Wyrok z dnia 2017-05-29 sygn. II SA/Wa 2222/16

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski, Sędziowie WSA Sławomir Antoniuk (spr.), Adam Lipiński, Protokolant starszy sekretarz sądowy Aneta Duszyńska, po rozpoznaniu na rozprawie w dniu 29 maja 2017 r. sprawy ze skargi M.N. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2016 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2, art. 25 ust. 2 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2015 r., poz. 2135 ze zm.), utrzymał w mocy własną decyzję z dnia [...] maja 2016 r. nr [...] odmawiającą uwzględnienia wniosku M. N. o nakazanie Pracowni [...] w L. zaprzestania niezgodnego z prawem przetwarzania danych osobowych wnioskodawcy.

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, iż M. N. wniósł skargę na Miejską Pracownię [...] w L. (dalej jako Pracownia) zarzucając temu podmiotowi niedopełnienie wobec niego obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922). Podniósł, iż administrator danych Miejskiej Pracowni [...] w L. uzyskał jego dane osobowe od osoby trzeciej w postaci imienia, nazwiska, adresu zamieszkania oraz numeru telefonu, w celu poinformowania o wypadku przy pracy jednego z pracowników Miejskiej Pracowni [...]. Nastąpiło to bez wiedzy skarżącego i z pominięciem obowiązku informacyjnego wynikającego z art. 25 ww. ustawy. Zainteresowany nie miał możliwości wniesienia sprzeciwu, poprawienia danych osobowych, czy też skorzystania z praw wynikających z art. 32 tej ustawy. W ocenie wnioskodawcy, Pracownia naruszyła jego prawo do ochrony danych osobowych poprzez niedopełnienie obowiązku informacyjnego z art. 25 ustawy. Z tego też względu wniósł o przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień oraz usunięcie jego danych osobowych.

W toku przeprowadzonego postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych ustalił, że dane osobowe skarżącego (imię, nazwisko, adres, telefon) zostały pozyskane na podstawie art. 2981 Kodeksu pracy oraz wydanego na jego podstawie rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. z 1996 r. Nr 62, poz. 286 ze zm.). Zostały one pozyskane przez Pracownię w wyniku wypełnienia kwestionariusza osobowego przez pracownika Pracowni - L. K. w celu wskazania osoby, którą pracodawca powinien zawiadomić w razie wypadku przy pracy. Pracownia przetwarza dane osobowe skarżącego w zakresie: imię i nazwisko, adres i numer telefonu, a także adres e-mail, który pozyskała na podstawie prowadzonej ze skarżącym korespondencji. Pracownia realizuje zadania na zlecenie Prezydenta Miasta L., który sprawuje nadzór merytoryczny nad jej działalnością za pośrednictwem Dyrektora Wydziału [...] Urzędu Miasta L. Do obowiązków Dyrektora Pracowni należy w szczególności wykonywanie funkcji pracodawcy w stosunku do pracowników Pracowni. Zgodnie z zarządzeniem Prezydenta Miasta L. z dnia [...] czerwca 2014 r. nr [...] w sprawie zatwierdzenia regulaminu organizacyjnego Miejskiej Pracowni [...] w L., Pracownia jest pracodawcą w rozumieniu Kodeksu pracy ( § 1 pkt 3) oraz jest miejską jednostką organizacyjną nieposiadającą osobowości prawnej, działającą w formie jednostki budżetowej i rozliczającą się bezpośrednio z budżetem miasta L. (§ 5 pkt 1).

Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] maja 2016 r. odmówił uwzględnienia wniosku.

Pismem z dnia [...] maja 2016 r. M. N. wniósł o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] maja 2016 r. podnosząc, iż kwestionowana decyzja została wydana w sposób rażąco naruszający prawo, a zwłaszcza przepisy k.p.a. Uchybienia, których dopuścił się organ podczas wydawania decyzji, mogły mieć istotny wpływ na wynik sprawy.

Uznając zarzuty wniosku odwoławczego za niezasadne, Generalny Inspektor Ochrony Danych Osobowych powołanym na wstępie rozstrzygnięciem utrzymał zaskarżoną decyzję w mocy.

