Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk (spr.), Sędzia WSA Maria Werpachowska, Sędzia WSA Andrzej Kołodziej, Protokolant Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 27 listopada 2008 r. sprawy ze skargi L. Spółki z ograniczoną odpowiedzialnością z siedzibą w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lutego nr [...] w zakresie punktu I 1 i 2; 2. zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz L. Spółki z ograniczoną odpowiedzialnością z siedzibą w M. kwotę 440 zł (czterysta czterdzieści złotych), tytułem zwrotu kosztów postępowania.

Decyzją z dnia [...] lutego 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1, art. 36 ust. 2 i ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz § 3 ust. 1, ust. 2 i ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez L. Sp. z o. o. z siedzibą w M., przy ul. [...], w punkcie I nakazał Spółce usunięcie uchybień w procesie przetwarzania danych, poprzez:

1. usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki, w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna;

2. zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki, w terminie od dnia, w którym decyzja stanie się ostateczna;

3. opracowanie i wdrożenie polityki bezpieczeństwa w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna;

4. opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna.

W punkcie II decyzji organ w pozostałym zakresie postępowanie umorzył.

W motywach rozstrzygnięcia GIODO wyjaśnił, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na przetwarzaniu bez podstawy prawnej danych osobowych obejmujących przetworzone do postaci cyfrowej (kod w postaci ciągu cyfr) informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki, braku polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, niewyznaczeniu administratora bezpieczeństwa informacji.

W toku postępowania ustalono, że w Spółce zostało zainstalowanych piętnaście czytników linii papilarnych przy poszczególnych wejściach do budynku Spółki przy ul. [...] w M., w którym znajdują się pomieszczenia biurowe oraz fabryka. Ewidencja czasu pracy w Spółce odbywa się zarówno przy użyciu kart radiowych oraz rejestracji za pomocą czytników linii papilarnych. Pracownik może wybrać sposób rejestracji. Każdy pracownik posiada kartę radiową w celu dostępu do pomieszczeń objętych systemem kontroli dostępu w ramach nadanych uprawnień. Dane biometryczne w postaci odcisków palców są zbierane na podstawie zgody, wyrażonej przez pracownika w postaci pisemnego oświadczenia o następującej treści: "Ja niżej podpisany wyrażam zgodę na pobranie przez L. Sp. z o. o. wzoru moich linii papilarnych w celu wprowadzenia ich do bazy danych osób uprawnionych do wejścia i wyjścia na teren firmy L. Sp. z o. o. oraz do rozliczania czasu pracy". System rejestracji czasu pracy obejmuje czytniki kart radiowych oraz czytniki linii papilarnych wraz z oprogramowaniem służącym do pozyskiwania linii papilarnych oraz do rejestracji wejść i wyjść w oparciu o rejestrowane linie papilarne. Linie papilarne pobierane są z palców dłoni, poprzez służący do tego czytnik. Czytnik skanuje obraz linii papilarnych, nie zachowując ich obrazu w pamięci. Czytnik przesyła obraz do oprogramowania, które przetwarza obraz linii papilarnych na zapis cyfrowy (kod w postaci ciągu cyfr), na podstawie dwunastu charakterystycznych punktów zeskanowanych linii. Obraz linii papilarnych oraz ww. punktów nie jest zapisywany. Na serwerze zainstalowana jest usługa służąca do komunikacji z terminalami (czytnikami służącymi do rejestracji wejść i wyjść za pomocą linii papilarnych) oraz czytnikiem do pobierania danych biometrycznych. Informacja dotycząca każdego pracownika zapisywana jest w osobnym pliku w określonym miejscu na serwerze. W pliku tym zapisywane jest: imię i nazwisko osoby, której linie papilarne zeskanowano, numer identyfikacyjny (ID) danego wpisu oraz obszar, w którym znajdują się czytniki, z których może korzystać dany pracownik. Stosowany jest system, zgodnie z którym nadawany jest taki sam numer Card ID, jaki figuruje na karcie, którą posługuje się pracownik (od czasu, zanim wprowadzono system kontroli dostępu za pomocą linii papilarnych). Następnie dane są przesyłane z serwera do poszczególnych czytników linii papilarnych służących ewidencjonowaniu wejść i wyjść. Dane przesyłane z serwera obejmują numer ID oraz kod w postaci ciągu cyfr.

Biorąc za podstawę definicję danych osobowych, sformułowaną w art. 6 ustawy o ochronie danych osobowych, GIODO uznał, że dane pracowników Spółki, pozyskane przez nią i przetworzone do postaci zapisu cyfrowego, stanowią dane osobowe, w rozumieniu powołanego przepisu, gdyż w wyniku zestawienia kodu cyfrowego zarejestrowanego w systemie informatycznym z palcem pracownika, przyłożonym do urządzania skanującego, a także pozostałymi informacjami, możliwa jest identyfikacja tej osoby.

