drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 151/10 - Wyrok WSA w Warszawie z 2010-06-18, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 151/10 - Wyrok WSA w Warszawie

Data orzeczenia
2010-06-18 orzeczenie prawomocne
Data wpływu
2010-01-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Mierzejewska /sprawozdawca/
Iwona Dąbrowska /przewodniczący/
Olga Żurawska-Matusiak
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1476/10 - Wyrok NSA z 2011-09-06
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2002 nr 101 poz 926 art. 23 ust. 1 pkt 1, art. 26 ust. 1 pkt 3
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 1974 nr 24 poz 141 art. 22/1
Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska, Sędziowie WSA Anna Mierzejewska (spr.),, Olga Żurawska-Matusiak, Protokolant Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 18 czerwca 2010 r. sprawy ze skargi Naczelnika Urzędu Skarbowego w Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2009 r. nr [...] w przedmiocie uchybień w procesie przetwarzania danych osobowych oddala skargę

Uzasadnienie

II SA/Wa 151/10

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych, decyzją nr [...] z dnia [...] września 2009 r., na podstawie art. 104 § 1 i art. 105 §. 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1, art. 24 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz .U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Naczelnika Urzędu Skarbowego w Z. z siedzibą w Z. przy ul. [...]:

1. nakazał Naczelnikowi Urzędu Skarbowego w Z. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

a. usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników przetwarzanych w celu ewidencji czasu pracy w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,

b. zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników w celu ewidencji czasu pracy w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna,

c. uwzględnienie w polityce bezpieczeństwa w opisie struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązań między nimi, systemu informatycznego o nazwie "[...]" w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,

2. w pozostałym zakresie umorzył postępowanie.

W uzasadnieniu decyzji organ podał, że GIODO przeprowadził kontrolę u Naczelnika Urzędu Skarbowego w Z. z siedzibą w Z. przy ulicy [...], w celu ustalenia zgodności danych osobowych z przepisami o ochronie danych osobowych tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W toku kontroli odebrano od pracowników Urzędu Skarbowego w Z. ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych.

Został sporządzony protokół. Ustalono, że Naczelnik Urzędu Skarbowego jako administrator danych, naruszył przepisy o ochronie danych osobowych i uchybienia te polegały na:

1. przetwarzaniu z naruszeniem przepisów prawa, danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Urzędu Skarbowego w Z. w celu ewidencji czasu pracy (art. 26 ust. 1 pkt 1 ustawy),

2. nieuwzględnieniu w polityce bezpieczeństwa, w opisie struktury zbioru danych wskazującym zawartość poszczególnych pól informacyjnych i powiązań między nimi, systemu informatycznego o nazwie "[...]" (§ 4 pkt 3 rozporządzenia),

3. niedopełnieniu wobec kandydatów do pracy w prowadzonym naborze wewnętrznym na wolne stanowiska pracy: [...], obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 3 ustawy, tj. nieinformowania ww. osób o prawie dostępu do treści swoich danych oraz ich poprawiania.

Dalej organ wskazał , że Naczelnik Urzędu Skarbowego, wyjaśnił, iż:

1. dane biometryczne w postaci charakterystycznych punktów linii papilarnych palców pracowników zostały uzyskane na podstawie ich zgody wyrażonej w postaci pisemnego oświadczenia. Natomiast art. 221 § 5 k.p. stanowi, że w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach stosuje się przepisy o ochronie danych osobowych, czyli w zakresie innych danych pracowniczych, niż wymienione w art. 221 § 1-4 k.p., zastosowanie mają przepisy ustawy o ochronie danych osobowych. W art. 221 § 1-4 k.p. nie ma mowy o danych osobowych pracownika w postaci charakterystycznych punktów linii papilarnych, lecz nie zmienia to faktu, że poprzez art. 221 § 5 k.p., pracodawca może gromadzić także i tego rodzaju dane, o ile spełniona zostanie choćby jedna z przesłanek legalizujących ich przetwarzanie. Wobec istnienia zgody pracownika, należy przyjąć, że dane osobowe w Urzędzie są przetwarzane w sposób zgodny z prawem na podstawie art. 23 ust. 1 pkt 1 ustawy, tym bardziej, że pracownicy złożyli swoje oświadczenia woli dobrowolnie, co zalegalizowało ich przetwarzanie.

