Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Łukasz Krzycki, Asesor WSA Dorota Kozub-Marciniak (spr.), Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 20 marca 2024 r. sprawy ze skargi A. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz A. S.A. z siedzibą w W. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

A. S.A. z siedzibą w W. (dalej także, jako: Bank) wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej także, jako: Prezes lub Prezes UODO) z dnia [...] marca 2023 r. w przedmiocie przetwarzania danych osobowych.

Stan sprawy przedstawia się następująco.

W dniu [...] września 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga M. K. (dalej, jako: skarżący) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A., z siedzibą w W., polegające na wykorzystaniu danych klienta banku, w zakresie zawartej umowy kredytowej i obsługi reklamacji, w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym oraz braku udzielenia informacji na wniosek z [...] lipca 2021 r. o sposobie, zakresie i podstawie prawnej przetwarzania danych.

W toku przeprowadzonego w niniejszej sprawie postępowania Prezes UODO ustalił, że skarżący w chwili wniesienia skargi był pracownikiem Banku i jednocześnie znajdował się w sporze konsumenckim z Bankiem, który dotyczył udzielonego kredytu gotówkowego. Skarżący opisał w Internecie działania Banku związane z jego sporem konsumenckim. Skarżący wskazał, że pracodawca w nieznany mu sposób powziął wiedzę na temat jego wpisów na portalu internetowym. Skarżący wskazał również, że w konsekwencji pracodawca zorganizował z nim spotkanie, na którym oświadczył mu, że jego działanie naruszało obowiązki pracownicze. Skarżący podniósł również, że w dniu [...] lipca 2021 r. złożył reklamację na wykorzystanie jego danych jako konsumenta w relacji służbowej i zwrócił się o udzielenie szczegółowych wyjaśnień dotyczących sposobu, zakresu i podstawy prawnej przetwarzania jego danych w zakresie ww. wpisów internetowych. Z treści zamieszczonych w Internecie wpisów wynika, że w związku z obsługą pożyczki Bank wysłał do skarżącego wiadomość SMS z przypomnieniem o terminie płatności raty oraz osobną wiadomość zawierającą jego numer PESEL. Skarżący ponadto opisał postępowanie Banku związane z obsługą jego reklamacji na zamieszczenie numeru PESEL w wiadomości SMS.

Skarżący był jednocześnie pracownikiem jak i klientem Banku. Bank przetwarza dane osobowe skarżącego w związku udzielonymi mu kredytami oraz w związku z zatrudnieniem. Bank wyjaśnił, że wpisy skarżącego na portalu internetowym [...] naruszały dobre imię pracodawcy oraz zawierały dane osobowe pracownika zespołu reklamacji obsługującego sprawy skarżącego. W konsekwencji pracodawca podjął decyzję o przeprowadzeniu ze skarżącym rozmowy pouczającej o obowiązkach pracownika wobec pracodawcy. Rozmowa została przeprowadzona w obecności przełożonego skarżącego oraz przedstawiciela pracownika działu kadr. Bank utrzymuje, że w trakcie rozmowy osoby uczestniczące nie posiadały informacji o rodzaju produktów bankowych, historii ich spłaty czy też informacji związanych z podejmowaniem działań windykacyjnych przez Bank. Rozmowa dotyczyła wyłącznie wpisów internetowych skarżącego, o których to skarżący informował w korespondencji kierowanej do Banku. Ze spotkania z [...] lutego 2021 r. została sporządzona notatka

Bank wyjaśnił, że pismem z [...] lipca 2021 r. skarżący zgłosił do Banku fakt złamania tajemnicy bankowej oraz naruszenia ochrony jego danych osobowych. Pismo zostało skierowane na drogę postępowania reklamacyjnego i [...] sierpnia 2021 r. Bank udzielił skarżącemu odpowiedzi. Bank nie potwierdził zarzutów. Bank wyjaśnił również, że do Banku nie wpłynęło żądanie skarżącego realizacji prawa wynikającego z art. 15 RODO.

Po dokonaniu analizy materiału dowodowego zgromadzonego w sprawie Prezes UODO zaskarżoną decyzją z [...] marca 2023 r. udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str.1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej RODO, polegające na wykorzystaniu danych klienta banku, w zakresie zawartej umowy kredytowej i obsługi reklamacji, w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym (pkt 1) oraz umorzył postępowanie w pozostałym zakresie (pkt 2).