Organ wskazał, że stosownie do art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. W świetle art. 22 1 § 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (t. j.: Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.) pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Natomiast w myśl art. 22 1 § 2 kp pracodawca ma prawo żądać od pracownika podania, niezależnie od danych, o których mowa w § 1, także: innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL pracownika, nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL), zaś stosownie do art. 22 1 § 4 kp, pracodawca może żądać podania innych danych osobowych, niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Zdaniem organu, przetwarzanie danych osobowych pracowników w postaci charakterystycznych punktów linii papilarnych odbywa się bez podstawy prawnej. Zgodnie bowiem z art. art. 22 1 § 1 kp, pracodawca może żądać od pracownika podania danych tylko w takim zakresie, jaki został wskazany w tym przepisie. Przepis art. 22 1 § 1 i 2 kp dopuszcza żądanie od pracownika podania wyłącznie danych zaliczonych do określonego w nim katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jednak jeden wyjątek (art. 22 1 § 4 kp), tj. pracodawca może żądać podania innych danych osobowych, niż określone w art. art. 22 1 § 1 i 2 kp, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Do przedmiotowego stanu faktycznego nie znajdują zastosowania przepisy prawa, które zezwalałyby na przetwarzanie w celu prowadzenia ewidencji czasu pracy innych danych osobowych, niż wymienione w art. 22 1 § 1 i 2 kp. Powołane przepisy Kodeksu pracy zostały wprowadzone w ramach dostosowania wskazanego aktu prawnego do art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej, zgodnie z którym nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawnienia informacji dotyczących jego osoby. Złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników, o której mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych.

GIODO zaznaczył także, że zgodnie z art. 36 ust. 2 ustawy o ochronie danych osobowych, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 ww. rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1 rozporządzenia, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 3 ust. 2, dokumentację, o której mowa w § 1 pkt 1 rozporządzenia, prowadzi się w formie pisemnej, stosownie do § 3 ust. 3 rozporządzenia. Dokumentację, o której mowa w § 1 pkt 1 rozporządzenia, wdraża administrator danych. W toku czynności kontrolnych ustalono, że Spółka nie prowadzi dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych, uwzględniając wyjaśnienia Spółki dotyczące podjęcia działań zmierzających do opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, wyznaczył czternastodniowy termin wykonania decyzji.

Z kolei, zwracając uwagę na treść art. 105 § 1 kpa, GIODO wyjaśnił, że w sytuacji, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 kpa jest jego bezprzedmiotowość. W trakcie postępowania usunięte zostało uchybienie w procesie przetwarzania danych osobowych stanowiące przedmiot postępowania, poprzez wyznaczenie w Spółce administratora bezpieczeństwa informacji, dlatego w tym zakresie należało je umorzyć.

W dniu 5 maja 2008 r. L. Sp. z o. o. sformułowała do GIODO wniosek o ponowne rozpatrzenie sprawy w zakresie punktu I 1 i 2 zaskarżonej decyzji, wnosząc o jej zmianę w tej części, poprzez umorzenie postępowania z uwagi na błędną interpretację i nieprawidłowe zastosowanie art. 22 1 § 1 Kodeksu pracy w związku z art. 6 ustawy o ochronie danych osobowych oraz niezastosowanie art. 23 ust. 1 tejże ustawy.

Decyzją z dnia [...] kwietnia 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 kpa, utrzymał w mocy decyzję z dnia [...] lutego 2008 r. nr [...] w zaskarżonej części (pkt I 1 i 2), nie znajdując podstaw do uwzględnienia wniosku.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję L. Sp. z o. o. podtrzymała zarzuty zawarte we wniosku o ponowne rozpatrzenie sprawy, wskazując, że przetwarzanie danych osobowych pracowników Spółki w postaci charakterystycznych punktów linii papilarnych dla potrzeb ewidencjonowania czasu pracy odbywa się legalnie, gdyż pracownicy zainteresowani tym sposobem rejestrowania wejść i wyjść na teren Spółki wyrazili zgodę na pobranie od nich tychże danych.

