Aktualny

(I OSK 249/09)

Dodano: 1 grudnia 2009
www.nsa.gov.pl
Wyrok
Naczelnego Sądu Administracyjnego
z dnia 1 grudnia 2009 r.
I OSK 249/09

1. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu Pracy katalog danych , których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych , jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy , stanowiiłoby obejście tego przepisu;

2. Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych , to stwierdzić należy, że wykorzystanie danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

Naczelny Sąd Administracyjny w składzie:

 

Przewodniczący
sędzia NSA Barbara Adamiak
Sprawozdawca sędzia NSA Ewa Dzbeńska
sędzia del. WSA Wojciech Mazur
Protokolant
Urszula Radziu

po rozpoznaniu w dniu 1 grudnia 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 listopada 2008 r. sygn. akt II SA/Wa 903/08 w sprawie ze skargi L. Spółka z o.o. z siedzibą w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1/ uchyla zaskarżony wyrok i oddala skargę; 2/ zasądza od L. Spółka z o.o. z siedzibą w M. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 357 ( trzysta pięćdziesiąt siedem ) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Wyrokiem z dnia 27 listopada 2008 r., sygn. akt II SA/Wa 903/08, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi L. Spółka z o.o. z siedzibą w M., uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r., nr [...] oraz poprzedzającą ją decyzję z dnia [...] lutego 2008 r., nr [...] w zakresie pkt I 1 i 2 w przedmiocie ochrony danych osobowych.

Wyrok ten zapadł w następujących okolicznościach faktycznych i prawnych:

Decyzją z dnia [...] lutego 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez L. Sp. z o. o. z siedzibą w M., w punkcie I nakazał spółce usunięcie uchybień w procesie przetwarzania danych, poprzez:

1. usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników spółki, w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna;

2. zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników spółki, w terminie od dnia, w którym decyzja stanie się ostateczna;

3. opracowanie i wdrożenie polityki bezpieczeństwa w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna;

4. opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna.

 

W punkcie II decyzji organ w pozostałym zakresie postępowanie umorzył.
W motywach rozstrzygnięcia GIODO wyjaśnił, że w procesie przetwarzania danych osobowych spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na przetwarzaniu bez podstawy prawnej danych osobowych obejmujących przetworzone do postaci cyfrowej (kod w postaci ciągu cyfr) informacje o charakterystycznych punktach linii papilarnych palców pracowników, braku polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, niewyznaczeniu administratora bezpieczeństwa informacji.

W toku postępowania ustalono, że w spółce zostały zainstalowane czytniki linii papilarnych przy poszczególnych wejściach do budynku spółki, w którym znajdują się pomieszczenia biurowe oraz fabryka. Ewidencja czasu pracy odbywa się zarówno przy użyciu kart radiowych oraz rejestracji za pomocą czytników linii papilarnych. Dane biometryczne w postaci odcisków palców są zbierane na podstawie zgody, wyrażonej przez pracownika w postaci pisemnego oświadczenia.

Zdaniem organu, przetwarzanie danych osobowych pracowników w postaci charakterystycznych punktów linii papilarnych odbywa się bez podstawy prawnej. GIODO wskazał także, że w toku czynności kontrolnych ustalono, że spółka nie prowadzi dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Ponadto, GIODO wyjaśnił, że w trakcie postępowania usunięte zostało uchybienie w procesie przetwarzania danych osobowych stanowiące przedmiot postępowania, poprzez wyznaczenie w spółce administratora bezpieczeństwa informacji, dlatego w tym zakresie należało je umorzyć.

Decyzją z dnia [...] kwietnia 2008 r., nr [...] Generalny Inspektor Ochrony Danych Osobowych, utrzymał w mocy decyzję z dnia [...] lutego 2008 r., nr [...] w zaskarżonej części (pkt I 1 i 2), nie znajdując podstaw do uwzględnienia wniosku.
Wojewódzki Sąd Administracyjny w Warszawie, uchylając zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lutego 2008 r., zakresie pkt I 1 i 2 stwierdził, iż prawidłowo Generalny Inspektor Ochrony Danych Osobowych uznał, że przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników skarżącej spółki są ich danymi osobowymi. Przy takiej ocenie linii papilarnych w świetle przepisów ustawy o ochronie danych osobowych koniecznym było ustalenie, czy tego rodzaju dane osobowe pracowników przetwarzane są przez spółkę w sposób legalny.

Rozpoznający sprawę Wojewódzki Sąd Administracyjny w Warszawie nie podzielił stanowiska organu, że ich przetwarzanie odbywa się bez podstawy prawnej.

W ocenie WSA dane biometryczne w postaci odcisków linii papilarnych palców pracowników zostały uzyskane na podstawie zgody, wyrażonej przez pracownika w postaci pisemnego oświadczenia, które nie ma charakteru blankietowego (ogólnego), lecz dotyczy konkretnej, kwestii legalnego przetwarzania danych osobowych w postaci charakterystycznych punktów linii papilarnych. Z oświadczenia tego wprost wynika, że osoba je składająca wyraża zgodę na przetwarzanie jej danych osobowych, którymi w tym przypadku są jej linie papilarne.