W uzasadnieniu decyzji organ wskazał, że RODO określa obowiązki administratora, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu oraz udzielanie informacji na żądanie osoby, której dane dotyczą, w stosunku do uprawnień tej osoby (podmiotu danych) określonych w art. 15-22 i 34 RODO. Prezes UODO przytoczył treść art. 5 ust. 1 lit. c, art. 6 ust. 1 lit. c, f, art. 4 ust. 1 oraz art. 15 ust. 1 RODO i podniósł, że skarżący, jako konsument, wyraził w Internecie swoje niezadowolenie z działań Banku skierowanych w stronę swojego klienta. Skarżący dodatkowo w korespondencji dotyczącej reklamacji produktu bankowego poinformował Bank, że opisał te działania w Internecie na stronie internetowej [...]. Tym samym Bank powziął informacje od swojego klienta o jego niezadowoleniu i o treściach zamieszczonych w Internecie wpisów. Następnie pracodawca dowiedział się o treści wpisów skarżącego i stwierdził, że naruszają one dobre imię pracodawcy i zorganizował spotkanie ze skarżącym, na którym pouczył go o obowiązkach pracownika.

Wobec powyższego Prezes stwierdził, że pomiędzy zbiorem danych osobowych skarżącego jako klienta Banku, a zbiorem danych dotyczących jego zatrudnienia nastąpił transfer danych skarżącego, wewnątrz tej samej organizacji. Przełożony skarżącego oraz pracownik ds. kadr mieli bowiem wiedzę dotyczącą przedmiotowych wpisów w Internecie, ocenili oni, że informacje te naruszają dobre imię pracodawcy i wyciągnęli wobec skarżącego pewne konsekwencje. W ocenie organu stan faktyczny sprawy pozwala stwierdzić, że aby przełożony skarżącego mógł dokonać takiej oceny działania skarżącego to musiał on być w posiadaniu wiedzy na temat konkretnych wpisów na portalu [...]. Tym samym pracodawca pozyskał dane osobowe znajdujące się w treści wpisów skarżącego, takie jak informacje o tym, że jest on stroną zawartej umowy kredytowej oraz że znajduje się on w sporze konsumenckim i że ma wobec Banku roszczenia. Wobec tego pracodawca jako administrator danych osobowych skarżącego w relacji służbowej powinien legitymować się przesłanką legalności przetwarzania danych w przypadku wykorzystania ww. danych do celów służbowych.

W ocenie organu, wykorzystanie w relacji służbowej przez Bank danych osobowych skarżącego dotyczących informacji o posiadaniu umowy kredytowej oraz procesu obsługi jego reklamacji dotyczącej tego produktu nie miało oparcia w przepisach dotyczących podstaw prawnych przetwarzania tych danych. Znajdujące się w aktach niniejszego postępowania wydruki wpisów Internetowych skarżącego bezsprzecznie potwierdzają, że opisał on jako konsument, posiadający w Banku kredyt, działanie Banku związane z przesyłaniem mu wiadomości tekstowych SMS oraz obsługą procesu reklamacji w związku z otrzymanymi wiadomościami i ich zawartością. W treści wpisów nie ma informacji pozwalających na identyfikację skarżącego jako pracownika Banku, ponadto wbrew wyjaśnieniom Banku skarżący nie ujawnił we wpisach żadnych danych osobowych pracownika zespołu reklamacji obsługującego jego sprawy. Pomimo tego pracodawca uznał, że skarżący naruszył dobre imię pracodawcy i związane z tym obowiązki pracownika.

W ocenie organu, takie działanie pracodawcy jest niedopuszczalne. Bank przy przetwarzaniu danych skarżącego naruszył granicę pomiędzy dwoma zbiorami danych tj. zbiorem danych skarżącego jako klienta oraz jako pracownika. Pracodawca wykorzystując stosunek podwładności pracownika próbował wpłynąć na jego relację konsumencką z Bankiem. Zdaniem organu, w zakresie przetwarzania danych osobowych związanych ze świadczeniem przez skarżącego pracy i jego stosunkiem służbowym nie mieszczą się takie informacje jak to, że skarżący jest jednocześnie klientem banku i jako niezadowolony konsument podnosi swoje zarzuty względem usługodawcy oraz opisuje w Internecie swoje niezadowolenie ze świadczonych usług. Bank jako pracodawca wyszedł poza cel i zakres przetwarzania danych skarżącego nie mając do tego podstawy prawnej.

Bank co prawda argumentuje, że przetwarzanie tych danych było niezbędne do zorganizowania w dniu [...] lutego 2021 r. spotkania ze skarżącym i omówienia jego wpisów. Jednakże, w ocenie organu, Bank sztucznie wykreował wtórny cel takiego przetwarzania danych. Skarżący sam poinformował Bank o swoich wpisach i zrobił to w procesie obsługi jego reklamacji jako konsumenta, tym samym już na etapie pozyskania danych znajdujących się we wpisach internetowych administrator powinien oddzielić te kwestie od stosunku służbowego i nie dopuścić do przeniknięcia tych informacji do innego procesu, tj. do zbioru danych pracowniczych. Zwłaszcza, że skarżący do momentu spotkania ze swoim przełożonym w dniu [...] lutego 2021 r. nie ujawnił w treści wpisów, że jest zatrudniony w Banku, zaś wpisy te wyrażały wyłącznie niezadowolenie z działania Banku na gruncie konsumenckim. Ponadto dane związane ze stosunkiem konsumenckim skarżącego mogą stanowić tajemnicę bankową, która obowiązuje również wewnątrz banku, pomiędzy różnymi działami organizacyjnymi. Biorąc pod uwagę powyższe organ stwierdził, że wykorzystanie informacji o tym, że skarżący jest klientem Banku, posiada produkt bankowy oraz jest w sporze konsumenckim - w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym stanowi naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO. Bank bowiem nie miał podstawy prawnej aby wykorzystywać te informacje w celach służbowych.

