Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Waldemar Śledzik (spr.), Asesor WSA Michał Sułkowski, , Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 4 sierpnia 2022 r. sprawy ze skargi A. sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w zakresie punktu 1; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej A. sp. z o. o. z siedzibą w [...] kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.

M. K. (dalej również: "Wnioskodawczyni") w piśmie z dnia

[...] lutego 2021 r. (data prezentaty) wniosła do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes PUODO", "Organ") skargę na niezgodne z prawem przetwarzanie jej danych osobowych przez A. Sp. z o.o. z siedzibą w [...] przy al. [...] [...], (dalej także: "Spółka"; "Skarżąca"), polegające na nieusunięciu jej danych osobowych po zakończeniu procesu rekrutacyjnego i odrzuceniu jej kandydatury oraz nieprawidłowej realizacji wobec niej w toku rekrutacji obowiązku informacyjnego z art. 13 i art. 15 RODO.

W pismach z dnia [...] lutego 2021 r. i z dnia [...] kwietnia 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO"), zwrócił się do Spółki o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi M. K. na nieprawidłowości w procesie przetwarzania jej danych osobowych.

W pismach z dnia [...] marca 2021 r., [...] kwietnia 2021 r. oraz z dnia [...] kwietnia 2021 r., Spółka wyjaśniła, że przetwarzała dane osobowe Wnioskodawczyni w celu przeprowadzenia rekrutacji za pośrednictwem strony internetowej A. Wnioskodawczyni aplikowała w 2020 r. na dwa stanowiska pracy. Obydwie aplikacje zostały rozpatrzone negatywnie na początkowym etapie procesu rekrutacyjnego — bez przeprowadzania rozmów kwalifikacyjnych. Procesy rekrutacyjne zakończone zostały w dniu [...] kwietnia 2020 r. W związku z powyższym, Spółka wskazała, że początkowo zablokowała dane Wnioskodawczyni w systemie aplikacyjnym, a jej konto zostało zdezaktywowane. Następnie, po przeprowadzeniu procesu weryfikacji i uznaniu braku ryzyka wystąpienia jakiejkolwiek dyskryminacji dane osobowe Wnioskodawczyni zostały w dniu [...] marca 2021 r. usunięte z systemu rekrutacyjnego, o czym została ona poinformowana e-mailem z dnia [...] kwietnia 2021 r. Ponadto Spółka wskazała, że aktualnie przetwarza dane osobowe Wnioskodawczyni w zakresie imię i nazwisko, adres e-mail, dane ujawnione w pismach oraz w treści korespondencji, która została załączona do pism kierowanych do Urzędu Ochrony Danych Osobowych w związku z toczącym się postępowaniem.

Spółka wyjaśniła, że zablokowanie profilu kandydat oznacza, że informacje kontaktowe są ukryte w celu uniknięcia niepożądanej komunikacji z kandydatem. Niektórzy z pracowników zespołu rekrutacyjnego mogą mieć wgląd w dane kandydata, ale wymaga to nadania odpowiednich uprawnień w systemie. W konsekwencji zakres dostępności do danych został ograniczony. Spółka wyjaśniła, że po zakończeniu rekrutacji przetwarzała dane osobowe Wnioskodawczyni celem zabezpieczenia jej możliwości dochodzenia ewentualnych roszczeń związanych z naruszeniem zasad równego traktowania w zatrudnieniu oraz umożliwienia ochrony Spółki przed ewentualnymi roszczeniami wynikającymi z przeprowadzonych rekrutacji. Spółka wskazała również, że usuwanie danych osób, które nie zostały zatrudnione w ramach procesu rekrutacyjnego, niezwłocznie po zakończeniu tego procesu, istotnie utrudniłoby, a nawet uniemożliwiłoby realizację ich praw związanych z uprawdopodobnieniem przed sądem naruszenia zasady równego traktowania w zatrudnieniu.

Odnosząc się do zarzutów dotyczących realizacji obowiązku informacyjnego wynikającego z art. 13 RODO Spółka wskazała, że podczas uzupełniania danych przez kandydata w systemie aplikacyjnym - a więc przy wypełnianiu dostępnych tam formularzy - na każdym etapie tego procesu wyświetla się informacja: "Sprawdź naszą Politykę Prywatności, aby dowiedzieć się więcej o tym, jak zbieramy, wykorzystujemy i przekazujemy dane osobowe naszych kandydatów." Po kliknięciu w hiperłącze kandydat zostaje przeniesiony do dokumentu polityki prywatności, która zawiera informacje dotyczące przetwarzania danych. Ponadto Spółka wskazała, że po zakończeniu składania aplikacji w Systemie, generowana jest automatyczna wiadomość zawierająca link przekierowujący do polityki prywatności. W polityce prywatności dotyczącej przetwarzania danych Kandydatów w A. [...] Spółka zawarła informacje, o których mowa w art. 13 RODO dotyczące przetwarzania danych, w tym danych kandydatów do pracy, tj. kategorie przetwarzanych danych, cele przetwarzania danych, źródło pozyskania danych, podmioty, którym mogą zostać udostępnione zgromadzone dane oraz w jakich celach, przewidywane okresy przetwarzania danych osobowych i okoliczności/cele warunkujące termin przetwarzania danych, prawa przysługujące osobom, których dane są przetwarzane oraz dane do kontaktu ze Spółką celem uzyskania dodatkowych informacji. Określając w Polityce prywatności kto jest administratorem danych wskazano: ,firma A., do której aplikujesz, kontroluje, jakie dane osobowe są gromadzone i jak są wykorzystywane. W niektórych krajach używany jest termin "administrator danych". Aby uzyskać adres fizyczny firmy A., do której aplikujesz, skontaktuj się z nami pod adresem [...] Odnosząc się do kwestii realizacji żądań Wnioskodawczyni dotyczących przetwarzania jej danych osobowych Spółka wyjaśniła, że odpowiadała na pytania Wnioskodawczyni w treści korespondencji e-mail, jak również poprzez odesłanie Wnioskodawczyni do Polityki Prywatności, która zawiera szereg informacji, do których otrzymania Wnioskodawczyni jest uprawniona na gruncie RODO. Spółka wskazała również, że Skarżąca nie zwróciła się do Spółki o wskazanie wszystkich informacji wskazanych w art. 15 RODO, a niektóre jej zapytania wykraczały poza zakres informacji wskazanych w art. 15 RODO. Z uwagi na niezadowolenie Wnioskodawczyni z dotychczas uzyskanych informacji Spółka ponownie udzieliła Wnioskodawczyni odpowiedzi na pytania, zawarte w korespondencji mailowej, której treść została dołączona do skargi e-mailem z dnia [...] kwietnia 2021 r.

E-mailem z dnia [...] maja 2020 r. Wnioskodawczyni zwróciła się do Spółki o usunięcie jej profilu kandydata oraz zgromadzonych jej danych osobowych.

