzenia postępowania wyjaśniającego odnośnie do zgłoszonych przez nią praktyk mobbingowych, ale zapoczątkowało działania pracodawcy, które stało się dla skarżącej źródłem dodatkowej udręki. Pozostawała bowiem niepewność, czy jej dane osobowe, jako sygnalisty zachowań mobbingowych, nie zostały ujawnione innym – poza A. K. – osobom, w tym samym mobberom i czy nie spotkają jej z ich strony dalsze szykany. Nadto udostępnienie innym osobom poza dyrektorem departamentu ryzyka operacyjnego, bez zgody powódki, informacji o jej stanie zdrowia psychicznego było niewątpliwie krępujące dla skarżącej i mogło rodzić obawy o jej dalszą pozycję zawodową. Udostępnienie tych danych osobowych nie tylko naruszało prywatność powódki, ale także jej cześć zewnętrzną i wewnętrzną (również pracowniczą), gdyż godziło w dobre imię skarżącej w środowisku pracy oraz mogło obniżać jej poczucie wartości jako pracownika.

Rację ma również skarżąca zarzucając nieprawidłowości w samym powierzeniu przez (...) Bank S.A. w W. A. K. przetwarzania danych osobowych pracowników. Zgodnie z art. 31 ust. 1, 2, 4 i 4 ustawy o o.d.o., administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie, przy czym przed rozpoczęcie przetwarzania danych obowiązany jest podjąć przewidziane przepisami ustawy środki zabezpieczające zbiór danych, ponosząc w tym zakresie odpowiedzialność jak administrator danych. W razie umownego powierzenia przetwarzania danych odpowiedzialność za przestrzeganie przepisów ustawy spoczywa nadal na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową. Jak słusznie zauważyła skarżąca, podstawą powierzenia przez pozwanego jako pracodawcę innemu podmiotowi przetwarzania danych osobowych pracowników w celu prowadzenia obsługi, w tym również obsługi w zakresie procedury wyjaśniającej zarzuty o mobbing, powinna być pisemna umowa, zawierająca wskazanie celu i zakresu, w jakim dane osobowe będą przetwarzane.

Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych, niż mająca upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, na przykład w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu. Ustawa o o.d.o. nie określa wymagań kwalifikacyjnych, jakie powinna spełniać osoba upoważniona do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych osobowych dowolnym podmiotom. Zgodnie bowiem z art. 26 ust. 1 ustawy o o.d.o., administrator danych jest obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych. Z kolei upoważnienie administratora danych do przetwarzania danych osobowych zgromadzonych w zbiorze nie czyni upoważnionego administratorem danych, nie wyposaża go w przypisaną tylko administratorowi kompetencję samodzielnego decydowania o celach i środkach przetwarzania danych osobowych. Osoba upoważniona dokonuje operacji na danych osobowych tylko w zakresie wyznaczonym przez administratora. Nie można na taką osobę scedować funkcji administratora danych, którym pozostaje podmiot wymieniony w art. 3 ust. 1 ustawy o o.d.o. Zgodnie zaś z art. 37 i art. 39 ustawy o o.d.o., pracodawca jako administrator danych, wystawiając konkretnej osobie upoważnienie do przetwarzania danych osobowych, powinien określić, do jakich danych osobowych będzie miała dostęp, by prawidłowo wykonywać swoje obowiązki. Powinien też czuwać, aby osoby upoważnione do przetwarzania danych faktyczne miały dostęp do danych osobowych tylko w zakresie udzielonych upoważnień i nie miały wglądu w dane, do których nie są uprawnione. Należy zgodzić się ze skarżącą, że w niniejszej sprawie nie ustalono, aby zawarta przez pozwanego z A.K. umowa i udzielone jej upoważnienie do przetwarzania danych osobowych zawierały wszystkie powyższe postanowienia. Brak takich postanowień umownych aktualizuje zaś odpowiedzialność pozwanego, jako administratora danych osobowych, za naruszenie dóbr osobistych powódki, przez ujawnienie - z naruszeniem przepisów ustawy o o.d.o. - jej danych osobowych (w tym danych wrażliwych) innemu podmiotowi, któremu zlecono prowadzenie postępowania antymobbingowego.

Podzielając kasacyjne zarzuty naruszenia prawa materialnego, Sąd Najwyższy z mocy art. 398¹⁵ § 1 k.p.c. oraz art. 108 § 2 k.p.c. w związku z art. 398²¹ k.p.c. orzekł zatem jak w sentencji.