Odnosząc się do zarzutu braku udzielenia informacji na wniosek z dnia [...] lipca 2021 r. o sposobie, zakresie i podstawie prawnej przetwarzania danych Prezes UODO wskazał, że istotą pisma skarżącego z dnia [...] lipca 2021 r. była skarga na naruszenie tajemnicy bankowej i uzyskanie z tego tytułu zadośćuczynienia pieniężnego, a nie chęć realizacji prawa z art. 15 RODO. Biorąc pod uwagę treść sformułowanego w piśmie z dnia [...] lipca 2021 r. żądania oraz brzmienie art. 15 RODO, Prezes UODO stwierdził, że pismo nie dotyczyło prawa dostępu do danych osobowych i tym samym Bank nie był zobowiązany do spełnienia tego żądania w trybie przepisów RODO. W związku z powyższym postępowanie podlega w tej części umorzeniu na podstawie art. 105 § 1 K.p.a.

Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia Bankowi za wykorzystanie danych klienta banku, w zakresie zawartej umowy kredytowej i obsługi reklamacji, w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym. Natomiast w zakresie zarzutu braku udzielenia informacji na wniosek z [...] lipca 2021 r. o sposobie, zakresie i podstawie prawnej przetwarzania danych organ umorzył postępowanie ze względu na jego bezprzedmiotowość.

Z rozstrzygnięciem Prezesa UODO w zakresie pkt 1 Bank nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Zaskarżonej decyzji zarzucono naruszenie:

1. art. 6 ust. 1 lit. f RODO w związku z przepisem art. 100 § 1 pkt 4 i 6 ustawy z 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2022 r. poz. 1510) polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank jako pracodawca, który został poinformowany przez M. R. o dokonaniu wpisów w Internecie dotyczących Banku nie ma podstaw prawnych przetwarzania danych osobowych skarżącego, w sytuacji, gdy zarówno Kodeks pracy, jak i wewnątrzzakładowe przepisy obowiązujące w Banku, mające podstawę prawną w Kodeks pracy, nakazują pracownikowi dbałość o dobro zakładu pracy, a w rezultacie pracodawca (Bank) ma podstawę prawną do przetwarzania informacji o pracowniku, w zakresie w jakim jego działania godzą w dobro zakładu pracy, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

2. art. 5 ust. 1 lit. a RODO polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank jako pracodawca, który został poinformowany przez M. R. o dokonaniu wpisów w Internecie dotyczących Banku nie ma podstaw prawnych przetwarzania danych osobowych skarżącego, a w rezultacie naruszona została zasada zgodności z prawem przetwarzania danych osobowych (przepis art. 5 ust. 1 lit. a RODO) w sytuacji, gdy Bank ma podstawę prawną do przetwarzania informacji o pracowniku, w zakresie w jakim jego działania godzą w dobro zakładu pracy, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

3. art. 6 ust. 4 RODO w związku z przepisem art. 5 ust. 1 lit. b RODO poprzez ich niezastosowanie i przyjęcie, że Bank jako pracodawca wykroczył poza cel i zakres przetwarzania danych M. R. nie mając do tego podstawy prawnej, w sytuacji, gdy zgodnie z przepisem art. 6 ust. 4 RODO w związku z art. 5 ust. 1 lit. b RODO administrator ma prawo do przetwarzania danych w innym celu niż dane zostały pierwotnie zebrane, z uwzględnieniem przesłanek wskazanych w art. 6 ust. 4 RODO, których spełnienie nie było badane przez organ w niniejszej sprawie, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

4. art. 6 ust. 1 w związku z art. 5 ust. 1 lit. a w związku z art. 4 pkt 6 RODO poprzez ich błędne zastosowanie i przyjęcie, że Bank dokonał nieuprawnionego transferu danych M. K. pomiędzy zbiorem danych osobowych M. R. jako klienta Banku a zbiorem danych dotyczących jego zatrudnienia, naruszając granicę pomiędzy tymi zbiorami danych, podczas gdy Bank nie dokonała transferu danych skarżącego pomiędzy zbiorami danych, a jednocześnie kwestia przetwarzania danych osobowych w zbiorze pozostaje bez znaczenia dla oceny legalności przetwarzania danych osobowych przez administratora (Bank), co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