Spółka e-mailem z dnia [...] maja 2020 r. poinformowała Wnioskodawczynię, że nie jest w stanie wykonać aktualnie jej żądania, ponieważ zobowiązana jest do przechowywania danych kandydatów w trakcie procesu rekrutacyjnego i po jego zakończeniu w celu ustalenia, dochodzenia lub obrony roszczeń, ale mogą zablokować jej profil kandydata w systemie (bez możliwości reaktywacji i jakiegokolwiek jej dostępu do niego) jeżeli nie jest ona zainteresowana otrzymywaniem w przyszłości ofert pracy. Ponadto, Spółka zapewniła Wnioskodawczynię, że usunie jej dane osobowe zgodnie z polityką retencyjną.

Następnie e-mailem z dnia [...] lipca 2020 r. Wnioskodawczyni zwróciła się do Spółki z pytaniami: 1. Jaka jest polityka retencyjna Spółki? 2. Przez jaki okres czasu Spółka będzie przechowywać jej dane osobowe? 3. Czy Spółka słyszała o RODO? 4. Dla jakich celów Spółka przetwarza jej dane osobowe bez jej zgody oraz wobec zgłoszonego przez nią sprzeciwu? 5. Czy Spółka przekazywała jej dane osobowe na rzecz podmiotów trzecich?

Spółka e-mailem z dnia [...] lipca 2020 r. odpowiedziała na pytania Wnioskodawczyni wskazując, że nie jest w stanie określić dokładnego okresu przechowywania jej danych osobowych, ale wyjaśniła, że będzie on zależny od ich polityki retencyjnej i RODO. Ponadto, Spółka wskazała cel przetwarzania danych (ustalenia, dochodzenia lub obrony roszczeń), poinformowała Skarżącą o zablokowaniu jej profilu kandydata w systemach Spółki oraz odesłała Skarżącą do obowiązującej w Spółce polityki prywatności dotyczącej przetwarzania danych kandydatów celem uzyskania dalszych informacji ([...]).

E-mailem z dnia [...] lipca 2020 r. Wnioskodawczyni ponowiła swoje żądanie usunięcia danych oraz wskazała, że nie uzyskała odpowiedzi czy jej dane osobowe zostały udostępnione na rzecz podmiotów trzecich.

E-mailem z dnia [...] lipca 2020 r. Spółka ponownie wskazała powody braku aktualnej możliwości usunięcia jej danych osobowych oraz odesłała Skarżącą do polityki prywatności dotyczącej przetwarzania danych kandydatów celem uzyskania dalszych informacji.

E-mailem z dnia [...] lipca 2020 r. Skarżąca wskazała, że nie otrzymała dotychczas wszystkich informacji w odpowiedzi na stawiane przez nią pytania oraz ponownie zwróciła się o wskazanie jej przez Spółkę: jak długo będą przetwarzane jej dane osobowe, jaka jest podstawa prawna przetwarzania jej danych osobowych po wniesieniu przez nią sprzeciwu i żądania usunięcia, czy jej dane zostały udostępnione podmiotom trzecim, czy jej dane przechowywane są w "chmurze", czy jej dane osobowe były przekazywane do innych oddziałów A. w Polsce i zagranicą.

E-mailem z dnia [...] sierpnia 2020 r. Spółka ponownie udzieliła Wnioskodawczyni odpowiedzi wskazując, że nie jest w stanie określić do kiedy dokładnie będzie przetwarzać jej dane osobowe, podała cel przetwarzania danych osobowych po zakończeniu przetwarzania danych oraz odesłała Skarżącą do strony [...] celem uzyskania informacji dotyczących przetwarzania jej danych osobowych, do których udzielania zobowiązuje administratorów danych RODO.

E-mailem z dnia [...] grudnia 2020 r. Wnioskodawczyni zwróciła się do Spółki z pytaniem czy nadal, po pół roku od jej wniosku o usunięcie, przetwarza jej dane osobowe oraz wskazała, że nadal nie otrzymała odpowiedzi na zadawane przez nią dotychczas pytania.

Udzielając odpowiedzi Wnioskodawczyni Spółka e-mailem z dnia [...] grudnia 2020 r. poinformowała ją o celu przetwarzania jej danych osobowych po zakończeniu rekrutacji oraz okolicznościach warunkujących okres przetwarzania danych. Ponadto, celem uzyskania dodatkowych informacji Spółka odesłała Wnioskodawczynię do polityki prywatności.

E-mailem z dnia [...] kwietnia 2021 r. Spółka wskazała Wnioskodawczyni podstawę i cele przetwarzania jej danych osobowych po zakończeniu procesu rekrutacyjnego oraz poinformowała ją o usunięciu danych, z wyjątkiem danych niezbędnych do udzielania wyjaśnień w związku z postępowaniem prowadzonym przez UODO. Ponadto, Spółka w przesłanej wiadomości odniosła się do kwestii udostępniania danych podmiotom trzecim (udostępnienie danych doradcom prawnym), udostępniania danych w ramach grupy kapitałowej A., miejsca przechowywania danych (wewnętrzna sieć A.) oraz ponownie odesłała Wnioskodawczynię do polityki prywatności celem uzyskania dodatkowych informacji odnośnie przetwarzania danych osobowych kandydatów na pracownika.

W tych okolicznościach faktycznych i prawnych Prezes UODO decyzją z dnia

[...] stycznia 2022 r. nr [...] wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm., dalej: "K.p.a.") w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 5 ust. 1 lit. a i art. 6 ust. 1, art. 12, art. 13, art. 15 oraz art. 58 ust. 2 lit. b RODO, udzielił Spółce upomnienia w pkt 1 za naruszenie art. 5 ust. 1 lit a i lit. b w związku z art. 6 RODO poprzez bezpodstawne przetwarzanie danych osobowych M. K. po zakończeniu procesu rekrutacyjnego, w pkt 2 za naruszenie przepisów art. 12 ust. 1 w związku z art. 13 ust. 1 lit. a RODO poprzez niespełnienie wobec M. K. prawidłowo obowiązku informacyjnego w związku z pozyskaniem jej danych osobowych w toku przeprowadzonych procesów rekrutacyjnych, tj. niewskazanie w treści obowiązku informacyjnego pełnej nazwy i adresu siedziby administratora danych, w pkt 3 za naruszenie przepisów art. 12 ust. 3 i 4 RODO w związku z art. 15 RODO poprzez niespełnienie wobec M. K. prawidłowo i w wyznaczonym terminie obowiązku informacyjnego w odpowiedzi na jej wnioski.

W uzasadnieniu decyzji Prezes UODO podał, że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Dodatkowo, każda operacja przetwarzania danych osobowych podejmowana przez administratora powinna być zgodna z zasadami przetwarzania danych osobowych określonymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zgodność z prawem, rzetelność i przejrzystość (lit. a), ograniczenie celu przetwarzania (lit. b), jak również minimalizacja przetwarzanych danych (lit. c).