W motywach rozstrzygnięcia organ Ochrony Danych Osobowych podkreślił, iż Pracownia pozyskała dane osobowe skarżącego (imię, nazwisko, adres, telefon) od pracownika tej Pracowni, który wypełniając formularz kwestionariusza osobowego wpisał dane osobowe skarżącego, jako osoby, którą należy powiadomić w razie wypadku przy pracy. Wzór tego kwestionariusza osobowego stanowi załącznik nr 1A do rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. z 1996 r. Nr 62, poz. 286 ze zm.), wydanego na podstawie art. 2981 k.p. Zgodnie ze wzorem kwestionariusza osobowego dla pracownika, w pkt 6 podaje się osobę, którą należy powiadomić w razie wypadku. tj. jej imię i nazwisko, adres i telefon. Tym samym dane osobowe skarżącego są przetwarzane przez Pracownię na podstawie przepisów prawa, tj. w oparciu o art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Zgodnie zaś z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawiania; 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Stosownie zaś do art. 25 ust. 2 ustawy, przepisu ust. 1 nie stosuje się m.in., gdy dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, czyli gdy dane są przetwarzane przez organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne na podstawie przepisów prawa. Jak wynika z zebranego w sprawie materiału dowodowego, Pracownia jest miejską jednostką organizacyjną nieposiadającą osobowości prawnej, działającą w formie jednostki budżetowej i przetwarza dane osobowe skarżącego na podstawie przepisów prawa, tj. rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika, wydanego na podstawie art. 2981 k.p. Oznacza to, że Pracownia nie miała obowiązku poinformowania skarżącego o: 1) adresie swojej siedziby i pełnej nazwie; 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści jego danych oraz ich poprawiania; 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy. Tym samym w ocenie Generalnego Inspektora Ochrony Danych Osobowych Pracownia nie naruszyła art. 25 ustawy.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2016 r. stała się przedmiotem skargi wniesionej przez M. N. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej oraz poprzedzającej ją decyzji, a także zasądzenie zwrotu kosztów postępowania, skarżący podniósł zarzut naruszenia przepisów postępowania w stopniu mającym wpływ na wynik sprawy, tj. art. 7, art. 8. art. 77 § 1, art. 80, art. 107 § 3 k.p.a.

W uzasadnieniu skargi skarżący podniósł, iż Generalny Inspektor Ochrony Danych Osobowych rozpoznał sprawę tylko częściowo, w zakresie naruszenia art. 25 ustawy o ochronie danych osobowych, tj. co do obowiązku informacyjnego. Natomiast drugi zarzut naruszenia art. 26 § 1 pkt 2, poprzez przetwarzanie danych osobowych skarżącego niezgodnie z celem, dla którego były zbierane, został całkowicie pominięty i nierozpoznany przez organ merytorycznie. Samo bowiem stwierdzenie, że administrator danych osobowych nie ma obowiązku dopełniania powinności informacyjnej, zgodnie z art. 25, nie oznacza, że organ Ochrony Danych Osobowych mógł rozpatrzyć tylko część skargi i pominąć drugi zarzut kierowany pod adresem Pracowni.

Organ rozpoznając sprawę nie przestrzegał reguł procesowych zawartych w powołanych na wstępie przepisach k.p.a., bowiem w istocie nie zawarł w uzasadnieniach swoich decyzji własnej oceny podstawowego i obligatoryjnego dowodu przeprowadzonego w sprawie. Organ nie odniósł się do zastrzeżeń, co do naruszenia art. 26 ustawy o ochronie danych osobowych i nie rozpoznał sprawy w jej całokształcie. Niedopuszczalne jest bowiem ustosunkowanie się tylko do jednego z zarzutów całkowicie pomijając drugi, lekceważąc zarzuty oraz nie odnoszenie się do nich w wydawanych przez organ decyzji. Organ bowiem pomimo przewlekłego prowadzenia postępowania (przez ponad rok) wybiórczo potraktował skargę na przetwarzanie danych osobowych, a w samej decyzji ostatecznej nie podał podstawy prawnej, ani uzasadnienia faktycznego nieuwzględnienia pozostałych zarzutów skargi.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Odnosząc się do zarzutów skargi, w całości podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji. Dodał, iż zarzut, dotyczący nierozpatrzenia spraw w kontekście art. 26 ustawy o ochronie danych osobowych, nie został sformułowany przez skarżącego na etapie wniosku o ponowne rozpatrzenie sprawy. Skarżący zakwestionował zakres wydanego przez organ rozstrzygnięcia dopiero na etapie skargi do Sądu.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (tekst jedn. Dz. U. z 2016 r. poz. 1066 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem.

Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżona decyzja została wydana bez istotnego naruszenia przepisów prawa.

Stosownie do treści art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2015 r. poz. 2135 ze zm.), ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, zaś według art. 7 pkt 2 ustawy, za przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, a warunki legalności każdej z tej czynności zostały ustanowione w art. 23 ust. 1 ustawy. I tak, w myśl art. 23 ust. 1 pkt 2 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Kodek pracy w art. 94 pkt 9a nakłada na pracodawcę obowiązek prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników. Obowiązki wynikające z pkt 9a szczegółowo określa wydane na podstawie art. 2981 k.p. rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 ze zm.). Akta osobowe pracownika składają się z trzech części. W części A umieszcza się dokumenty zgromadzone w związku z ubieganiem się pracownika o zatrudnienie. W szczególności chodzi o kwestionariusz osobowy, świadectwo pracy od poprzedniego pracodawcy i dokumenty dotyczące kwalifikacji pracownika.

Zgodnie z § 1 ust. 1 pkt 1 powołanego rozporządzenia, pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia m.in. wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie. Pomocniczy wzór kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie stanowi załącznik nr 1 do rozporządzenia (ust. 2a). Na podstawie zaś ust. 2b tego §, pracodawca może żądać od pracownika złożenia kwestionariusza osobowego w przypadkach, o których mowa w art. 221 § 2 Kodeksu pracy. Pomocniczy wzór kwestionariusza osobowego dla pracownika stanowi załącznik nr 1a do rozporządzenia (ust. 4). Wzór kwestionariusza w pkt 6 przewiduje podania osoby, którą należy powiadomić w razie wypadku. tj. jej imię i nazwisko, adres i telefon.