5. art. 34 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z przepisami art. 51 ust. 1 oraz art. 57 ust. 1 lit f RODO poprzez ich błędną wykładnię polegającą na uznaniu, że Prezes UODO jest organem właściwym do rozstrzygania zagadnień z zakresu tajemnicy bankowej, podczas gdy prawidłowa wykładnia tych przepisów wskazuje, że Prezes UODO jest organem właściwym wyłącznie w sprawach ochrony danych osobowych, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

6. art. 7 w związku z art. 77 § 1 i art. 80 K.p.a.w związku z art. 7 ustawy o ochronie danych osobowych, polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, w tym w szczególności ustalenia szczegółowych okoliczności pozyskania przez Bank jako pracodawcę danych osobowych M. K., zakresu pozyskanych danych, jak również obowiązujących w Banku regulacji wewnętrznych i ich znaczenia dla oceny zgodności z prawem przetwarzania danych osobowych dla celów związanych z zatrudnieniem skarżącego i zapewnieniem dbałości o dobro zakładu pracy przez Bank, co skutkowało uznaniem, że Bank nie legitymuje się przesłanką uzasadniającą przetwarzanie danych osobowych skarżącego i w konsekwencji wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku;

7. art. 107 § 3 K.p.a., polegające na niedostatecznym i niepełnym uzasadnieniu decyzji poprzez brak dokładnego uzasadnienia dlaczego i w jaki sposób Bank dopuścił się rzekomego naruszenia zasady wyrażonej w przepisie art. 5 ust. 1 lit. a RODO, jak również dlaczego organ uznał, że (rzekomy) transfer danych osobowych między zbiorami danych stanowi przesłankę zgodności z prawem przetwarzania, co skutkuje brakiem możliwości kontroli instancyjnej i rzetelnego sformułowania zarzutów wobec decyzji;

8. art. 19, art. 20 w związku z art. 6 K.p.a. poprzez orzeczenie w decyzji w zakresie dotyczącym tajemnicy bankowej, tj. z naruszeniem przepisów o właściwości rzeczowej Prezesa UODO, tj. przepisu art. 34 ust. 1 ustawy o ochronie danych osobowych w sytuacji, gdy organ nie jest właściwy do rozstrzygnięcia w kwestii tajemnicy bankowej, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego upomnienia wobec Banku.

Mając powyższe na względzie wniesiono o uchylenie zaskarżonej decyzji oraz o zasądzenie na rzecz Banku kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz zwrotu kwoty 51 zł uiszczonej tytułem opłaty skarbowej od pełnomocnictwa.

Ponadto, na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.) Bank wniósł o przeprowadzenie dowodu uzupełniającego z dokumentów, tj.:

1. Regulaminu Pracy Pracowników A. Spółka Akcyjna (załącznika nr 1 do Uchwały nr [...] Zarządu A. S.A.);

1. Kodeksu Etyki A. z listopada 2017 r.;

2. Kodeksu Etyki A. (załącznika nr 1 do Uchwały Zarządu A. Spółka Akcyjna Nr [...] z dnia [...].12.2021 r.) -

na okoliczność obowiązujących w Banku wewnątrzzakładowych źródeł prawa pracy i procedur zawierających obowiązki pracownicze, w tym doprecyzowanie obowiązku dbałości o dobro zakładu pracy oraz ich brzmienia.

W obszernym uzasadnieniu skargi przedstawiono argumentację na poparcie stawianych zarzutów.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. Prezes UODO wskazał, że z zebranego materiału dowodowego bezspornie wynika, iż w toku rozpatrywania reklamacji klienta i wymiany korespondencji pomiędzy niezadowolonym klientem, a Bankiem dowiedział się on, że klient ten rozpowszechnia w Internecie informacje dotyczące sporu konsumenckiego z bankiem. Osoba rozpatrująca reklamacje powiązała fakt, że klient ten (skarżący) jest jednocześnie pracownikiem banku i zgłosiła fakt zamieszczenia przez niego wpisów w Internecie do osób odpowiedzialnych za jego zatrudnienie. W wyniku tego przełożony skarżącego oraz pracownik kadr dowiedzieli się o tym, że skarżący jest również klientem banku, posiada kredyt i jest w sporze konsumenckim z Bankiem. Pracownicy banku będąc niezadowoleni z faktu zamieszczania przez skarżącego wpisów w Internecie zorganizowali z nim spotkanie pracownicze w celu omówienia jego aktywności.