Mając na uwadze powyższe Prezes UODO wskazał, że okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Natomiast wydłużenie okresu przechowywania danych zawartych w aplikacji, powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Organ wskazał, że w toku postępowania ustalono, że Spółka przetwarzała dane osobowe Wnioskodawczyni po zakończeniu procesu rekrutacyjnego w okresie od dnia [...] kwietnia 2020 r. do dnia [...] marca 2021 r. Jako cel przetwarzania danych Spółka w złożonych wyjaśnieniach wskazała zabezpieczenie Wnioskodawczyni możliwości dochodzenia ewentualnych roszczeń związanych z naruszeniem zasad równego traktowania w zatrudnieniu oraz umożliwienie ochrony Spółki przed ewentualnymi roszczeniami wynikającymi z przeprowadzonych rekrutacji. Jednocześnie Spółka oświadczyła, że dane zostały usunięte niezwłocznie po zakończeniu procesu weryfikacji i uznaniu braku ryzyka wystąpienia jakiejkolwiek dyskryminacji Wnioskodawczyni w toku przeprowadzonych procesów rekrutacyjnych (tj. w dniu [...] marca 2021 r.).

W ocenie Prezesa UODO powoływanie się przez Spółkę na przetwarzanie danych osobowych Wnioskodawczyni w celu obrony przed ewentualnymi roszczeniami nie znajduje żadnego prawnego uzasadnienia i nie stanowi przesłanki uprawniającej Spółkę do przetwarzania tych danych. Tym bardziej, że Spółka nie wyjaśniła o jakie konkretnie roszczenia może chodzić. Organ stwierdził, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. W przeciwnym razie pojawia się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli do wytoczenia powództwa przeciwko pracodawcy, administratorowi danych nie dojdzie.

W związku z powyższym niemożliwym staje się określenie dokładnego terminu, kiedy roszczenie z tego tytułu ulega przedawnieniu, a zatem administrator nie jest również w stanie określić okresu przetwarzania danych osobowych niezbędnego do celów, w których dane te są przetwarzane. Nie ma więc podstaw do uznania, że Spółka jest uprawniona do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia hipotetycznego roszczenia w przyszłości.

W ocenie Prezesa UODO, przetwarzanie przez Spółkę danych osobowych Wnioskodawczynię po zakończeniu procesów rekrutacyjnych nie miało oparcia w żadnej z przesłanek legalizujących przetwarzanie danych w art. 6 RODO i nastąpiło również z naruszeniem zasad zawartych w art. 5 ust. 1 lit. a i lit. b RODO.

Odnosząc się do żądań Wnioskodawczyni z dnia [...] maja 2020 r. i z dnia [...] lipca 2020 r. usunięcia jej danych osobowych przez Spółkę, Prezes UODO stwierdził, że Spółka nie posiadała podstawy do przetwarzania danych osobowych Skarżącej i była zobowiązana do usunięcia danych po otrzymaniu wniosku z dnia [...] maja 2020 r.

organ wyjaśnił, że postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.

W związku z powyższym, biorąc pod uwagę, że dane osobowe Wnioskodawczyni, zgromadzone w toku przeprowadzonych przez Spółkę procesów rekrutacyjnych zostały usunięte w dniu [...] marca 2021 r. Prezes UODO na podstawie art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia za naruszenie przepisów art. 5 ust. 1 lit a i lit. b w związku z art. 6 RODO poprzez bezpodstawne przetwarzanie danych osobowych Wnioskodawczyni po zakończeniu procesu rekrutacyjnego (punkt 1 decyzji).

W odniesieniu do zarzutów dotyczących nieprawidłowości w realizacji przez Spółkę wobec niej obowiązku informacyjnego z art. 13 RODO w związku z przetwarzaniem danych osobowych Wnioskodawczyni Organ wskazał, że zgodnie z art. 13 ust. 1 RODO jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie informacje wskazane w tym przepisie oraz art. 13 ust. 2 RODO.

Prezes UODO wskazał, że w niniejszej sprawie Spółka zrealizowała obowiązek informacyjny z art. 13 RODO wobec Wnioskodawczyni poprzez kilkukrotne odesłanie jej w toku procesu rekrutacyjnego do polityki prywatności Spółki dla kandydatów do pracy. W ocenie Organu przedłożona Wnioskodawczyni polityka prywatności Spółki zawiera wymagane informacje określone w art. 13 ust. 1 lit. b - f i ust. 2 RODO, natomiast nie zawiera wskazania tożsamość i danych kontaktowych (adresu siedziby) administratora danych - Spółki, ani jeżeli ma to zastosowanie, tożsamość i danych kontaktowych przedstawiciela (art. 13 ust. 1 lit. a RODO). Realizacja obowiązku informacyjnego w zakresie art. 13 ust. 1 lit. a RODO poprzez określenie administratora jako "firmy A., do której aplikujesz" oraz odesłanie do kontaktu pod adresem [...] celem uzyskania pełnych informacji o administratorze danych nie jest prawidłowym sposobem, który spełnia warunki, o których mowa w art. 12 ust. 1 RODO.

Odnosząc się do zarzutu dotyczącego braku wskazania okresu przetwarzania danych Prezes UODO wskazał, że zgodnie z art. 13 ust. 2 lit. a RODO administrator podaje okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. W przedmiotowej sprawie Spółka wskazała Wnioskodawczyni okoliczności warunkujące okres przetwarzania jej danych osobowych, a zatem spełniła prawidłowo obowiązek informacyjny w zakresie dotyczącym art. 13 ust. 2 lit. a RODO.

W związku z powyższym oraz mając na uwadze fakt zaprzestania przetwarzania przez Spółkę danych osobowych Wnioskodawczyni pozyskanych w toku procesów rekrutacyjnych i poinformowanie o powyższym Wnioskodawczyni e-mailem z dnia [...] kwietnia 2021 r. Prezes UODO na podstawie art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia za naruszenie art. 12 ust. 1 w związku z art. 13 ust. 1 lit. a RODO poprzez niespełnienie wobec Wnioskodawczyni prawidłowo obowiązku informacyjnego w związku z pozyskaniem jej danych osobowych w toku przeprowadzonych procesów rekrutacyjnych, tj. nie wskazanie w treści obowiązku informacyjnego pełnej nazwy i adresu siedziby administratora danych (punkt 2 decyzji).

W odniesieniu do zarzutu dotyczącego nieprawidłowej realizacji wobec Wnioskodawczyni przez Spółkę jej wniosków z złożonych w oparciu o art. 15 RODO Organ wskazał, że Administrator otrzymując wniosek złożony w oparciu o art. 15 RODO związany jest jego treścią. Ponadto, administrator danych udzielając odpowiedzi na wniosek zobowiązany jest do spełnienia warunków określonych w art. 12 ust. RODO.