Przepis art. 23 ust. 1 pkt 1 powołanej ustawy wskazuje zgodę osoby, której dane dotyczą, jako legalną przesłankę przetwarzania danych osobowych, co z punktu widzenia kompetencji GIODO wystarcza do uznania, że dane osobowe przetwarzane są zgodnie z prawem. Organ ochrony danych osobowych nie jest uprawniony do kwestionowania złożonego oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych, gdyż w ten sposób wykracza poza swoje ustawowe obowiązki. Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych nie podlega ocenie GIODO na płaszczyźnie cywilistycznej i wywołuje skutki prawne do czasu, dopóki nie zostanie odwołane, cofnięte bądź zakwestionowane w formie i trybie przewidzianym przez prawo.

Pomimo prawidłowych ustaleń, co do istnienia oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych, złożonych przez pracowników spółki, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że nie wyczerpują one legalnej podstawy przetwarzania danych osobowych. Tego rodzaju wniosek organu, zdaniem Sądu I instancji, jest nie tylko błędny, ale dowodzi, że organ kwestionuje złożone oświadczenia, "poszukując" innej przesłanki przetwarzania danych osobowych, a czyni to poprzez stosowanie norm prawa pracy, które - w jego ocenie - zapewniają dalej idącą ochronę danych pracowniczych, aniżeli ustawa o ochronie danych osobowych.

Sąd zwrócił uwagę na przepis art. 221 § 5 kp, który stanowi, że w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych. Oznacza to, że w zakresie innych danych pracowniczych, niż wymienione w art. 221 § 1-4 kp, zastosowanie mają przepisy ustawy o ochronie danych osobowych.

Wobec powyższego uznał, że pracodawca żąda jedynie tych danych, które wymaga od pracownika prawo pracy i pracodawca może żądać od pracownika także danych, które wymagane są przez inne przepisy prawa. W przepisie art. 221 § 1-4 kp nie ma mowy o danych osobowych pracownika w postaci linii papilarnych, nie zmienia to jednak faktu, że - poprzez art. 221 § 5 kp - pracodawca może gromadzić także i tego rodzaju dane, o ile spełniona zostanie choćby jedna z przesłanek legalizujących ich przetwarzanie. Stosunek obu regulacji wskazuje, że jeśli chodzi o dane pracownika takie, jak linie papilarne czy wzór siatkówki oka, pobieranie tych danych, ich gromadzenie, czyli przetwarzanie - co do zasady - nie jest zabronione, lecz odbywać się musi z poszanowaniem przepisów ustawy o ochronie danych osobowych. Nie można wobec tego przyjąć, że normy prawa pracy zapewniają dalej idącą ochronę informacji o pracowniku, aniżeli ustawa o ochronie danych osobowych, gdyż to właśnie w świetle jej przepisów winna być prowadzona kontrola prawidłowości przetwarzania innych danych, niż wymienione w art. 221 § 1-4 kp.

Konkludując, Sąd podkreślił, że przesłanki z art. 23 ust. 1 przedmiotowej ustawy mają charakter autonomiczny i niezależny. Stanowią przy tym swoistą gradację podstaw legalnego przetwarzania danych osobowych, poczynając od zgody osoby, której dane dotyczą, kończąc zaś na usprawiedliwionych celach administratorów danych lub odbiorców danych. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za prawnie dopuszczalne i w sytuacji istnienia którejś z podstaw, nie ma potrzeby "poszukiwania" kolejnej (innej) przesłanki legalnego przetwarzania danych. W przypadku istnienia zgody na przetwarzanie danych osobowych, organ ochrony danych osobowych winien przyjąć, że dane osobowe przetwarzane są w sposób legalny i zgodny z prawem.

Skargę kasacyjną od powyższego wyroku, uzupełnioną pismem z dnia 21 maja 2009 r., wniósł Generalny Inspektor Ochrony Danych Osobowych. Zaskarżając orzeczenie w całości, wniósł o jego uchylenie i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie kosztów postępowania, według norm przepisanych.

Wnoszący skargę kasacyjną zarzucił wyrokowi Sądu I instancji naruszenie przepisów prawa materialnego art. 221 § 5 kp w związku z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) przez błędną ich wykładnię i niewłaściwe zastosowanie, polegające na uznaniu, że przepisy powyższe zezwalają na przetwarzanie wszelkich danych osobowych w przypadku uzyskania zgody pracownika, którego dotyczą.

W uzasadnieniu kasator wskazał, że Generalny Inspektor Ochrony Danych Osobowych wydając zaskarżone decyzje zastosował wykładnię przepisów Kodeksu pracy oraz ustawy o ochronie danych osobowych odmienną od prezentowanej w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie. W art. art. 221 § 1, § 2 i § 4 kp ustawodawca wskazał, jakich danych osobowych pracodawca ma prawo żądać od pracownika. Brzmienie powołanych przepisów jednoznacznie wskazuje na możliwość przetwarzania wyłącznie tych danych osobowych, których zbierania dopuszczają wskazane przepisy. Użyte w nich słowo "żądać" odnosi się do czynności pozyskania danych osobowych, a co za tym idzie do dalszego ich przetwarzania. Podstawę prawną przetwarzania danych osobowych pracowników stanowią zatem powołane przepisy Kodeksu pracy, wskazujące jednocześnie zakres danych, których zbieranie jest dozwolone.

