Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Irena Kamińska, Sędzia NSA Andrzej Jurkiewicz (spr.), Sędzia del. WSA Marian Wolanin, Protokolant starszy sekretarz sądowy Kamil Wertyński, po rozpoznaniu w dniu 6 września 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Naczelnika Urzędu Skarbowego w Z. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 czerwca 2010 r. sygn. akt II SA/Wa 151/10 w sprawie ze skargi Naczelnika Urzędu Skarbowego w Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] 2009 r. nr [...] w przedmiocie uchybień w procesie przetwarzania danych osobowych oddala skargę kasacyjną

Wyrokiem z dnia 18 czerwca 2010 r., sygn. akt II SA/Wa 151/10, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Naczelnika Urzędu Skarbowego w Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] 2009 r., nr [...], w przedmiocie uchybień w procesie przetwarzania danych osobowych.

Wyrok ten został wydany w następującym ustalonym przez Sąd I instancji stanie faktycznym i prawnym sprawy:

Decyzją nr [...] z dnia [...] 2009 r. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tj. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), zwanej dalej k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w zw. z art. 26 ust. 1 pkt 1, art. 24 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Naczelnika Urzędu Skarbowego w Z. z siedzibą w Z. nakazał Naczelnikowi Urzędu Skarbowego w Z. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

a) usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników przetwarzanych w celu ewidencji czasu pracy w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,

b) zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników w celu ewidencji czasu pracy w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna,

c) uwzględnienie w polityce bezpieczeństwa w opisie struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązań między nimi, systemu informatycznego o nazwie "[...]" w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, a w pozostałym zakresie umorzył postępowanie.

W uzasadnieniu decyzji organ podał, że przeprowadził kontrolę u Naczelnika Urzędu Skarbowego w Z., w celu ustalenia zgodności danych osobowych z przepisami o ochronie danych osobowych tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W toku kontroli odebrano od pracowników Urzędu Skarbowego w Z. ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że Naczelnik Urzędu Skarbowego jako administrator danych, naruszył przepisy o ochronie danych osobowych i uchybienia te polegały na:

1. przetwarzaniu z naruszeniem przepisów prawa danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Urzędu Skarbowego w Z. w celu ewidencji czasu pracy (art. 26 ust. 1 pkt 1 ustawy),

2. nieuwzględnieniu w polityce bezpieczeństwa, w opisie struktury zbioru danych wskazującym zawartość poszczególnych pól informacyjnych i powiązań między nimi, systemu informatycznego o nazwie "[...]" (§ 4 pkt 3 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych),

3. niedopełnieniu wobec kandydatów do pracy w prowadzonym naborze wewnętrznym na wolne stanowiska pracy: poborcy skarbowego w Dziale egzekucji oraz od referenta do inspektora w Referacie podatku dochodowego od osób fizycznych, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. nieinformowania w/w osób o prawie dostępu do treści swoich danych oraz ich poprawiania. Dalej organ wskazał, że Naczelnik Urzędu Skarbowego, wyjaśnił, iż:

1. dane biometryczne w postaci charakterystycznych punktów linii papilarnych palców pracowników zostały uzyskane na podstawie ich zgody wyrażonej w postaci pisemnego oświadczenia. Natomiast art. 22¹ § 5 ustawy Kodeks pracy stanowi, że w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach stosuje się przepisy o ochronie danych osobowych, czyli w zakresie innych danych pracowniczych, niż wymienione w art. 22¹ § 1-4 ustawy Kodeks pracy, zastosowanie mają przepisy ustawy o ochronie danych osobowych. W art. 22¹ § 1-4 ustawy Kodeks pracy nie ma mowy o danych osobowych pracownika w postaci charakterystycznych punktów linii papilarnych, lecz nie zmienia to faktu, że poprzez art. 22¹ § 5 ustawy Kodeks pracy, pracodawca może gromadzić także i tego rodzaju dane, o ile spełniona zostanie choćby jedna z przesłanek legalizujących ich przetwarzanie. Wobec istnienia zgody pracownika należy przyjąć, że dane osobowe w Urzędzie są przetwarzane w sposób zgodny z prawem na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tym bardziej, że pracownicy złożyli swoje oświadczenia woli dobrowolnie, co zalegalizowało ich przetwarzanie.

2. informacje dotyczące opisu struktury zbioru danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi w systemie informatycznym o nazwie "[...]", nie zostały umieszczone w dokumencie o nazwie "Polityka Bezpieczeństwa danych osobowych w systemie informatycznym Urzędu Skarbowego w Z." w związku z brakiem tych informacji od producenta,

3. przy prowadzeniu naboru wewnętrznego na wolne stanowiska pracy w Urzędzie Skarbowym w Z. jest przestrzegany obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych, znajduje to potwierdzenie m.in. w treści ogłoszenia o pracę, a ponadto nie stosowano odmowy dostępu do treści danych oraz ich ewentualnego poprawiania.