Dokonując oceny realizacji obowiązku informacyjnego z art. 15 RODO w kontekście wniosków (pytań) kierowanych przez Wnioskodawczynię Organ wskazał, że pytania o znajomość RODO i politykę retencyjną nie mieszczą się w zakresie informacji dotyczących przetwarzania jej danych osobowych, które administrator zobowiązany byłby udzielić Wnioskodawczyni, natomiast odpowiedź pozostałe pytania Wnioskodawczyni została jej udzielona przez Spółkę e-mailowo, z tym, że początkowo Spółka udzielała Wnioskodawczyni tylko odpowiedzi odnośnie celu i terminu przetwarzania danych, a dopiero e-mailem z dnia [...] kwietnia 2021 r. udzieliła Wnioskodawczyni odpowiedzi na wszystkie zadawane przez nią pytania.

Prezes UODO wskazał, że nie można uznać realizacji obowiązku informacyjnego z art. 15 RODO za prawidłową jeżeli administrator odsyła do polityki prywatności, która zawiera opis ogólnych, możliwych do wystąpienia okoliczności przetwarzania danych uzależnionych od szeregu warunków i czynników, a nie indywidualnie odpowiada na pytania wnioskodawcy dotyczące przetwarzania jego danych osobowych.

W ocenie Organu Spółka swoim działaniem uchybiła dyspozycji określonej w art. 12 ust. 3 RODO, który wprost stanowi, że administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Z kolei, zgodnie z art. 12 ust. 4 RODO jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania - informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Z zebranego w sprawie materiału wynika, że Spółka w związku z ponawianym żądaniami Wnioskodawczyni kilkukrotnie nie udzieliła jej odpowiedzi na pytanie o udostępnienie danych podmiotom trzecim oraz w "chmurze" i do innych oddziałów A. w Polsce i zagranicą (odpowiedzi udzielone dopiero

w dniu [...] kwietnia 2021 r.).

Spółka złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] stycznia 2022 r. w części, tj. w zakresie punktu 1.

Zaskarżonej w części (punkt 1) decyzji zarzuciła naruszenie:

I. przepisów postępowania mające istotny wpływ na wynik sprawy, tj.:

1. art. 7, art. 8 i art. 107 § 3 k.p.a. poprzez niewyjaśnienie wszystkich okoliczności faktycznych oraz skonstruowanie decyzji w sposób uniemożliwiający realizację zasady ogólnej przekonywania (art. 11 k.p.a.) a w konsekwencji błędne ustalenie przez Organ, że "Spółka nie wyjaśniła o jakie konkretnie roszczenia może chodzić" oraz "niemożliwym staje się określenie dokładnego terminu, kiedy roszczenie z tego tytułu ulega przedawnieniu";

II. przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1. art. 6 ust. 1 lit. f RODO w zw. z art. 5 ust. 1 lit. a i b RODO poprzez jego niezastosowanie i uznanie, że A. przetwarzała dane osobowe po zakończeniu rekrutacji bez podstawy prawnej, pomimo istnienia zarówno po stronie Spółki, jak i innych kandydatów biorących udział w rekrutacji, prawnie uzasadnionych interesów polegających na umożliwieniu stronom ustalenia, dochodzenia i obrony przed roszczeniami z zakresu równego traktowania i dyskryminacji w zatrudnieniu;

2. art. 11, art. 183b oraz art. art. 183d k.p. w zw. z art. 6 ust. 1 lit. f RODO poprzez ich niezastosowanie i uznanie, że Spółka nie ma obowiązku zapewnienia dowodów w ewentualnym postępowaniu dotyczącym nierównego traktowania lub dyskryminacji w toku rekrutacji, a w konsekwencji uznanie, że A. nie ma podstawy prawnej do przetwarzania danych kandydatów po zakończeniu procesu rekrutacji;

3. art. 291 w zw. z art. 183b oraz art. 183d k.p. poprzez ich niezastosowanie, a w konsekwencji przyjęcie, że niemożliwym jest określenie dokładnego terminu, kiedy roszczenia ulegają przedawnieniu.

Podnosząc powyższe zarzuty Spółka wniosła o uwzględnienie skargi i uchylenie w części, tj. w zakresie punkt 1 decyzji Prezesa UODO z dnia [...] stycznia 2022 r. oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów wynagrodzenia pełnomocnika, według norm przepisanych.

W obszernym uzasadnieniu skargi Spółka rozwinęła powyższe zarzuty.

Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie z przyczyn wywiedzionych w zaskarżonej decyzji.

W piśmie procesowym z dnia [....] kwietnia 2022 r. stanowiącym replikę na odpowiedź na skargę pełnomocnik Skarżącej podtrzymał skargę. Wskazał m.in., że zarzut Spółki dotyczący naruszenia przepisów postępowania nie dotyczył braku poinformowania przez Organ o zebraniu materiału dowodowego oraz o możliwości wypowiedzenia się co do zebranych materiałów i dowodów. Wyjaśnił, że powyższy zarzut dotyczył tego, że w toku postępowania Organ nie wskazywał Spółce, że nie wyjaśniła ona o jakie roszczenia (z zakresu nierównego traktowania i dyskryminacji może chodzić). Spółka wskazała bowiem w swoich wyjaśnieniach zarówno te roszczenia, jak i przywołała orzecznictwo Trybunału Sprawiedliwości UE dotyczące obowiązku pracodawcy wykazania, że proces rekrutacji nie naruszał praw kandydatów. Ponadto Spółka stwierdziła, że to nie Spółka ma wykazywać, jakie konkretnie roszczenia wystąpiły w sprawie ze skargi M. K., bowiem to nie Spółka jest dysponentem roszczeń zakresu nierównego traktowania i dyskryminacji tylko kandydaci.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na wstępie Sąd wyjaśnia, że w związku ze zmianą art. 15 zzs4 ust. 2 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r., poz. 1842 – zwanej dalej jako: "ustawa covidowa"), wynikającą z art. 4 pkt 3 ustawy z 28 maja 2021 r. o zmianie ustawy - Kodeks postępowania cywilnego oraz niektórych innych ustaw (Dz.U. z 2021 r., poz. 1090), która weszła w życie 3 lipca 2021 r., w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich, wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku, z tym, że osoby w niej uczestniczące nie muszą przebywać w budynku sądu.

Stosownie do wskazanej wyżej regulacji, nin. sprawa została skierowana do rozpoznania na rozprawie zdalnej, na podstawie zarządzenia Przewodniczącego Wydziału II (k. 60 akt sądowych).

Zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tj.: Dz. U. z 2021 r., poz. 137) w zw. z art. 3 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2019 r., poz. 2325 ze zm.- zwaną dalej "P.p.s.a."), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W ramach owej kontroli sąd administracyjny nie przejmuje sprawy administracyjnej do jej końcowego załatwienia, lecz ocenia, nie będąc przy tym związany granicami skargi, czy przy wydawaniu zaskarżonego aktu nie naruszono reguł postępowania administracyjnego i czy prawidłowo zastosowano prawo materialne.

Powyższa kontrola dokonywana jest według stanu faktycznego i prawnego na dzień wydania zaskarżonego aktu administracyjnego, na podstawie materiału dowodowego zebranego w toku postępowania administracyjnego.