Natomiast interpretacja art. 221 § 5 Kodeksu pracy powinna, w ocenie Generalnego Inspektora Ochrony Danych Osobowych, polegać na stwierdzeniu, że przepisy ustawy o ochronie danych osobowych stosuje się tylko w odniesieniu do kwestii nieuregulowanych w poprzedzających paragrafach tego artykułu. Art. 221 § 5 Kodeksu pracy odsyła do przepisów ustawy o ochronie danych osobowych, w takim znaczeniu, że w innych kwestiach przez niego nieuregulowanych, należy stosować przepisy tej ustawy w odniesieniu do danych osobowych, których zakres został wyznaczony przepisami Kodeksu pracy. Wobec tego niedopuszczalne jest usankcjonowanie w oparciu o inne przesłanki, tj. wymienione w art. 23 ust. 1 lub art. 27 ust. 2 ustawy o ochronie danych osobowych, zbierania przez pracodawcę innych danych, niż te, o których mowa w przepisach Kodeksu pracy.

Ponadto, zgoda na przetwarzanie danych, nie może stanowić podstawy do pozyskania innych danych osobowych pracownika. Nie jest zatem zasadny zarzut przedstawiony przez Sąd I instancji, że Generalny Inspektor oceniał na gruncie prawa cywilnego oświadczenie woli o wyrażeniu zgody na przetwarzanie danych, a tym samym wykraczał poza zakres swoich kompetencji. Wydając zaskarżone decyzje organ nie badał ww. cech oświadczenia woli wyrażonego przez pracowników L. Sp. z o.o. a jedynie stwierdził, że przetwarzanie danych na podstawie tej zgody jest niedopuszczalne.

Jednocześnie wnoszący skargę kasacyjną podniósł, że działanie polegające na zbieraniu przez pracodawców danych pracowników, które wykraczają poza zakres wskazany w Kodeksie pracy, stanowi ingerencję w ich prywatność, a tym samym sprzeciwia się normie konstytucyjnej.

Generalny Inspektor Ochrony Danych Osobowych podkreślił również, że konsekwencją uznania zgody za przesłankę pozwalającą na zbieranie danych pracowników, jest konieczność dokonania oceny, czy została ona wyrażona w sposób dobrowolny. W relacji zachodzącej między pracownikiem a pracodawcą występują okoliczności wpływające na brak równowagi, które sprzyjają wymuszeniu zgody, a tym samym pozbawiają ją przymiotu dobrowolności.

Naczelny Sąd Administracyjny zważył, co następuje:

w sprawie nie zachodzą przesłanki nieważności postępowania sądowoadministracyjnego wymienione w art. 183 § 2 ustawy z dnia 30 sierpnia Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153 poz.1270 ze zm.) zwanej dalej p.p.s.a. Oznacza to związanie Sądu podstawami, przytoczonymi w skardze kasacyjnej wymienionymi w art. 174 p.p.s.a. Podstawy te określają kierunek postępowania Naczelnego Sądu Administracyjnego. Oceniana w tym zakresie skarga kasacyjna zasługuje na uwzględnienie.

Wojewódzki Sąd Administracyjny w Warszawie w kontrolowanym wyrok uznał, że wyrażenie zgody przewidziane w art. 23 ust.1 pkt.1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U.nz 2002r. Nr 101 poz. 926 ze zm.) legalizuje pobieranie i przetwarzanie przez pracodawcę danych osobowych pracownika, w tym wypadku danych biometrycznych.

Naczelny Sąd Administracyjny nie podziela tego poglądu i stwierdza, że wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.
Rozszerzenie katalogu danych określonych w art. 221 Kodeksu pracy nie może mieć miejsca poprzez zastosowanie art. 23 ust.1 pkt. 1 ustawy o ochronie danych osobowych, także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UEL z 23 11.1995r.) Dyrektywa ta jako implementowana do polskiego systemu prawnego wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone.

Na podstawie art. 29 Dyrektywy powołano organ konsultacyjny nazwany Grupę Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie, środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej Dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003r. dokumencie roboczym w sprawie Biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszeni swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art.26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w L. sp.z.o.o. jest nieproporcjonalne do zamierzonego celu ich przetwarzania. We wspomnianym dokumencie z dnia 1 sierpnia 2003r. Grupa Robocza stwierdziła, że "pracodawca popełnia błąd jeśli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeśli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody". Naczelny Sad Administracyjny w pełni aprobuje wyrażony w dokumencie Grupy Roboczej pogląd,

W świetle powyższych rozważań zarzut naruszenia art. 221 Kodeksu pracy w zw. z art. 23 ust. 1 pkt. 1 cytowanej ustawy z jest uzasadniony co prowadzi i do uchylenia wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i oddalenia skargi na podstawie art. 188 p.p.s.a.

 

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x