2. informacje dotyczące opisu struktury zbioru danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi w systemie informatycznym o nazwie "[...]", nie zostały umieszczone w dokumencie o nazwie "Polityka Bezpieczeństwa danych osobowych w systemie informatycznym Urzędu Skarbowego w Z." w związku z brakiem tych informacji od producenta,

3. przy prowadzeniu naboru wewnętrznego na wolne stanowiska pracy w Urzędzie Skarbowym w Z. jest przestrzegany obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ustawy, znajduje to potwierdzenie m.in. w treści ogłoszenia o pracę, a ponadto nie stosowano odmowy dostępu do treści danych oraz ich ewentualnego poprawiania.

Ponadto, Naczelnik Urzędu Skarbowego wyjaśnił, że nabór pracowników został zakończony.

Dalej GIODO zważył, że stosownie do treści art. 26 ust. 1 pkt 1 ustawy, administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane były przetwarzane zgodnie z prawem.

Zgodnie z art. 221 § 1 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.) pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia. Natomiast w myśl art. 221 § 2 pracodawca ma prawo żądać od pracownika podania niezależnie od danych, o których mowa w § 1, także innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL pracownika, zaś stosownie do art. 241 § 4 pracodawca może żądać podania innych danych osobowych niż określone w § 1 i § 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Zgodnie zaś z art. 221 § 5 w zakresie nieuregulowanym w § 1-4 do danych osobowych o których mowa w tych przepisach stosuje się przepisy o ochronie danych osobowych.

Zgodnie z art. 23 ust. 1 ustawy przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:

1. osoba której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2. jest to niezbędne do zrealizowania uprawnienia i spełniania obowiązku, wynikającego z przepisu prawa,

3. jest to konieczne do realizacji umowy, gdy osoba której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5. jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych,a przetwarzanie nie narusza praw i wolności osoby której dane dotyczą.

W myśl art. 6 ust. 1 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a osobą możliwą do zidentyfikowania jest osoba której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Ustalono w toku kontroli, że w Urzędzie Skarbowym w Z. od 2006 r. do rejestracji wejść i wyjść pracowników, wykorzystywany jest system informatyczny o nazwie "[...]". Pracownicy Urzędu mają możliwość dokonania wyboru jednej spośród dwóch metod rejestracji czasu pracy w ramach systemu "[...]", tj. mogą korzystać z metody wykorzystującej odcisk linii papilarnych lub metody wykorzystującej karty służące do rejestracji czasu pracy. Do tej pory wszyscy wybrali sposób rejestracji czasu pracy za pomocą odcisków linii papilarnych. Dane dotyczące czasu pracy są następnie przepisywane do karty ewidencji czasu pracy prowadzonych w formie papierowej.

Od osób, które wyraziły zgodę na rejestrację czasu pracy wykorzystując odcisk linii papilarnych, pozyskany został obraz linii papilarnych. Z tego obrazu system "[...]" automatycznie typuje wybrane cechy odcisku palca i przetwarza na kod binarny. Do kodu przypisywane jest imię i nazwisko pracownika, które jest przetwarzane w bazie [...].

Dalej organ stwierdził, że przetwarzanie danych osobowych w zakresie obrazu linii papilarnych przetworzonych na kod cyfrowy odbywa się z naruszeniem przepisów prawa. Stosownie do treści art. 221 Kodeksu pracy, pracodawca może żądać od pracownika, podania danych tylko w takim zakresie, jaki został wskazany w powołanym przepisie. Przepis art. 221 § 1 i § 2 Kodeksu pracy dopuszcza bowiem żądanie od pracownika podania wyłącznie danych zaliczonych do określonego w tym przepisie katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jednak jeden wyjątek (art. 221 § 4 k.p.), tj. pracodawca może żądać podania innych danych osobowych niż określone w art. 221 § 1 i § 2 k.p., jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa. Do przedmiotowego stanu faktycznego nie znajdują zastosowania przepisy prawa, które zezwalałyby na przetwarzanie w celu prowadzenia rejestracji czasu pracy innych danych osobowych niż wymienione w art. 221 § 1 i § 2 k.p. Powołany przepis został wprowadzony w ramach dostosowania wskazanego aktu prawnego do art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej, zgodnie z którym nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby.

Dalej podkreślił, że powoływanie zgody wyrażonej przez pracowników jako przesłanki legalizującej przetwarzanie danych biometrycznych w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny. Złożenie przez pracownika oświadczenia, które jest wyrażeniem zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Pracownik nie inicjuje podania tych danych, lecz zwraca się o nie pracodawca. Podkreślił ponadto, że jedną z podstawowych cech stosunku pracy jest podporządkowanie pracownika pracodawcy w zakresie dotyczącym pracy (art. 22 § 1 k.p.) zatem zgoda może być ograniczona z uwagi na nierówność stron. Wskazał również, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy. W ocenie organu Naczelnik Urzędu Skarbowego w Z. narusza zasadę adekwatności z art. 26 ust. 1 pkt 3 ustawy.