Ponadto, Naczelnik Urzędu Skarbowego wyjaśnił, że nabór pracowników został zakończony.

W dalszej części uzasadnienia organ przytoczył treść art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych oraz art. 22¹ § 1, 2, 4 i 5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy, a także art. 23 ust. 1 ustawy o ochronie danych osobowych oraz definicję danych osobowych zawartych w art. 6 ust. 1 ustawy o ochronie danych osobowych.

Wskazał także, że w toku kontroli ustalono, iż w Urzędzie Skarbowym w Z. od 2006 r. do rejestracji wejść i wyjść pracowników, wykorzystywany jest system informatyczny o nazwie "[...]". Pracownicy Urzędu mają możliwość dokonania wyboru jednej spośród dwóch metod rejestracji czasu pracy w ramach systemu "[...]", tj. mogą korzystać z metody wykorzystującej odcisk linii papilarnych lub metody wykorzystującej karty służące do rejestracji czasu pracy. Do tej pory wszyscy wybrali sposób rejestracji czasu pracy za pomocą odcisków linii papilarnych. Dane dotyczące czasu pracy są następnie przepisywane do kart ewidencji czasu pracy prowadzonych w formie papierowej. Zaś od osób, które wyraziły zgodę na rejestrację czasu pracy wykorzystując odcisk linii papilarnych, pozyskany został obraz linii papilarnych. Z tego obrazu system "[...]" automatycznie typuje wybrane cechy odcisku palca i przetwarza na kod binarny. Do kodu przypisywane jest imię i nazwisko pracownika, które jest przetwarzane w bazie Microsoft Access.

Organ stwierdził również, że przetwarzanie danych osobowych w zakresie obrazu linii papilarnych przetworzonych na kod cyfrowy odbywa się z naruszeniem przepisów prawa. Stosownie do treści art. 22¹ ustawy Kodeks pracy, pracodawca może żądać od pracownika podania danych tylko w takim zakresie, jaki został wskazany w powołanym przepisie. Przepis art. 22¹ § 1 i § 2 ustawy Kodeks pracy dopuszcza bowiem żądanie od pracownika podania wyłącznie danych zaliczonych do określonego w tym przepisie katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jednak jeden wyjątek (art. 22¹ § 4 ustawy Kodeks pracy), tj. pracodawca może żądać podania innych danych osobowych niż określone w art. 22¹ § 1 i § 2 ustawy Kodeks pracy, jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa. Do przedmiotowego stanu faktycznego nie znajdują zastosowania przepisy prawa, które zezwalałyby na przetwarzanie w celu prowadzenia rejestracji czasu pracy innych danych osobowych niż wymienione w art. 22¹ § 1 i § 2 ustawy Kodeks pracy. Powołany przepis został wprowadzony w ramach dostosowania wskazanego aktu prawnego do art. 51 ust. 1 Konstytucji RP, zgodnie z którym nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby.

Dalej organ podkreślił, że powoływanie zgody wyrażonej przez pracowników jako przesłanki legalizującej przetwarzanie danych biometrycznych w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny. Złożenie przez pracownika oświadczenia, które jest wyrażeniem zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Pracownik nie inicjuje podania tych danych, lecz zwraca się o nie pracodawca. Podkreślił ponadto, że jedną z podstawowych cech stosunku pracy jest podporządkowanie pracownika pracodawcy w zakresie dotyczącym pracy (art. 22 § 1 ustawy Kodeks pracy), zatem zgoda może być ograniczona z uwagi na nierówność stron. Wskazał również, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy. W ocenie organu Naczelnik Urzędu Skarbowego w Z. narusza zasadę adekwatności z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Wprowadzenie tej zasady do krajowej ustawy o ochronie danych osobowych jest wynikiem implementacji postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 25 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 21 z dnia 23 listopada 1995 r.), która w art. 6 ust. 1 lit. c ustanawia zasadę proporcjonalności polegającą na nałożeniu na administratorów danych obowiązku przetwarzania danych prawidłowych, stosownych oraz nadmiernych ilościowo w stosunku do celów, dla których zostały zgromadzone i dalej przetworzone.

Zgodnie z § 4 pkt 3 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych polityka bezpieczeństwa powinna zawierać opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi.