W wyniku takiej kontroli decyzja (postanowienie) może zostać uchylona w razie stwierdzenia, że naruszono przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy lub doszło do takiego naruszenia przepisów prawa procesowego, które mogłoby w istotny sposób wpłynąć na wynik sprawy, ewentualnie w razie wystąpienia okoliczności mogących być podstawą wznowienia postępowania (art. 145 § 1 pkt 1 lit. a), b) i c) p.p.s.a.).

Sprawując kontrolę w oparciu o powołane kryterium zgodności z prawem sąd administracyjny orzeka na podstawie akt sprawy administracyjnej, biorąc pod uwagę stan faktyczny i prawny istniejący w dacie wydania ocenianej decyzji, nie uwzględniając okoliczności, które zaistniały w okresie późniejszym. Należy przy tym podkreślić, że sąd administracyjny nie ustala stanu faktycznego, a jedynie wskazuje, które ustalenia organu zostały przez niego przyjęte, a które nie (por. wyrok NSA z dnia 6 lutego 2008r., sygn. akt II FSK 1665/06, opublikowany - podobnie jak pozostałe przywołane w niniejszym uzasadnieniu orzeczenia sądów administracyjnych - w Centralnej Bazie Orzeczeń Sądów Administracyjnych: http://cbois.nsa.gov.pl).

Jednocześnie, zgodnie z art. 134 § 1 p.p.s.a. (w brzmieniu obowiązującym od dnia 15 sierpnia 2015r.) Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a p.p.s.a. (który w nin. sprawie nie ma zastosowania).

Dokonując kontroli legalności zaskarżonego aktu Sąd stwierdził, że sporna decyzja Prezesa UODO z dnia [...] stycznia 2022r., w zaskarżonej części, tj. w zakresie udzielenia Skarżącej upomnienia za naruszenie przepisów art. 5 ust. 1 lit. a i lit. b w związku z art. 6 RODO poprzez bezpodstawne przetwarzanie danych osobowych M. K. po zakończeniu procesu rekrutacyjnego (pkt. 1 zaskarżonej decyzji), w sposób istotny narusza obowiązujące przepisy prawa i dlatego powinna zostać wyeliminowana z obrotu prawnego.

Przedmiotem sporu w niniejszej sprawie była kwestia prawidłowości ustaleń organu nadzorczego w zakresie legitymowania się przez Skarżącą, jako administratora danych osobowych, przesłanką uprawniającą - w świetle przepisów RODO - do przetwarzania danych osobowych M. K. po zakończeniu procesu rekrutacyjnego w okresie od [...] kwietnia 2020r. do [...] marca 2021r.

Zdaniem Prezesa POUODO, powoływanie się przez Skarżącą na przetwarzanie danych osobowych Wnioskodawczyni po zakończeniu procesu rekrutacyjnego o przyjęcie do pracy w Spółce "(...) w celu ochrony przed ewentualnymi roszczeniami, bez wykazania przez Spółkę okoliczności, które mogły stanowić dla Skarżącej podstawę do dochodzenia przez nią roszczeń", nie stanowi przesłanki uprawniającej Skarżącą do przetwarzania tych danych, om której mowa w art. 6 ust. 1 lit f RODO i to tym bardziej, że Spółka nie wyjaśniła o jakie konkretne roszczenia może chodzić, zaś Wnioskodawczyni, po zakończeniu procesu rekrutacji, nie powoływała się na okoliczności świadczące o możliwym dyskryminowaniu jej.

Z takim stanowiskiem nie zgadza się Skarżąca, uznając, w szczególności, że "A. przetwarzała dane Wnioskodawczyni z uwagi na prawnie uzasadniony interes mający podstawę prawną w art. 11, art. 183b oraz art. art. 183d k.p. w zw. z art. 6 ust. 1 lit. f RODO", a Organ nie wyjaśnił w tym aspekcie wszystkich okoliczności oraz błędnie przy tym przyjął, że "Spółka nie wyjaśniła o jakie konkretnie roszczenia może chodzić (...)", co stanowi naruszenie przepisów art. 7, art. 8 i art. 107 § 3 k.p.a.

Przy tak zakreślonych granicach sporu oraz stanowiskach stron, w punkcie wyjścia swoich rozważań Sąd zauważa, że zarzuty skargi zostały oparte zarówno na naruszeniu prawa materialnego, jak i przepisów postępowania.

W takim przypadku, co do zasady, Sąd w pierwszej kolejności zobligowany jest do rozpoznania zarzutów naruszenia przepisów postępowania (por. wyroki NSA z: 27 czerwca 2012 r., II GSK 819/11; 26 marca 2010 r., II FSK 1842/08; 4 czerwca 2014 r., II GSK 402/13).

W rozpoznawanej sprawie Sąd odstępuje od powyższej zasady, gdyż zarzuty naruszenia przepisów postępowania w sposób bezpośredni wiążą się z zarzutami naruszenia przez Prezesa PUODO prawa materialnego, tj., art. 6 ust. 1 lit. f RODO w zw. z art. 5 ust. 1 lit. a i b RODO poprzez jego niezastosowanie i uznanie, że Skarżąca przetwarzała dane osobowe po zakończeniu rekrutacji bez podstawy prawnej, pomimo istnienia zarówno po stronie Spółki, jak i innych kandydatów biorących udział w rekrutacji, prawnie uzasadnionych interesów polegających na umożliwieniu stronom ustalenia, dochodzenia i obrony przed roszczeniami z zakresu równego traktowania i dyskryminacji w zatrudnieniu.

Zdaniem Sądu, ocena wskazanych zarzutów naruszenia przepisów postępowania winna zostać dokonana poprzez pryzmat przepisów materialnoprawnych, gdyż te determinują zakres niezbędnych ustaleń faktycznych dla prawidłowego rozstrzygnięcia istoty sporu w niniejszej sprawie, tj. zasadności udzielenia Skarżącej upomnienia za naruszenie przepisów art. 5 ust. 1 lit. a i b RODO w związku z art. 6 RODO poprzez bezpodstawne przetwarzanie danych osobowych Wnioskodawczyni po zakończeniu procesu rekrutacyjnego.

Tylko bowiem w takiej sytuacji możliwa jest ocena, czy uchybienia procesowe organów administracji rzeczywiście miały miejsce oraz czy mogły mieć one istotny wpływ na wynik podjętego przez te organy rozstrzygnięcia.

Biorąc pod uwagę powyższe, na wstępie zauważyć należy, że obowiązki administratora danych, do których należy przetwarzanie danych osobowych, określa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. - z zachowaniem przesłanek określonych w tymże rozporządzeniu.

Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art, 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.

Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

W tym miejscu podkreślenia wymaga, że przesłanka legalizująca przetwarzanie danych osobowych zawarta w tym przepisie (art. 6 ust. 1 lit. f RODO) ma charakter swoistej klauzuli generalnej, która zwiększa elastyczność katalogu zawartego w art. 6 ust. 1 RODO.

Dalej Sąd wyjaśnia, że stosowanie tego przepisu następuje dwuetapowo oraz, że oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu.