W ocenie skarżącej Spółki, podstawę legalnego przetwarzania danych pracowników w tym przypadku stanowi art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowch, zaś powoływany przez GIODO art. 22 1 § 1 Kodeksu pracy nie ma w tym przypadku zastosowania, gdyż pracownicy swoje oświadczenia o wyrażeniu zgody na przetwarzanie ich danych biometrycznych złożyli dobrowolnie.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, przytaczając w uzasadnieniu swego stanowiska procesowego argumentację, jakiej użył w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

Problematyka z zakresu ochrony danych osobowych, choć zasadniczo regulowana normami prawa administracyjnego, w większości przypadków wyłania wiele zagadnień natury prawnej, ukazując przez to nie tylko złożony charakter stanów faktycznych z tego przedmiotu, ale przede wszystkim zwracając uwagę na wielopłszczyznowość tych spraw i kwestii, jakie z nimi się wiążą, które oczywiście mogą być oceniane z punktu widzenia norm wielu dziedzin prawa, i które w rezultacie mogą prowadzić do różnych konstatacji. Jednak dla organu administracji, który został powołany do ochrony danych osobowych, każda sprawa z tego zakresu winna być oceniana tylko pod kątem stosowania przepisów prawa administracyjnego i jedynie w takim aspekcie winna służyć wydawanemu przez ten organ rozstrzygnięciu.

Za niedopuszczalną należy zatem uznać taką ocenę określonej sytuacji, wyrażoną przez organ ochrony danych osobowych, która wykracza poza przyznane mu kompetencje administracyjne. Władcze uprawnienia organu administracji, jakim niewątpliwie jest Generalny Inspektor Ochrony Danych Osobowych, mogą być realizowane jedynie w trybie administracyjnym, przy zastosowaniu norm prawa administracyjnego. Dokonywanie analizy stanu faktycznego przez GIODO pod kątem czysto cywilistycznym, i w konsekwencji wyprowadzanie w tym aspekcie wniosków oraz ocen, nie znajduje jakiegokolwiek uzasadnienia prawnego.

Zadaniem organu ochrony danych osobowych jest jedynie kontrola legalności przetwarzania danych osobowych na gruncie konkretnej sprawy, a to oznacza, że dla Generalnego Inspektora Ochrony Danych Osobowych wyłącznie istotna jest kwestia, czy w grę wchodzą dane osobowe (nie każde bowiem informacje o osobie stanowią dane osobowe), oraz czy w zakresie ich przetwarzania istnieje choćby jedna z prawnych podstaw (przesłanek), zezwalająca na przetwarzanie danych. Ma to decydujące znaczenie dla rozstrzygnięć podejmowanych przez organ ochrony danych osobowych, albowiem jedynie w przypadku, gdy w sprawie chodzi o dane osobowe, jak również, gdy brak jest przesłanki legalizującej ich przetwarzanie, winno dojść do wydania przez GIODO odpowiedniego nakazu bądź zakazu.

Zgodnie z brzmieniem art. 6 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Pojęcie "dane osobowe" obejmuje zatem wszelkie informacje dotyczące osoby fizycznej, o ile umożliwiają jej identyfikację bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Danymi osobowymi są nie tylko takie dane, które od razu, ze względu na swą specyfikę i treść, dają podstawy do określenia tożsamości konkretnej osoby, ale również takie, które choć bezpośrednio nie wskazują, że mogą pochodzić od tej i tylko tej osoby, to jednak w oparciu o nie podanie tożsamości osoby zainteresowanej jest możliwe. Tego rodzaju dane osobowe zwykle wymagają odpowiednich nakładów i środków, sprzętu, specjalistycznej wiedzy, etc., potrzebnych do ustalenia tożsamości osoby, przy czym sam fakt korzystania z różnego rodzaju metod identyfikacji w żaden sposób nie wpływa na ich osobisty walor i nie odbiera im przymiotu danych osobowych, pod jednym wszakże warunkiem, że określenie tożsamości osoby nie wymaga nadmiernych nakładów (kosztów, czasu lub działań), co wynika z art. 6 ust. 3 przedmiotowej ustawy.

Numerami identyfikującymi osobę są: numer powszechnego elektronicznego systemu ewidencji ludności (PESEL), numer identyfikacji podatkowej (NIP), a także numer dowodu osobistego czy paszportu. Z kolei czynnikami określającymi cechy osoby mogą być m.in.: jej wygląd zewnętrzny, zaliczany do kategorii cech fizycznych, struktura DNA i zapis kodu genetycznego, grupa krwi, tworzące cechy fizjologiczne, status majątkowy (cechy ekonomiczne), pochodzenie, poglądy polityczne, przekonania religijne, wyznaniowe lub filozoficzne oraz przynależność organizacyjna lub związkowa, jako cechy zaliczane do umysłowych, kulturowych lub społecznych.

Wedle tych kategorii należy więc ocenić, czy przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców stanowią dane osobowe pracowników L. Sp. z o.o. z siedzibą w M.