W toku kontroli ustalono, że prowadzona przez Naczelnika Urzędu Skarbowego polityka bezpieczeństwa nie spełnia wymagań o których mowa w § 4 pkt 3 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, bowiem w dokumencie "Polityka Bezpieczeństwa danych osobowych w systemie informatycznym Urzędu Skarbowego w Z.", w opisie struktury zbioru danych wskazującym zawartość poszczególnych pól informacyjnych i powiązań między nimi, nie został uwzględniony system informatyczny o nazwie "[...]". Natomiast wobec informacji, że nabór został zakończony, zarzut z art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych, stał się bezprzedmiotowy i w tym zakresie na podstawie art. 105 § 1 k.p.a. organ umorzył postępowanie.

W stosunku do powyższej decyzji Naczelnik Urzędu Skarbowego w Z. złożył wniosek o ponowne rozpatrzenie sprawy, w którym stwierdził, że gromadzenie i przetwarzanie linii papilarnych nie jest zabronione, jeżeli stoi za tym zgoda pracownika. Podkreślił, że pracownicy Urzędu mieli możliwość wyboru metody rejestracji czasu pracy, a więc pracodawca nie wykorzystał faktu podporządkowania pracowników.

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] 2009 r., na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w zw. z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Naczelnika Urzędu Skarbowego w Z. o ponowne rozpatrzenie sprawy, utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu decyzji ponad wcześniejsze argumenty organ wskazał, że niedopuszczalne jest przetwarzanie danych na podstawie zgody, w sytuacji gdy przepisy ograniczają zakres przetwarzania danych, a szczególnie wówczas, gdy osoba której dane dotyczą pozostaje w układzie podległości względem podmiotu któremu zgoda ma być udzielona.

Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której Naczelnik Urzędu Skarbowego w Z. wniósł o jej uchylenie. W uzasadnieniu skargi skarżący wskazał, że zostały naruszone zarówno przepisy prawa jak i niewłaściwie oceniono materiał dowodowy. W szczególności wskazał, że nie można się zgodzić z twierdzeniem, że oświadczenie woli pracownika nie stanowi przesłanki legalizującej przetwarzanie danych. Przedmiotowe oświadczenie woli podejmowane było dobrowolnie i z pełnym rozeznaniem.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie wniesiona skarga nie zasługuje na uwzględnienie.

W uzasadnieniu Sąd wskazał, że materialną podstawę zaskarżonej decyzji stanowi art. 26 ust. 1 pkt 1 oraz art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych oraz § 4 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W ocenie Sądu wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za takim stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22¹ ustawy Kodeks pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22¹ ustawy Kodeks pracy, stanowiłoby obejście tego przepisu.

Zdaniem Sądu rozszerzenie katalogu danych określonych w art. 22¹ ustawy Kodeks pracy, nie może mieć miejsca poprzez zastosowanie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L z 23.11.1995 r.). Dyrektywa ta jako implementowana do polskiego systemu prawnego wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone.

Sąd zauważył również, że na podstawie art. 29 Dyrektywy powołano organ Konsultacyjny nazwany Grupą Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej Dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie Biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w Urzędzie Skarbowym w Z. jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

Sąd wskazał także, że we wspomnianym dokumencie z dnia 1 sierpnia 2003 r. Grupa Robocza stwierdziła, że pracodawca popełnia błąd jeżeli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeżeli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody.

Zatem, mając powyższe okoliczności na uwadze, w ocenie Sądu, zaskarżona decyzja nie narusza prawa. Dlatego też na podstawie art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej p.p.s.a. Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji.

Od powyższego wyroku skargę kasacyjną wywiódł Naczelnik Urzędu Skarbowego w Z. zaskarżając go w całości. Jednocześnie skarżący kasacyjnie w oparciu o przepis art. 174 pkt 1 p.p.s.a. – podniósł zarzut naruszenia prawa materialnego przez błędną jego wykładnię i niewłaściwe zastosowanie, które mogły mieć istotny wpływ na wynik sprawy i stwierdził, że:

- przetwarzanie danych biometrycznych było niezbędne w Urzędzie Skarbowym w Z. dla osiągnięcia celu, jakim jest rejestracja czasu pracy, gdyż pozwalało to na jego dokładne rozliczenie w sytuacji, gdy istniały alternatywne formy tej rejestracji, oraz nie było możliwości zidentyfikowania osoby fizycznej przez inne osoby, niż upoważnione do sprawdzenia tego rejestru. Nadto dane osobowe w Urzędzie Skarbowym w Z. były przetwarzane zgodnie z prawem w oparciu o art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych.