W drugim etapie trzeba, w szczególności, ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f RODO, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej. Dodać należy, że prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

W doktrynie przyjmuje się, że wykładnia pojęcia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne, czy też prawne (por. m.in. D. Lubasz i W. Chomiczewski /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018 i powołane tam poglądy doktryny).

Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

Odnosząc powyższe rozważania do realiów sprawy, w ocenie Sądu, Prezes PUODO dokonał niewłaściwej wykładni przepisów prawa materialnego, tj. art. 6 ust. 1 lit. f RODO albowiem nakładając w punkcie 1 zaskarżonej decyzji karę upomnienia na Skarżącą i uznając, że przetwarzała bez podstawy prawnej dane osobowe Wnioskodawczyni po zakończeniu rekrutacji pracowniczej, nie tylko nie wyważył dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów podstawowych praw oraz wolności podmiotu danych z drugiej - w rozumieniu ust. 1 lit. f przywołanego przepisu art. 6 RODO – ale w ogóle nie odniósł się do przywołanych przez Spółkę podstaw legalizacyjnych przetwarzania danych osobowych tak Wnioskodawczyni, jak i innych osób uczestniczących w procesie rekrutacji, tj. art. 291 w zw. z art. 183b oraz art. 183d Kodeksu pracy.

Zdaniem Sądu, także zaprezentowana przez Organ wykładnia przesłanki z art. 6 ust. 1 lit. f RODO, tzn. że dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia potrzeby dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem jest błędna.

Skoro bowiem, jak wskazano już wcześniej, immanentną cechą prawnie uzasadnionych interesów administratora jest "niezbędność", to dane przetwarzane na potrzeby prawnie uzasadnionych interesów powinny być "niezbędne" do ich realizacji. Co więcej, interesy realizowane przy przetwarzaniu danych powinny być uzasadnione prawnie. Nie można sformułowania "prawnie", w odniesieniu do uzasadnienia interesu, utożsamiać z uprawnieniem do przetwarzania danych, które miałoby wynikać z jakiegoś szczególnego przepisu prawa. Takie podejście prowadziłoby bowiem do przyjęcia, że działania administratora danych powinny mieć swoje źródło w uprawnieniach wynikających ze szczególnych przepisów prawa, co prowadziłoby w konsekwencji do powstania konkurencyjnej podstawy przetwarzania danych w stosunku do art. 6 ust. 1 lit. c lub lit. e RODO. Brak jest również podstaw, by prawnie uzasadniony interes utożsamiać z interesem prawnym, w rozumieniu przepisów o postępowaniu administracyjnym (tak m.in. /w:/ Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Wydawnictwo C.H. Beck, Warszawa 2018, s. 304).

Zważywszy na powyższe, nie powinno więc ulegać wątpliwości, że Skarżąca ma interes prawny, w rozumieniu RODO, do przetwarzania (wyłącznie poprzez ich przechowywanie) danych osobowych Wnioskodawczyni w celu obrony przed roszczeniami tak Wnioskodawczyni, jak i innych osób, które uczestniczyły w procesie rekrutacji, a które mogą być skutecznie dochodzone przez okres przedawnienia roszczeń ze stosunku pracy wynikający z art. 291 w związku – jak w realiach sprawy - z art. 183b oraz art. 183d Kodeksu pracy, przy czym przepis art. 291 k.p., jak słusznie podnosi Skarżąca, wbrew stanowisku Organu, jednocześnie jednoznacznie wskazuje, kiedy takie roszczenia ulegają przedawnieniu.

W ocenie Sądu, nie jest to - jak twierdzi organ nadzorczy - przetwarzanie "na zapas". Inna byłaby bowiem sytuacja, gdyby skarżąca Spółka nadal przetwarzała dane osobowe uczestnika postępowania pomimo upływu terminu przedawnienia. Wówczas rzeczywiście interes Skarżącej nie byłby już dłużej prawnie uzasadniony.

Niezależnie od powyższych uwag dodać należy, że warunkiem dopuszczalności przetwarzania danych na gruncie art. 6 ust. 1 lit f RODO jest także to, aby przetwarzanie nie naruszało interesów, praw i wolności osoby, której dane dotyczą w rozumieniu gwarancji praw i wolności, które znajdują swoje podstawy w normach konstytucyjnych.

Jak słusznie podkreślił Naczelny Sąd Administracyjny w wyroku z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, "(...) mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP".

Analogiczny pogląd prezentowany jest w doktrynie, tj. że pojęcie "praw i wolności" interpretować trzeba w świetle konwencji międzynarodowych i przepisów Konstytucji RP odnoszących się do wolności i praw osobistych, wolności i praw politycznych oraz wolności i praw ekonomicznych (por. m.in. /w:/ P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, wyd. 4, Wydawnictwo C.H. Beck, Warszawa 2016, podobnie: A. Szewc, Z problematyki ochrony danych osobowych, cz. II, Radca prawny Nr 4 z 1999 r., s. 3).

W świetle powyższych uwag przyjąć należy, że skoro Skarżąca jako administrator danych chce przechowywać dane uczestnika postępowania rekrutacyjnego (w tym dane Wnioskodawczyni) z potencjalną możliwością wykorzystania ich w postępowaniu sądowym i to przez znany, z góry określony okres (okres przedawnienia roszczeń pracowniczych wynikający z art. 291 k.p.) to tym samym "prawnie uzasadniony interes administratora" nie narusza ani nie wpływa negatywnie na sytuację prawną uczestników postępowania rekrutacyjnego.

Taka wykładnia jest zgodna z motywem art. 47 RODO, w którym podkreśla się, że interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

Reasumując powyższe rozważania, w ocenie Sądu, z przyczyn wskazanych wyżej, Organ dokonał wadliwej wykładni przepisu art. 6 ust. 1 lit. f RODO poprzez przyjęcie, że Skarżąca nie może przechowywać danych kandydata po zakończeniu procesu rekrutacyjnego w związku brakiem podstawy prawnej, gdyż takowe, bez zawiśnięcia konkretnej sprawy przed sądem, miałoby charakter przetwarzania danych "na zapas".

W konsekwencji wadliwej wykładni prawa materialnego, tj. przepisu art. 6 ust. 1 lit. f RODO, zdaniem Sądu, Organ naruszył także przepisy prawa procesowego, poprzez niewyjaśnienie wszystkich okoliczności faktycznych, co miało istotny wpływ na wynik sprawy.

Sąd zauważa, że Organ ograniczył się w swoim uzasadnieniu o konieczności nałożenia na Skarżącą upomnienia z powodu naruszenia wskazanych przepisów RODO do stwierdzenia, iż Skarżąca nie wykazała, aby M. K. (Wnioskodawczyni), wobec której zakończono proces rekrutacyjny w związku z aplikowaniem w 2020r. na dwa stanowiska pracy w spółce A., wystąpiła z jakimkolwiek roszczeniem wobec skarżącej Spółki, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych Wnioskodawczyni dla celów dowodowych w związku z dochodzeniem przez nią roszczeń w związku z procesem rekrutacyjnym, w tym "(...) związanych z naruszeniem zasad równego traktowania w zatrudnieniu oraz umożliwienia ochrony Spółki przed ewentualnymi roszczeniami wynikającymi z przeprowadzonych rekrutacji". Organ przyjął więc, że "(...) nie ma podstaw do uznania, że Spółka jest uprawniona do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia hipotetycznego roszczenia w przyszłości".