Wskazane powyżej czynniki nie wyczerpują katalogu rodzajów informacji o osobie, który ma charakter otwarty. Jak już zostało zaznaczone, informacje o osobie, by mogły zostać uznane za dane osobowe, muszą bezpośrednio lub pośrednio identyfikować człowieka. Linie papilarne z uwagi na swą niepowtarzalność stanowią cechę fizyczną osoby, umożliwiającą jej identyfikację i jako takie tworzą szerszą grupę danych biometrycznych, mających walor danych osobowych, w rozumieniu art. 6 ustawy o ochronie danych osobowych (podobnie jest w przypadku wzoru siatkówki oka). Choć bezpośrednio nie wskazują, że mogą pochodzić od tej i tylko tej osoby, to jednak w oparciu o nie podanie tożsamości osoby zainteresowanej jest możliwe przy zastosowaniu odpowiedniej metody identyfikacji. Prawidłowo zatem Generalny Inspektor Ochrony Danych Osobowych uznał, że przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników skarżącej Spółki są ich danymi osobowymi.

Przy takiej ocenie linii papilarnych w świetle przepisów ustawy o ochronie danych osobowych koniecznym było ustalenie, czy tego rodzaju dane osobowe pracowników przetwarzane są przez Spółkę w sposób legalny. Zdaniem GIODO, ich przetwarzanie odbywa się bez podstawy prawnej. Rozpoznający niniejszą sprawę Sąd stanowiska tego jednak nie podziela.

Ze sprawy wynika bowiem, że dane biometryczne w postaci odcisków linii papilarnych palców pracowników zostały uzyskane na podstawie zgody, wyrażonej przez pracownika w postaci pisemnego oświadczenia o następującej treści: "Ja niżej podpisany wyrażam zgodę na pobranie przez L. Sp. z o. o. wzoru moich linii papilarnych w celu wprowadzenia ich do bazy danych osób uprawnionych do wejścia i wyjścia na teren firmy L. Sp. z o. o. oraz do rozliczania czasu pracy". Jest to okoliczność bezsporna. Należy także zwrócić uwagę, że cytowane oświadczenie o wyrażeniu zgody nie ma charakteru blankietowego (ogólnego), lecz dotyczy konkretnej, acz kwestionowanej przez GIODO, kwestii legalnego przetwarzania danych osobowych w postaci charakterystycznych punktów linii papilarnych. Z oświadczenia tego wprost wynika, że osoba je składająca wyraża zgodę na przetwarzanie jej danych osobowych, którymi w tym przypadku są – jak już zostało ustalone – jej linie papilarne. W świetle art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Nie może zatem budzić najmniejszych wątpliwości, że treść złożonego oświadczenia zawiera zgodę na przetwarzanie danych osobowych w postaci charakterystycznych punktów linii papilarnych.

Zgodnie z art. 23 ust. 1 ww. ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Powyższy przepis w punkcie 1 wskazuje zgodę osoby, której dane dotyczą, jako legalną przesłankę przetwarzania danych osobowych, co z punktu widzenia kompetencji GIODO wystarcza do uznania, że dane osobowe przetwarzane są zgodnie z prawem. Organ ochrony danych osobowych nie jest uprawniony do kwestionowania złożonego oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych, gdyż w ten sposób wykracza poza swoje ustawowe obowiązki. Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych nie podlega ocenie GIODO na płaszczyźnie cywilistycznej i wywołuje skutki prawne do czasu, dopóki nie zostanie odwołane, cofnięte bądź zakwestionowane w formie i trybie przewidzianym przez prawo.

W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych odmówił na gruncie ustawy o ochronie danych osobowych znaczenia prawnego złożonym przez pracowników Spółki oświadczeniom o wyrażeniu zgody na przetwarzanie danych osobowych w postaci charakterystycznych punktów linii papilarnych, negując w ten sposób istnienie legalnej podstawy do ich przetwarzania. Świadczy o tym nie tylko treść podjętego i zaskarżonego w tej części przez Spółkę rozstrzygnięcia, ale także użyta w tym zakresie argumentacja.

Pomimo prawidłowych ustaleń co do istnienia oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych, złożonych przez pracowników Spółki, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że nie wyczerpują one legalnej podstawy przetwarzania danych osobowych. Tego rodzaju wniosek organu jest nie tylko błędny, ale nade wszystko dowodzi, że organ kwestionuje złożone oświadczenia, "poszukując" innej przesłanki przetwarzania danych osobowych, a czyni to poprzez stosowanie norm prawa pracy, które – w jego ocenie – zapewniają dalej idącą ochronę danych pracowniczych, aniżeli ustawa o ochronie danych osobowych.