Jednocześnie wnosząc o przyjęcie skargi kasacyjnej do rozpoznania na podstawie art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101 z 2002 r. poz. 926 ze zm.) w związku z art. 22 ¹ § 5 Kodeksu pracy, zgłoszono żądanie uchylenia zaskarżonego wyroku w całości i uwzględnienie skargi Naczelnika Urzędu Skarbowego w Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] 2009 r.

W uzasadnieniu autor skargi kasacyjnej wskazał, że nie można zgodzić się z uzasadnieniem Sądu stwierdzającym, że "pracodawca popełnia błąd, jeżeli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeżeli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody". Zdaniem skarżącego kasacyjnie pracownicy Urzędu Skarbowego w Z. mieli możliwość dokonania wyboru jednej z pośród dwóch metod rejestracji czasu pracy w ramach [...] tj. mogli korzystać z metody wykorzystującej odciski linii papilarnych, lub z metody wykorzystującej karty służące do rejestracji czasu pracy (każda karta ma kod cyfrowy). W tej sytuacji Urząd Skarbowy w Z. nie wykorzystał faktu podporządkowania pracowników, ale pozostawił im pełną swobodę działania w zakresie oświadczenia woli, bez żadnych konsekwencji odnośnie wyboru systemu rejestracji czasu pracy. Zdaniem skarżącego kasacyjnie oświadczenia woli pracowników nie były dotknięte wadą, która mogłaby spowodować ich nieważność, ponieważ pracownicy składając stosowne oświadczenia woli nie działali pod wpływem błędu, lub jakiejkolwiek groźby ze strony pracodawcy. Materiał dowodowy nie wykazał również, że pracownicy byli rozpytywani na okoliczność składania tych oświadczeń woli i mieli stwierdzić wywieranie na nich presji do wyrażenia zgody. Taka sytuacja nie miała miejsca, tym bardziej, że zgoda była wyrażana na udostępnienie danych osobowych w postaci linii papilarnych wyłącznie na potrzeby ewidencji czasu pracy w Urzędzie.

Autor skargi kasacyjnej podkreślił także, że treść art. 51 ust. 1 Konstytucji RP stanowi, iż nikt nie może być obowiązany inaczej, niż na podstawie ustawy do ujawnienia informacji dotyczącej jego osoby. Oznacza to, że w zakresie jakim ustawy nie nakładają obowiązku ujawnienia danych, każdy może swobodnie decydować o tym, czy ujawni dane na swój temat, czy też nie.

Wskazano również, że niezależnie od tego nie bez znaczenia jest treść § 21 pkt 1 Regulaminu Pracy obowiązującego od dnia [...] 2007 r. w Urzędzie Skarbowym w Z., w którym jednoznacznie określa się, że cyt. "przyjście do pracy (wejście do budynku), oraz każdorazowe wyjście z pracy (opuszczenie budynku), pracownicy potwierdzają za pomocą rejestratorów czasu pracy, usytuowanych na parterze budynku. Rejestracja odbywa się poprzez odczyt linii papilarnych, lub karty magnetycznej". Nadto w czasie przeprowadzonej kontroli ilość pracowników korzystających z odczytu linii papilarnych wynosiła 116, a odczytu z kart 18. Ponadto była prowadzona również lista obecności, na której podpisywali się stażyści i praktykanci.

Zdaniem autora skargi kasacyjnej stan ten potwierdza, że pracownicy mieli swobodę udzielenia zgody lub jej odmowy odnośnie rejestracji czasu pracy przy wykorzystaniu odcisku linii papilarnych przetworzonych na kod cyfrowy. Zaś w przyjętym przez Grupę Roboczą w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii, w oparciu o Dyrektywę Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 20 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych przyjęto, że można posłużyć się zgodą pracownika na przetwarzanie danych biometrycznych jeżeli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody. Taka sytuacja miała miejsce w Urzędzie Skarbowym w Z.

W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Odpowiedź ta została uzupełniona przez Generalnego Inspektora Ochrony Danych Osobowych pismem z dnia 2 września 2010 r.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153 poz. 1270 ze zm.), zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania.

W niniejszej sprawie żadna z wymienionych w art. 183 § 2 p.p.s.a. przesłanek nieważności postępowania nie zaistniała, wobec czego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych. Skarga kasacyjna wniesiona w niniejszej sprawie zawiera zarzut błędnej wykładni i nieprawidłowego zastosowania art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101 z 2002 r. poz. 926 ze zm.) w związku z art. 22 ¹ § 5 Kodeksu pracy.

Przepis art. 221 § 1 Kodeksu pracy stanowi, iż pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) datę urodzenia,

4) miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) przebieg dotychczasowego zatrudnienia.