Takie stanowisko spowodowało, że Organ w ogóle nie rozpatrzył wyjaśnień Spółki z [...] marca 2021 r., ograniczając się niejako a priori do przyjęcia, że A. "nie wyjaśniła o jakie konkretnie roszczenia może chodzić". W ocenie Sądu, z akt sprawy wynika, iż Skarżąca w swoich wyjaśnieniach z dnia [...] marca 20201 r. na stronach od 2 do 4, wbrew twierdzeniom organu, wskazała podstawę przetwarzania danych osobowych Wnioskodawczyni oraz dodatkowo, na poparcie swojej tezy, przywołała zarówno orzecznictwo Trybunału Sprawiedliwości UE, jak i Sądu Najwyższego, podkreślające istotę roszczeń pracowniczych i na tym tle problematykę przedawnienia takich roszczeń. Dalej, Sąd zauważa, że Organ zignorował w tym aspekcie wyjaśnienia i dowody przedstawione przez Spółkę - w tym treść Polityki Prywatności, w której wskazano, że dane takie tj. związane z potencjalnymi roszczeniami pracowniczymi, są przetwarzane przez okres 3 lat, zgodnie z terminem przedawnienia wynikającym z Kodeksu pracy.

Spółka wyjaśniła też, że ustalenie tego terminu było nie tylko – wbrew twierdzeniom Organu - możliwe, ale i w pełni transparentne dla kandydata, gdyż otrzymał on od administratora taką informację.

Podkreślenia wymaga też, że z uzasadnienia zaskarżonej decyzji nie wynika dlaczego Organ – praktycznie biorąc - całkowicie pominął wyjaśnienia Spółki na tę okoliczność i dlaczego uznał, że niemożliwym jest ustalenie terminu przedawnienia roszczeń z zakresu równego traktowania i dyskryminacji w zatrudnieniu w związku z ewentualnymi roszczeniami pracowników/kandydatów w stosunku do pracodawcy.

W świetle powyższego, w ocenie Sądu, zgodzić należy się z zarzutami skargi, że tak sporządzone uzasadnienie nie tylko narusza art. 107 § 3 k.p.a., ale i wyrażoną w art. 11 k.p.a. zasadę przekonywania, która zobowiązuje organy administracji publicznej do dołożenia szczególnej staranności w uzasadnieniu swoich rozstrzygnięć oraz, że motywy decyzji muszą być tak ujęte, aby strona zainteresowana mogła zrozumieć i w miarę możliwości zaakceptować zasadność przesłanek faktycznych i prawnych, którymi kierował się organ przy jej wydaniu. Dotyczy to tym bardziej sytuacji, gdy stanowisko strony nie zostało przez organ uwzględnione. W takim bowiem przypadku uzasadnienie decyzji musi być na tyle przekonywujące, aby strona mogła stwierdzić, iż jej argumenty zostały przez organ administracji rzetelnie i wnikliwie zbadane, a ich odrzucenie stanowiło wyraz analizy stanu faktycznego i prawnego sprawy, a nie jedynie pominięcia, względnie zlekceważenia ich przez organ administracji publicznej. Jedynie ubocznie można zauważyć, że tak sporządzone uzasadnienie daje również rękojmię, iż organ dołożył należytej staranności przy podejmowaniu rozstrzygnięcia.

W niniejszej sprawie kwestia ta nabiera szczególnego znaczenia, gdyż przy wydawaniu decyzji w zaskarżonej części, Organ w ogóle nie wziął pod uwagę przepisów prawa materialnego implementujących dyrektywy unijne.

Jak słusznie bowiem zwraca uwagę Skarżąca, art. 8 ust. 1 dyrektywy 2000/43, art. 10 ust. 1 dyrektywy 2000/78 i art. 19 ust. 1 dyrektywy 2006/54 stanowią – co do zasady - że państwa członkowskie podejmują takie środki, które są niezbędne, zgodnie z ich krajowymi systemami prawnymi, w celu zapewnienia, że gdy osoba, która uważa się za pokrzywdzoną nieprzestrzeganiem wobec niej zasady równego traktowania i przedstawia przed sądem lub innym właściwym organem fakty, z których można domniemywać istnienie bezpośredniej lub pośredniej dyskryminacji, to na stronie pozwanej ciąży udowodnienie, że zasada równego traktowania nie została naruszona.

Powoduje to, że to na pracodawcy ciąży obowiązek wykazania, że do takiego naruszenia nie doszło. Jak podkreśla się w piśmiennictwie, "(...) przesłankami odpowiedzialności są: szkoda, fakt naruszenia zasady równego traktowania i związek przyczynowy. Co do faktu dyskryminacji pracownik korzysta ze szczególnego rozkładu ciężaru dowodu. Powinien on bowiem jedynie wskazać fakty uprawdopodobniające zarzut nierównego traktowania w zatrudnieniu, a wówczas na pracodawcę przechodzi ciężar dowodu, że kierował się obiektywnymi powodami." (por. A. Sobczyk (red.), Kodeks pracy. Komentarz. Wyd. 5, Warszawa 2020; E. Maniewska [w:] K. Jaśkowski, E. Maniewska, Komentarz aktualizowany do Kodeksu pracy, LEX/el. 2022, art. 18(3(a)), art. 18(3(b)), art. 18(3(c)), art. 18(3(d)), art. 18(3(e)).

Powyższe stanowisko jest zbieżne zarówno z orzecznictwem TSUE, jak i SN. Mianowicie w wyroku z dnia 19 kwietnia 2012 r. Trybunał Sprawiedliwości UE, w sprawie Galina Meister (C-415/10), wskazał, że poprzez całkowite uzależnienie kandydata od pracodawcy w zakresie uzyskania informacji, równowaga między swobodą pracodawcy i prawami kandydata do zatrudnienia może okazać się naruszona - jeśli to pracodawca arbitralnie będzie podejmował decyzje, jakie dane i jak długo będzie przechowywać.

Powyższy kierunek wykładni prezentowany jest również w orzecznictwie Sądu Najwyższego, w którym podkreśla się, że "(...) W sprawie o odszkodowanie z tytułu odmowy zatrudnienia o dyskryminującym charakterze powód powinien wykazać, że ubiegał się o zatrudnienie, miał wymagane do zatrudnienia na danym stanowisku kwalifikacje, a zatrudniona została osoba, która nie odznacza się cechą posiadaną przez powoda. Dopiero w następnej kolejności pracodawca obowiązany Jest wykazać obiektywne przyczyny, którymi kierował się podejmując decyzję odmowną. Odmowa nawiązania stosunku pracy albo odmowa kontynuowania stosunku pracy musi być zatem uzasadniona przyczynami niedyskryminującymi pracownika. Nieprzeprowadzenie przez pracodawcę dowodu niedyskryminacji osoby ubiegającej się o nawiązanie stosunku pracy lub jego kontynuowanie uprawnia tę osobę do odszkodowania przewidzianego w art. 183d k.p. (por. wyrok SN z dnia 13 lutego 2018 r. II PK 345/16).