Zdaniem organu Bank nie wykazał istnienia podstawy prawnej i celu przetwarzania danych osobowych skarżącego, które dotyczyłyby badanego procesu przetwarzania, do czego była zobowiązana zgodnie z ww. zasadą rozliczalności. W toku postępowania Bank bronił się, że skarżący swoimi wpisami naruszał dobre imię banku i ujawniał dane osobowe pracownika działu reklamacji. Bank nie wykazał jednak tego w jaki sposób, jego zdaniem, wpisy na portalu [...] naruszają jego dobre imię, zaś organ ocenił, że wpisy te nie zawierają żadnych danych osobowych, wbrew twierdzeniom Banku. Wątpliwa zatem jest linia obrony Banku, gdyż Bank nie wykazał, aby wpisy skarżącego zawierały jakiekolwiek nieprawdziwe informacje mogące naruszać dobre imię Banku lub naruszały dobra osobiste jakiegokolwiek pracownika banku. W ocenie organu, skarżący dokonując wpisów internetowych na portalu [...] korzystał z prawa dopuszczalnej krytyki Banku jako klient banku i podając tę okoliczność w toku reklamacji produktu bankowego miał prawo oczekiwać, że informacje te nie zostaną ujawnione jego przełożonemu lub osobom z działu kadrowego. Krytycznie zatem należy ocenić to, że w procesie obsługi klienta banku informacja o sporze konsumenckim przeniknęła do osób związanych z nim w sferze zatrudnienia. Zgromadzony materiał dowodowy pozwala stwierdzić, że Bank w relacji klient - pracownik dotyczącej skarżącego nie zachowała powściągliwości w wymianie jego danych osobowych.

Prezes UODO wskazał także, że dokumenty wewnętrzne przedstawione przez Bank nie zakazują pracownikom będącym jednocześnie klientami Banku publikowania prywatnych opinii konsumenckich. Zdaniem organu, pracodawca nie ma prawa zakazywać klientom wyrażania swoich opinii. Kwestionowane działanie Banku sprowadziło się do próby cenzurowania klienta ze względu na wyrażone przez niego opinie. W ocenie organu, Bank wykroczył w tym zakresie poza prawnie uzasadniony interes pracodawcy. Nadto w toku postępowania nie wykazał, aby dokonał wyważenia sprzecznych interesów Banku i skarżącego.

Bank w oparciu o obowiązek dbania o dobro zakładu pracy przez pracownika ma jedynie teoretyczna podstawę prawną do przetwarzania danych, które wiązałyby się naruszeniem tego obowiązku. W toku niniejszego postępowania Bank nie wykazał, aby w praktyce ziścił się ten warunek.

W ocenie organu, procesy przetwarzania danych pracownika i klienta banku są rozbieżne i co do zasady nie należy ich łączyć, pomimo tego, że procesy te funkcjonują w ramach przetwarzania danych osobowych przez jednego administratora. Zdaniem organu, w przedmiotowej sprawie nie zachodziła zasada ograniczenia celu, ale działania zgodnie z prawem. Bank w toku postępowanie nie wskazywał również na zmianę celu przetwarzania. Nie było zasadne zatem odnoszenie się do tej zasady.

Nadto Prezes podniósł, że wbrew argumentacji wyrażonej w skardze, organ nie badał przetwarzania danych skarżącego w procesie udzielania mu kredytu, ale w relacji przetwarzania jego danych w procesie pracowniczym. Materiał dowodowy bezsprzecznie pokazuje, że w relacji służbowej wykorzystano dane skarżącego pochodzące ze zbioru danych konsumenckich. Procesy te są od siebie różne, co w przypadku banku jako wyspecjalizowanej instytucji, ma dla osób, których dane dotyczą istotne znaczenie. W ocenie organu, przepływ danych pomiędzy tymi procesami i odpowiednimi zbiorami danych musi spełniać kryteria legalności przetwarzania danych, co w niniejszym postępowaniu nie zachodziło.

Wbrew twierdzeniu Banku organ nie dokonał także rozstrzygnięcia w zakresie naruszenia tajemnicy bankowej. W treści decyzji organ odniósł się do kwestii rzekomego naruszenia tajemnicy bankowej poruszonej przez skarżącego w skardze i wskazał jedynie, że dane związane ze stosunkiem konsumenckim skarżącego mogą stanowić tajemnicę bankową, która obowiązuje również wewnątrz banku, pomiędzy różnymi działami organizacyjnym. Organ dostrzegł jedynie potencjalną możliwość naruszenia tajemnicy powstrzymując się jednak od rozstrzygnięcia w tym zakresie, gdyż w toku postępowania badał jedynie proces przetwarzania danych, a nie naruszenia tajemnicy.