Natomiast § 2 tej normy statuuje, iż pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:

1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,

2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

Z kolei § 5 art. 22 ¹ Kodeksu pracy w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, nakazuje stosować przepisy o ochronie danych osobowych. Zaś norma art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych uznaje przetwarzanie danych za dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

Zatem jedną z podstawowych (głównych) merytorycznych przesłanek przetwarzania danych osobowych jest zgoda zainteresowanego, zgoda osoby, której dane dotyczą a uregulowanie to jest pochodną przyznania każdej osobie prawa do ochrony własnych danych osobowych. Wymóg ten w ocenie Naczelnego Sądu Administracyjnego realizowany jest wyłącznie w ramach swobodnego, nieskrępowanego podjęcia decyzji i wyrażenia woli w tym zakresie.

Generalnie zdaniem skarżącego kasacyjnie wyrażenie przez pracownika zgody na pobranie odcisków linii papilarnych w oparciu o przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 22 § 5 Kodeksu pracy pozwalało legalnie na przetwarzanie danych biometrycznych w Urzędzie Skarbowym w Z., niezbędnych tam do rejestracji czasu pracy.

Naczelny Sąd Administracyjny nie podziela tego poglądu i stwierdza, że wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych w opisanym zakresie narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Generalnie więc brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 ustawy z dnia 26 marca 1974 r. - Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.) katalog danych, których pracodawca może żądać od pracownika. Jak wynika z utrwalonego orzecznictwa Naczelnego Sądu Administracyjnego, z którym skład orzekający w tej sprawie się identyfikuje, uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby naruszenie tego przepisu Kodeksu pracy (porównaj wyrok NSA z dnia 1 grudnia 2009 r. sygn. akt I OSK 249/09 – publikowany ONSA i WSA 2011/2/39). Tym samym stanowisko Sądu I instancji w pełni podzielające ten pogląd w zaskarżonym wyroku całkowicie zasługuje na aprobatę.

Niespornym tym samym pozostaje okoliczność, iż rozszerzenie katalogu danych określonych w art. 221 Kodeksu pracy nie może nastąpić przez zastosowanie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych na co przecież trafnie zwrócono uwagę w motywach zaskarżonego wyroku. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 95.281.31 ze zm.). Dyrektywa ta, implementowana do polskiego systemu prawnego, wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów, dla jakich zostały zgromadzone.

Również zasadnie Sąd I instancji przypomniał, że na podstawie art. 29 Dyrektywy powołano organ konsultacyjny nazwany Grupę Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w Urzędzie Skarbowym w Z. jest nieproporcjonalne do zamierzonego celu ich przetwarzania. We wspomnianym dokumencie z dnia 1 sierpnia 2003 r. Grupa Robocza stwierdziła, że "pracodawca popełnia błąd, jeśli próbuje zalegalizować przetwarzanie danych pochodzących od pracownika za pomocą uzyskanej od pracownika zgody. Można posłużyć się zgodą, jeśli odnosi się ona do przypadku, w którym pracownik ma całkowitą swobodę jej udzielenia i może odmówić udzielenia takiej zgody bez poniesienia szkody". Naczelny Sąd Administracyjny w pełni aprobuje pogląd wyrażony w dokumencie Grupy Roboczej.

W świetle powyższych rozważań zatem zarzut błędnej wykładni i niewłaściwego zastosowania art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 221 § 5 Kodeksu pracy nie jest w tej sprawie usprawiedliwiony. Stanowisko Sądu I instancji zajęte w tej sprawie jest prawidłowe i w pełni odpowiada prawu. Bez wpływu na powyższą konstatację ma argumentacja skargi kasacyjnej odwołująca się do treści Regulaminu pracy obowiązującego od [...] 2007 r. w Urzędzie Skarbowym w Z. To w § 21 pkt 1 regulaminu określono, iż "przyjście do pracy /wejście do budynku / oraz każdorazowe wyjście z pracy /opuszczenie budynku/ pracownicy potwierdzają za pomocą rejestratorów czasu pracy usytuowanych na parterze budynku. Rejestracja odbywa się poprzez odczyt linii papilarnych lub karty magnetycznej". Niezależnie od tego, że regulamin pracy nie może być sprzeczny z powszechnie obowiązującymi uregulowaniami prawa, to przede wszystkim regulamin taki będący aktem kierownictwa wewnętrznego, nie jest źródłem prawa upoważniającym do podjęcia działań w zakresie pobierania i przetwarzania danych osobowych w zakresie danych biometrycznych.

Powyższe rozważania prowadzą do wniosku, iż skarga kasacyjna nie zawiera usprawiedliwionych podstaw a to stanowi podstawę do jej oddalenia na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.).

Z tych też powodów orzeczono jak w sentencji.