Z powyższych przepisów jednoznacznie wynika, iż pracodawca ma obowiązek zgromadzenia informacji o osobie, z którą nawiązał stosunek pracy. Nie może też ingerować w zakres gromadzonych informacji, bowiem ten wynika z przepisów prawa pracy. Skoro zatem pracownik podaje dane osobowe osoby, którą należy poinformować w razie wypadku tego pracownika, nie jest rolą pracodawcy weryfikowanie, lub bez wiedzy zainteresowanego, usuwanie tych danych z jego akt osobowych. Trzeba mieć świadomość, iż pracodawca podlega odpowiedzialności za nieprowadzenie dokumentacji związanej ze stosunkiem pracy oraz akt osobowych pracowników, o czym stanowi art. 281 pkt 6 k.p. Spoczywa zaś na nim obowiązek prowadzenia przedmiotowej dokumentacji w sposób w jaki określają to przepisy prawa pracy. Tym samym Generalny Inspektor Ochrony Danych Osobowych w sposób prawidłowy przyjął, iż dane osobowe skarżącego (ujawnione w kwestionariuszu osobowych pracownika jako dane osoby, którą należy powiadomić w razie wypadku) są przetwarzane przez Pracownię na podstawie przepisów prawa, w oparciu o przesłankę legalizująca z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Wobec tego nie sposób w działaniu Pracowni (pracodawcy w rozumieniu przepisów k.p.) dopatrzyć się naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Godzi się także zauważyć, iż mając na względzie postanowienia art. 25 ust. 2 powołanej ustawy, administrator danych nie był w niniejszej sprawie obowiązany do realizacji względem skarżącego obowiązku informacyjnego, o którym mowa w ust. 1 tego art.

Odnosząc się do zarzutu skargi mówiącej o pominięciu przez organ Ochrony Danych Osobowych części wniosku sygnalizującego naruszenie przez Pracownię art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych trzeba zwrócić uwagę, iż skarżący w swej skardze - wniosku z dnia [...] czerwca 2015 r. zasygnalizował nieprawidłowe pozyskanie i przetwarzane przez Pracownię jego danych osobowych na potrzeby informowania o wypadku i braku możliwości wpływu na te dane. W nawiązaniu do naruszenia art. 26 tej ustawy skarżący wskazał jedynie okoliczności w jakich dowiedział się o przetwarzaniu jego danych osobowych przez Pracownię. Podał, iż: "O tym, że takowe dane są przetwarzane dowiedziałem się podczas złamania przez Administratora danych art. 26 tj. użycia moich danych do celów niezgodnych, dla których były zbierane poprzez użycie ich w dniu [...] lutego 2015 r. do celów kontaktowych z ich pracownikiem". Z powyższego zapisu nie wynika, aby żądał on przeprowadzenie ustaleń na okoliczność użycia danych osobowych skarżącego we wskazanym dniu, jak też nie wskazał na czym owo naruszenie prawa miałoby polegać. Tym samym nie sposób Generalnemu Inspektorowi zarzucić naruszenia wskazanych w skardze przepisów k.p.a., skoro w toku postępowania, a przede wszystkim we wniosku o ponowne rozpatrzenie sprawy (znając już ustalenia organu), skarżący nie zasygnalizował swej woli co do zakresu rozpoznania sprawy. Formułując zarzut nierozparzenia całości wniosku dopiero w skardze, skarżący również nie podał w jakich zdarzeniach i działaniach administratora danych osobowych upatruje on naruszania art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

W tym stanie rzeczy nie sposób przyjąć, iż sprawa zainicjowana wnioskiem skarżącego z dnia [...] czerwca 2015 r. została załatwiona przez Generalnego Inspektora Ochrony Danych Osobowych z naruszeniem dyspozycji art. 7, art. 8, art. 77 § 1 i art. 80 k.p.a. Samo zaś uzasadnienie zaskarżonej decyzji spełnia wymogi zakreślone art. 107 § 3 k.p.a. Sąd zaś dokonuje kontroli zaskarżonej decyzji według stanu faktycznego i prawnego istniejącego w dniu jej wydania.

Rację natomiast należy przyznać skarżącemu, że postępowanie w rozpoznawanej sprawie było prowadzone przez organ z naruszeniem terminów przewidzianych w art. 35 k.p.a., co potwierdził już Sąd wyroku z dnia 24 sierpnia 2016 r. sygn. akt II SAB/Wa 180/16. Jednakże w niniejszym postępowaniu oceniającym decyzję Generalnego Inspektora, to uchybienie nie miało istotnego wpływu na wynik sprawy w rozumieniu art. 145 § 1 pkt 1) lit. c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2016 r. poz. 718 ze zm.).

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.