Przytoczone judykaty oraz poglądy doktryny prowadzą, w ocenie Sądu, do wniosku, że usuwanie danych osób, które nie zostały zatrudnione niezwłocznie po zakończeniu rekrutacji, istotnie uniemożliwiałoby realizację ich praw związanych z naruszeniem zasad równego traktowania. Tym samym pracodawca nie mógłby realizować obowiązku przeciwdziałania dyskryminacji, poprzez brak możliwości nadzoru nad transparentnością procesów rekrutacji.

Konstatacja ta jest o tyle istotna, że właśnie ze względu na specyfikę rozstrzyganej sprawy i naprowadzony problem prawny związany z potencjalnymi roszczeniami z etapu rekrutacji pracowników i łączącą się z tym kwestią przechowywania danych osobowych pracowników/kandydatów przez administratora (pracodawcę), obowiązkiem organu nadzoru było odnieść się do argumentacji Spółki w sposób szczególnie wnikliwy, gdyż – jak wskazano wcześniej – w sprawach takich interes pracodawcy w rozumieniu przesłanki art. 6 ust. 1 lit. f RODO ma swoje uzasadnienie i "źródło" w odwróceniu ciężaru dowodu w postępowaniach z zakresu dyskryminacji i nierównego traktowania. Co godzi się podkreślić, interes ten rozciąga się również na strony trzecie, gdyż dane takie mogą być im niezbędne dla porównania przez pracodawcę ich sytuacji prawnej na etapie rekrutacji w związku z potencjalnymi podniesionymi roszczeniami, co powoduje, że bez takich danych proces rekrutacji stałby się nietransparentny, a kandydaci zostali pozbawieni środków dowodowych w zainicjowanych przez siebie postępowaniach.

Dlatego też – jak trafnie podnosi Skarżąca – z uwagi na wagę tego problemu i "uniwersalny" charakter podstaw do przetwarzania danych osobowych w takich sytuacjach, inne organy nadzorcze państw UE kwestie retencji danych kandydatów w procesie rekrutacji pracowników przez administratorów danych osobowych wyraźnie rozstrzygają.

I tak: dla przykładu, francuski organ nadzoru stoi na stanowisku, że przetwarzanie danych osobowych po zakończonej rekrutacji nie powinno przekraczać dwóch lat; z kolei brytyjski organ wskazuje, że "pracodawca ma dopilnować aby żadne dokumenty rekrutacyjne nie były przechowywane po upływie ustawowego okresu (...)" [por.:[...]

Podkreślenia przy tym wymaga, że powyższe stanowiska zostały wydane na podstawie przepisów RODO, jak i krajowych przepisów prawa pracy, zbliżonych do polskich regulacji, jako że stanowią implementacje tych samych dyrektyw.

Dlatego też, w ocenie Sądu, Prezes PUODO, winien był jako organ nadzorczy w postępowaniu wyjaśniającym odnieść się także do powyższej argumentacji Skarżącej i ustalić czy zasługuje ona na uwzględnienie oraz dać temu wyraz w uzasadnieniu swojej decyzji, a nie ograniczyć się do uznania, że "niemożliwym jest określenie dokładnego terminu, kiedy roszczenie z tego tytułu (z przebiegu rekrutacji) ulega przedawnieniu".

Zdaniem Sądu, Organ nie tylko nie odniósł się do tej kwestii, ale w ogóle w swoich rozważaniach pominął przepisy materialnoprawne wynikające z Kodeksu pracy na okoliczność przedawnienia roszczeń pracowniczych w związku z treścią art. 291 k.p. oraz nie przeanalizował, w szczególności, czy może w realiach sprawy przepis ten jako "podstawa legalizacyjna" przetwarzania danych osobowych przez administratora/pracodawcę może mieć zastosowanie do postępowań rekrutacyjnych.

Końcowo Sąd zauważa, że z uwagi na fakt, iż zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

Jednocześnie zastrzec należy, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jest postępowaniem administracyjnym, do którego na podstawie art. 7 ust. 1 u.o.d.o. znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, o tyle Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwości posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o. Zgodnie bowiem z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wymieniony przepis art. 68 ust. 1 u.o.d.o. pozwala zatem organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

Należy też wyraźnie zaznaczyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, a więc nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy.

Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: Iwona Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. dr. Dominika Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

Dlatego też Sąd uznał, że – jak już to stwierdzono wcześniej – w związku z wadliwą wykładnią art. 6 ust. 1 lit f RODO, na uwzględnienie zasługują również zarzuty naruszenia prawa procesowego, tj. art. 7, art. 8 i art. 107 § 3 k.p.a. albowiem Organ nie wyjaśnił w aspekcie "przesłanki legalizującej" wynikającej z przywołanego przepisu materialnoprawnego wszystkich istotnych okoliczności faktycznych w odniesieniu do przetwarzania danych osobowych Wnioskodawczyni w aspekcie art. 11, art. 183b oraz art. 183d k.p. i art. 291 k.p., zaś wydana na tę okoliczność w zaskarżonej części decyzja nie spełnia wymogu realizacji zasady ogólnej przekonywania (art. 11 k.p.a.).

Reasumując dotychczasowe rozważania i ustalenia, ponieważ w zaskarżonej części decyzji (pkt. 1) doszło do wskazanych w skardze naruszeń zarówno prawa materialnego, jak i procesowego, Sąd działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku.

Ponownie rozpoznając sprawę Organ jest związany na podstawie art. 153 p.p.s.a. oceną prawną zawartą w nin. uzasadnieniu, co oznacza konieczność odniesienia się przez Organ (w zakresie spornych podstaw do przetwarzania przez Skarżącą danych osobowych Wnioskodawczyni w procesie rekrutacji) do przesłanki uzasadnionego interesu, o którym mowa w art. 6 ust. 1 lit. f RODO, w aspekcie przepisów art. 11, art. 183b oraz art. 183d k.p. w zw. z art. 291 k.p.

O kosztach postępowania Sąd orzekł na podstawie art. 200 i art. 205 § 2 w związku z art. 209 P.p.s.a., zasądzając na rzecz Skarżącej od Prezesa Urzędu Ochrony Danych Osobowych łącznie kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, obejmującą wpis w wysokości 200 zł oraz koszty zastępstwa procesowego w wysokości 480 zł na podstawie § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015r. w sprawie opłat za radców prawnych (Dz. U. z 2015r., poz. 1804 ze zm.) wraz z uiszczoną opłatą od pełnomocnictwa procesowego w wysokości 17 zł.