W piśmie procesowym z dnia 6 marca 2024 r. stanowiącym replikę na odpowiedź na skargę, Bank podtrzymał swoje dotychczasowe stanowisko, podkreślając, że argumentacja organu nie jest zasadna. Bank przedstawił swoje stanowisko i ustosunkował się do argumentacji przedstawionej przez Prezesa UODO w odpowiedzi na skargę.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492) sądy administracyjne są właściwe do badania zgodności z prawem zaskarżonych aktów administracyjnych, przy czym sąd nie może opierać tej kontroli na kryterium słuszności lub sprawiedliwości społecznej. Kontrolowane rozstrzygnięcie jest zgodne z prawem, jeżeli jest zgodne z powszechnie obowiązującymi przepisami prawa materialnego i przepisami prawa procesowego. Uchylenie decyzji, względnie stwierdzenie jej nieważności przez sąd następuje tylko w przypadku stwierdzenia istnienia istotnych wad w postępowaniu lub naruszenia przepisów prawa materialnego, mającego wpływ na wynik sprawy, o czym przesadza art. 145 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.). Zakres kontroli Sądu wyznacza art. 134 P.p.s.a. stanowiący, iż sąd orzeka w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Dokonując kontroli legalności zaskarżonej części decyzji w granicach kompetencji przysługujących sądowi administracyjnemu, na podstawie wymienionych ustaw, Sąd uznał, że skarga zasługuje na uwzględnienie. Zaskarżona decyzja w pkt 1 narusza prawo.

W pierwszej kolejności należy podkreślić, że każdy proces przetwarzania danych osobowych musi być zgodny z prawem. Oznacza to, że administrator, przetwarzając dane osobowe zwykłe musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 RODO (w przypadku przetwarzania danych szczególnej kategorii jedną z przesłanek określonych w art. 9 ust. 2 RODO). Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO, również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.

A więc przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Z akt postępowania bezspornie wynika, że skarżący jest pracownikiem Banku oraz jego klientem. Jako konsument, wyraził w Internecie swoje niezadowolenie z działań Banku skierowanych w stronę swojego klienta. Skarżący dodatkowo w korespondencji dotyczącej reklamacji produktu bankowego poinformował Bank, że opisał te działania w Internecie na stronie internetowej [...]. Pracownik działu reklamacji z własnej inicjatywny poinformował Bank, że skarżący publikuje w Internecie treści stawiające Bank w negatywnym świetle, co wiąże się dla Banku z ryzykiem wizerunkowym. W efekcie w dniu [...] lutego 2021 r. pracodawca przeprowadził ze skarżącym rozmowę dyscyplinującą.

Na tle powyższych ustaleń, Prezes UODO doszedł do wniosku, że pomiędzy zbiorem danych osobowych skarżącego jako klienta Banku, a zbiorem danych dotyczących jego zatrudnienia nastąpił transfer danych skarżącego, wewnątrz tej samej organizacji. W ocenie organu aby przełożony skarżącego mógł dokonać oceny działania skarżącego (w zakresie wpisów internetowych) to musiał być w posiadaniu wiedzy na temat konkretnych wpisów na portalu [...]. Tym samym pracodawca pozyskał dane osobowe znajdujące się w treści wpisów skarżącego, takie jak informacje o tym, że jest on stroną zawartej umowy kredytowej oraz że znajduje się on w sporze konsumenckim i że ma wobec Banku roszczenia. Organ ocenił też, że w treści wpisów internetowych nie ma informacji pozwalających na identyfikację skarżącego jako pracownika Banku. Organ stwierdził, że wykorzystanie informacji o tym, że skarżący jest klientem Banku, posiada produkt bankowy oraz jest w sporze konsumenckim - w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym stanowi naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO. Bank bowiem nie miał podstawy prawnej aby wykorzystywać te informacje w celach służbowych.

Zauważyć jednak należy, że Bank choć dopiero w skardze do sądu ale wyjaśnił, że jako strona umowy kredytowej już od momentu złożenia wniosku kredytowego przez konsumenta ma wiedzę na temat jej zatrudnienia. Skarżący wnioskując o udzielenie kredytu podał informację w zakresie miejsca pracy, a zawarta umowa była zawarta w oparciu o przepisy odnoszące się do pracowników Banku. Bank miał zatem wiedzę, że pracownik ten jest jednocześnie konsumentem i stroną zawartej z Bankiem umowy. Wiedza ta była niezbędna z uwagi na okoliczności i wymogi związane z wykonywaniem umowy kredytowej, z którą wiążą się także reklamacje konsumenckie. Jak wskazał Bank, w celu ich obsługi Bank musi dysponować informacją, czy dany konsument jest jednocześnie pracownikiem Banku. Bank musi zapewnić, że inni pracownicy nie będą mieli dostępu do informacji go dotyczących, takich jak wysokość jego wynagrodzenia, czy transakcje, których dokonuje on na swoim koncie. W tym celu konsument musi zostać oznaczony jako pracownik. Oznaczenie danego konsumenta jako pracownika służy właśnie zapobieganiu nadużyciom i wychwytywaniu ewentualnych nieprawidłowości. Zgodnie z Procedurą Obsługi reklamacji przez pracowników [...] obowiązującą w Banku, rozpatrywana reklamacja konsumencka musi zostać rozpatrzona przez pracownika niemającego związku rodzinno- / koleżeńsko- / służbowego z osobą składającą reklamację.