Analizując przepis art. 22 1 § 1, § 2 i § 4 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (t. j.: Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.), GIODO uznał, że do przedmiotowego stanu faktycznego nie znajdują zastosowania przepisy prawa, które zezwalałyby na przetwarzanie w celu prowadzenia ewidencji czasu pracy innych danych osobowych, niż wymienione w art. 22 1 § 1 i 2 kp. Działania organu w tym zakresie wyglądają, jakby organ "poszukiwał" podstawy legalnego przetwarzania danych osobowych z punktu 2 art. 23 ust. 1 ustawy o ochronie danych osobowych, nie znajdując jej jednak w obowiązujących przepisach, i kwestionując przez to występującą w sprawie przesłankę, o której mowa w art. 23 ust. 1 pkt 1 ustawy.

Sąd zwraca uwagę na przepis art. 22 1 § 5 kp, który stanowi, że w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych. Oznacza to, że w zakresie innych danych pracowniczych, niż wymienione w art. 22 1 § 1-4 kp, zastosowanie mają przepisy ustawy o ochronie danych osobowych. Wypływa z tego następujący wniosek: pracodawca żąda jedynie tych danych, które wymaga od pracownika prawo pracy i pracodawca może żądać od pracownika także danych, które wymagane są przez inne przepisy prawa. W przepisie art. 22 1 § 1-4 kp nie ma mowy o danych osobowych pracownika w postaci linii papilarnych, nie zmienia to jednak faktu, że – poprzez art. 22 1 § 5 kp – pracodawca może gromadzić także i tego rodzaju dane, o ile spełniona zostanie choćby jedna z przesłanek legalizujących ich przetwarzanie. Stosunek obu regulacji wskazuje, że jeśli chodzi o dane pracownika takie, jak linie papilarne czy wzór siatkówki oka, pobieranie tych danych, ich gromadzenie, czyli przetwarzanie – co do zasady – nie jest zabronione, lecz odbywać się musi z poszanowaniem przepisów ustawy o ochronie danych osobowych. Nie można wobec tego przyjąć, że normy prawa pracy zapewniają dalej idącą ochronę informacji o pracowniku, aniżeli ustawa o ochronie danych osobowych, gdyż to właśnie w świetle jej przepisów winna być prowadzona kontrola prawidłowości przetwarzania innych danych, niż wymienione w art. 22 1 § 1-4 kp. Przedstawiona wykładnia uwzględnia nie tylko literalne brzmienie powyższych norm, ale z punktu widzenia celu zbierania (przetwarzania) innych danych przez pracodawcę, uwzględnia także możliwość korzystania ze zdobyczy postępu technicznego i – co najistotniejsze – nie narusza art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej.

Konkludując, warto podkreślić, że przesłanki z art. 23 ust. 1 przedmiotowej ustawy mają charakter autonomiczny i niezależny. Stanowią przy tym swoistą gradację podstaw legalnego przetwarzania danych osobowych, poczynając od zgody osoby, której dane dotyczą, kończąc zaś na usprawiedliwionych celach administratorów danych lub odbiorców danych. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za prawnie dopuszczalne i – co ważne – w sytuacji istnienia którejś z podstaw, nie ma potrzeby "poszukiwania" kolejnej (innej) przesłanki legalnego przetwarzania danych. W przypadku istnienia zgody na przetwarzanie danych osobowych, organ ochrony danych osobowych winien przyjąć, że dane osobowe przetwarzane są w sposób legalny i zgodny z prawem (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych).

W sprawie nie było zatem podstaw do wydania nakazu, doszło więc do naruszenia norm prawa materialnego (co nie pozostało bez wpływu na wynik sprawy), a to przepisów ustawy o ochronie danych osobowych, wskazanych przez GIODO jako prawne podstawy podjętych rozstrzygnięć. Dlatego też, Sąd uchylił zaskarżoną decyzję i poprzedzającą ją decyzję w zakresie jej punktu I 1 i 2 (Spółka kwestionowała tylko tę część rozstrzygnięcia w administracyjnym toku instancji, a tym samym także i przed Sądem).

Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "a" ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w punkcie 1 sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

O kosztach orzeczono na podstawie art. 200, art. 205 § 2 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził na rzecz skarżącej Spółki kwotę 440 zł, w tym 200 zł, stanowiącą wartość uiszczonego wpisu, oraz kwotę 240 zł, tytułem wynagrodzenia pełnomocnika, zgodnie z § 14 ust. 2 pkt 1 lit. "c" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 ze zm.).