Wprowadzenie tej zasady do krajowej ustawy o ochronie danych osobowych jest wynikiem implementacji postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 25 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 21 z dnia 23 listopada 1995 r.), która w art. 6 ust. 1 lit. c ustanawia zasadę proporcjonalności polegającą na nałożeniu na administratorów danych obowiązku przetwarzania danych prawidłowych, stosownych oraz nadmiernych ilościowo w stosunku do celów, dla których zostały zgromadzone i dalej przetworzone.

Zgodnie z § 4 pkt 3 rozporządzenia polityka bezpieczeństwa powinna zawierać opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi.

W toku kontroli ustalono, że prowadzona przez Naczelnika Urzędu Skarbowego polityka bezpieczeństwa nie spełnia wymagań o których mowa w § 4 pkt 3 rozporządzenia, bowiem w dokumencie "Polityka Bezpieczeństwa danych osobowych w systemie informatycznym Urzędu Skarbowego w Z.", w opisie struktury zbioru danych wskazującym zawartość poszczególnych pól informacyjnych i powiązań między nimi, nie został uwzględniony system informatyczny o nazwie "[...]".

Natomiast wobec informacji, że nabór został zakończony, zarzut z art. 24 ust. 1 pkt 3 ustawy, stał się bezprzedmiotowy i w tym zakresie na podstawie art. 105 § 1 kpa organ umorzył postępowanie.

W stosunku do powyższej decyzji Naczelnik Urzędu Skarbowego w Z. złożył wniosek o ponowne rozpatrzenie sprawy, w którym stwierdził, że gromadzenie i przetwarzanie linii papilarnych nie jest zabronione, jeżeli stoi za tym zgoda pracownika. Podkreślił, że pracownicy urzędu mieli możliwość wyboru metody rejestracji czasu pracy, a więc pracodawca nie wykorzystał faktu podporządkowania pracowników.

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] listopada 2009 r., na podstawie art. 138 § 1 pkt 1 ustawy - Kodeks postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych (oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Naczelnika Urzędu Skarbowego w Z. z siedzibą w Z. o ponowne rozpatrzenie sprawy, utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu decyzji ponad wcześniejsze argumenty wskazał, że niedopuszczalne jest, przetwarzanie danych na podstawie zgody, w sytuacji gdy przepisy ograniczają zakres przetwarzania danych, a szczególnie wówczas gdy osoba której dane dotyczą pozostaje w układzie podległości względem podmiotu któremu zgoda ma być udzielona.

Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o uchylenie zaskarżonej decyzji. W uzasadnieniu skargi wskazał, że zostały naruszone zarówno przepisy prawa jak i niewłaściwie oceniono materiał dowodowy.

W szczególności wskazał, że nie można się zgodzić z twierdzeniem, że oświadczenie woli pracownika nie stanowi przesłanki legalizującej przetwarzanie danych. Przedmiotowe oświadczenie woli podejmowane było dobrowolnie i z pełnym rozeznaniem.

W odpowiedzi na skargę organ GIODO wniósł o jej oddalenie, powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje;

Stosownie do treści art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) do rozpoznawania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości przez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.

Materialną podstawę zaskarżonej decyzji stanowi art. 26 ust. 1 pkt 1 oraz art. 24 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

W ocenie Sądu, wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za takim stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych).

Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Rozszerzenie katalogu danych określonych w art. 221 Kodeksu pracy, nie może mieć miejsca poprzez zastosowanie art. 23 ust. 1 pkt 1 ustawy o ochronie. danych osobowych, także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L z 23.11.1995 r.). Dyrektywa ta jako implementowana do polskiego systemu prawnego wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone.

Na podstawie art. 29 Dyrektywy powołano organ Konsultacyjny nazwany Grupą Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie, środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej Dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie Biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w Urzędzie Skarbowym w Z. jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

We wspomnianym dokumencie z dnia 1 sierpnia 2003 r. Grupa Robocza stwierdziła, że "pracodawca, popełnia błąd jeżeli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeżeli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody.

Mając powyższe okoliczności na uwadze, w ocenie Sądu, zaskarżona decyzja nie narusza prawa.

Mając powyższe na uwadze na podstawie art. 151 w zw. z art. 132 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji.



Powered by SoftProdukt