Powyższe wskazania Banku ewidentnie wskazują, że zbiory danych skarżącego jako klienta i jako pracownika przenikają się, a informacja o tym, że skarżący jest także pracownikiem Banku została przez Bank uzyskana od samego zainteresowanego. Wyważenia wymaga zatem czy poinformowanie Banku przez skarżącego jako klienta o dokonaniu wpisu internetowych nie jest jednoznaczne z udzieleniem takich informacji przez pracownika. Zupełnie niezrozumiałe jest przyjęcie, że dopuszczalne jest jedynie przenikanie się danych skarżącego z dwóch wskazanych przez organ zbiorów, jedynie dla celów związanych z zawarciem umowy kredytu i zastosowania przepisów odnoszących się do pracowników Banku.

Zgodzić należy się z organem, że w treści wpisów internetowych nie ma informacji pozwalających na identyfikację skarżącego jako pracownika Banku. Tym niemniej to sam skarżący zidentyfikował się podając pseudonim ([...]), informując o zamieszonych treściach i stronie internetowej. Bank w własnej inicjatywy nie czynił w tym zakresie żadnych ustaleń. Zdaniem organu pracodawca - Bank pozyskał dane osobowe znajdujące się w treści wpisów, takie jak fakt zawarcia umowy i bycie w sporze konsumenckim. Zauważyć jednak trzeba, że powiązanie informacji ze sfery konsumenckiej z informacjami z relacji służbowej ograniczało się do ustalenia treści wpisów dokonywanych przez skarżącego (podmiot danych) i faktu, że wpisy te były publikowane w związku z reklamacjami składanymi przez skarżącego. Bank jako pracodawca nie łączył w tym zakresie konkretnych informacji na temat produktów, z których korzysta pracownik i sposobu obsługi reklamacji, a w konsekwencji nie przetwarzał danych osobowych chronionych tajemnicą bankową w relacji służbowej z pracownikiem. Z resztą sam organ wskazał, że wpisy internetowe wyrażały wyłącznie niezadowolenie z działania Banku na gruncie konsumenckim. Trudno też czynić zarzut Bankowi, że zapoznał się z wpisami dokonanymi przez skarżącego na publicznie dostępnej stronie internetowej, po tym jak skarżący o zamieszczeniu takich wpisów poinformował. Skarżący, informując o swoich wpisach działał jako klient Banku ale także będąc w określonej korelacji jako klient-pracownik, korzystał bowiem, jak już wskazywano, przy zawarciu umowy kredytu z przepisów odnoszących się do pracowników Banku.

W tej sytuacji za niewystarczające należy uznać twierdzenia organu, że pomiędzy zbiorem danych osobowych skarżącego jako klienta Banku, a zbiorem danych dotyczących jego zatrudnienia nastąpił transfer danych skarżącego, wewnątrz tej samej organizacji. Już na tym etapie należy wskazać, że organ wadliwie ustalił jaki jest zbiór danych osobowych skarżącego jako klienta Banku, a jaki dotyczący jego zatrudnienia, a w konsekwencji czy rzeczywiście nastąpił transfer danych i jakich.

Odnośnie zaś do tajemnicy bankowej to Sąd podziela stanowisko Banku, że w tym zakresie Prezes UODO nie jest uprawniony do dokonywania ocen. W tym postępowaniu organ miał jedynie kompetencje to rozstrzygnięcia kwestii związanych z przetwarzaniem danych osobowych. Z resztą tę kwestię należy szczególnie podkreślić z uwagi na to co niżej.

Bank w skardze wniósł nadto - na podstawie art. 106 § 3 P.p.s.a. - o przeprowadzenie dowodu uzupełniającego z dokumentów, tj.:

1. Regulaminu Pracy Pracowników A. Spółka Akcyjna (załącznika nr 1 do Uchwały nr [...] Zarządu A. S.A.);

2. Kodeksu Etyki A. z listopada 2017 r.;

3. Kodeksu Etyki A. (załącznika nr 1 do Uchwały Zarządu A. Spółka Akcyjna Nr [...] z dnia [...].12.2021 r.) -

na okoliczność obowiązujących w Banku wewnątrzzakładowych źródeł prawa pracy i procedur zawierających obowiązki pracownicze, w tym doprecyzowanie obowiązku dbałości o dobro zakładu pracy oraz ich brzmienia.

Sąd na rozprawie w dniu 20 marca 2024 r. postanowił dopuścić ww. uzupełniające dowody, uznając, iż jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie.

W ocenie Sądu, organ w swoim rozstrzygnięciu skupił się na tzw. "transferze między zbiorami danych" (choć jak wskazano wyżej i w tym zakresie ocena jest wadliwa), pomija natomiast to, jakie treści komunikuje skarżący podając je do publicznej wiadomości, a w szczególności czy mogą one stanowić naruszenie obowiązków pracowniczych wynikających z art. 100 § 2 pkt 4 i Kodeksu pracy i ww. wewnątrzzakładowych źródeł prawa, a w konsekwencji czy Bank miał prawnie uzasadniony interes w przetwarzaniu danych osobowych skarżącego (art. 6 ust. 1 lit. f w zw. z art. 100 § 2 pkt 4 Kodeksu pracy). Organ dopiero w odpowiedzi na skargę próbuje konstatować ww. wskazywaną podstawę prawną przetwarzania danych osobowych skarżącego. W ocenie Sądu jednak argumentacja organu po pierwsze jest chybiona, a po drugie nie może konwalidować uchybień samej decyzji. Należy dostrzec, że takie twierdzenia organu jak to, że działania Banku sprowadzają się do "cenzurowania klienta banku", czy też, że "pracodawca nie ma prawa zakazywania klientom wyrażania swoich opinii", jak również to, że "dokumenty wewnętrzne Banku nie zakazują pracownikom będącym jednocześnie klientami banku wyrażania opinii" – stanowią nieuprawnioną opinię, wyrażoną w oderwaniu od realiów niniejszej sprawy. Ocena czy wpisy internetowe naruszają dobre imię i wizerunek Banku pozostać powinna poza rozstrzygnięciem Prezesa UODO. Organ skupić powinien się jedynie na ocenie czy w okolicznościach tej sprawy doszło do naruszenia przepisów obowiązujących w zakresie ochrony danych osobowych, tj. czy Banku posiadał prawnie uzasadniony interes w przetwarzaniu danych osobowych. Nie jest rolą Prezesa UODO rozstrzyganie kwestii pracowniczych, a ocena sprawy z punktu widzenia ochrony przetwarzania danych osobowych.

Zdaniem Sądu, organ nie dokonał w zaskarżonej decyzji należytej w tej sprawie oceny czy wskazywana przez Bank podstawa legalizująca przetwarzanie danych osobowych skarżącego istnieje. Bez wątpienia publikacja treści naruszających dobre imię pracodawcy stanowi naruszenie obowiązków pracowniczych. W okolicznościach faktycznych sprawy i biorąc pod uwagę całość akt administracyjnych nie można było podzielić twierdzenia organu, że organ dokonał pełnej oceny materiału dowodowego w sposób rzetelny i wyczerpujący. Uzasadnienie decyzji jednoznacznie wskazuje, że organ nie przeprowadził pełnej i wszechstronnej oceny całości zgromadzonego materiału dowodowego.

Dodać także należy, iż uzasadnienie decyzji nie zawiera wskazania, co organ wziął pod uwagę udzielając upomnienia (motyw 148 RODO). Wszystkie wyżej wskazane uchybienia mogły mieć w ocenie Sądu istotny wpływ na wynik sprawy.

Sąd uznał, iż dla prawidłowego rozpoznania sprawy niezbędne jest poczynienie dodatkowych ustaleń w zakresie wskazanym w niniejszym wyroku. Należy bowiem pamiętać, że zgodnie z art. 7 K.p.a. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Prowadzą też postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej (art. 8 § 1 K.p.a.) i powinny działać w sprawie wnikliwie (art. 12 § 1 K.p.a.). Przepisy te znajdują doprecyzowanie m.in. w art. 77 § 1 K.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy; istotny jest także art. 80 K.p.a., w świetle którego organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Organ winien odnieść się do wszystkich aspektów niniejszej sprawy i dokonać ich dogłębnej merytorycznej oceny, a wynik tej oceny przedstawić w sposób spełniający wymogi pełnego uzasadnienia decyzji administracyjnej, zgodnie z art. 107 § 3 K.p.a.

Z tych wszystkich względów Sąd uznał, że zaskarżona w pkt 1 decyzja jako wadliwa winna zostać wyeliminowana z obrotu prawnego z uwagi na naruszenie ww. przepisów postępowania.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. c P.p.s.a., orzekł jak w pkt 1 sentencji. Rozstrzygnięcie o kosztach zawarte w pkt 2 sentencji oparte zostało o treść art. 200 w zw. z art. 205 § 2 P.p.s.a.

Ponownie rozpoznając sprawę organ dokona wyczerpującej oceny zgromadzonego w sprawie materiału dowodowego pod kątem przesłanki z art. 6 ust. 1 lit. f RODO, uwzględniając przedstawione już wyżej wskazania Sądu. Dla oceny spełnienia tej przesłanki pomocne może być również dokonanie przez organ dodatkowych ustaleń w zakresie regulacji obowiązujących w Banku w odniesieniu do obowiązków pracowniczych. Ustalenia w tym zakresie pozwolą na pełną ocenę w zakresie przesłanki z art. 6 ust. 1 lit. f RODO. Wynik swojej oceny organ przedstawi w sposób spełniający wymóg określony w art. 107 § 3 K.p.a.