drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję, II SA/Wa 1184/25 - Wyrok WSA w Warszawie z 2026-01-29, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 1184/25 - Wyrok WSA w Warszawie

Data orzeczenia
2026-01-29 orzeczenie nieprawomocne
Data wpływu
2025-07-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak. /sprawozdawca/
Iwona Maciejuk /przewodniczący/
Joanna Kruszewska-Grońska
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 1997 nr 78 poz 483 art. 47
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r.
Dz.U. 2022 poz 2000 art. 7, art. 77
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1, art. 6 ust. 1, art. 9 ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2026 poz 143 art. 145 par. 1 kt 1 lit c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Dorota Kozub-Marciniak (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 29 stycznia 2026 r. sprawy ze skargi Regionu [...] NSZZ Solidarność z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2025 r. [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Regionu [...] NSZZ Solidarność z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Uzasadnienie

Region [...] NSZZ "Solidarność" w [...] (dalej, jako: skarżący lub NSZZ) wniósł skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej, jak: organ lub PUODO) z dnia [...] kwietnia 2025 r., którą organ udzielił skarżącemu upomnienia za udostępnienie danych osobowych L. K. (dalej, jako: uczestnik) w zakresie informacji o przebywaniu na długotrwałym zwolnieniu lekarskim, poprzez ich ujawnienie w dniu [...] września 2021 r. przez Przewodniczącego na posiedzeniu zarządu.

W uzasadnieniu zaskarżonej decyzji wskazano, że do PUODO wpłynęła skarga uczestnika, w której podniósł, że otrzymał informację, iż jego przełożony ujawnił publicznie na posiedzeniu zarządu NSZZ informacje o tym, że przebywa on na zwolnieniu lekarskim wystawionym przez lekarza [...]. Skarżący następnie zwrócił się do NSZZ o zabezpieczenie nagrania z tego posiedzenia w celu dowodowym.

NSZZ wyjaśnił, że na wskazanym przez uczestnika posiedzeniu zarządu nie zostały ujawnione dane dotyczące stanu zdrowia uczestnika lub zwolnienia lekarskiego od lekarza [...]. Z przesłanego przez NSZZ protokołu posiedzenia z dnia [...] września 2021 r. wynika, że podczas obrad padło zapytanie o przedłużającą się nieobecność w pracy uczestnika i udzielono odpowiedzi, że przebywa on na długim zwolnieniu lekarskim. NSZZ wskazał, że nagrania z obrad służą jedynie jako czynność techniczna potrzebna do sporządzenia protokołu posiedzenia i nie są dłużej przechowywane i archiwizowane. Po sporządzeniu protokołu nagranie zostało usunięte, zaś wniosek uczestnika o zabezpieczenie nagrania wpłynął już po usunięciu tego nagrania.

PUODO przytoczył art. 5 ust. 1 lit. a, art. 6 ust. 1, art. 9 ust. 1 oraz art. 4 pkt 1, 2 i 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str.1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021 str. 35), dalej jako RODO i wskazał, że z materiału dowodowego wynika, że podczas posiedzenia zarządu NSZZ w dniu [...] września 2021 r. udzielono odpowiedzi na zapytanie o przedłużającą się nieobecność w pracy uczestnika. Przewodniczący związku udzielił odpowiedzi, że pracownik ten przebywa na długim zwolnieniu lekarskim. NSZZ przedstawił stanowisko, iż nie ujawniono danych w postaci informacji o stanie zdrowia ani o tym, że zwolnienie lekarskie pochodzi od lekarza [...].

W ocenie organu, informacja o przebywaniu na długotrwałym zwolnieniu lekarskim stanowi dane dotyczące zdrowia uczestnika. Informacja ta zawiera implikacje o nieprawidłowym (uniemożliwiającym wykonywanie pracy) stanie zdrowia określonej osoby fizycznej, który to stan trwa przez dłuższą ilość czasu. Przebywanie pracownika na zwolnieniu lekarskim poprzedzone musi być konsultacją lekarską i wystawieniem stosownego zwolnienia wystawionego przez lekarza. Zatem informacja o długim przebywaniu na zwolnieniu lekarskim niesie ze sobą również implikację o korzystaniu z usług opieki zdrowotnej oraz o tym, że nieprawidłowy stan zdrowia tej osoby jest na tyle poważny, że uniemożliwia wykonywanie pracy. Dla zakwalifikowania tych informacji jako danych o stanie zdrowia nie jest konieczne wykazanie wprost konkretnego schorzenia medycznego lub specjalizacji lekarza wystawiającego dane zwolnienie, gdyż przepisy nie definiują w ten sposób danych o stanie zdrowia. Dane dotyczące zdrowia to jakiekolwiek informacje dotyczące stanu zdrowia konkretnej osoby, w tym informacja o ilości dni przebywania na zwolnieniach lekarskich lub o przebywaniu na takim zwolnieniu przez długi czas. Kwestionowane przez uczestnika informacje o przebywaniu na długotrwałym zwolnieniu lekarskim stanowią jego dane osobowe zgodnie z definicją z art. 4 pkt 15 RODO i tym samym ich przetwarzanie wymaga wykazania przesłanki legalizującej z art. 9 ust. 2 RODO.

PUODO podniósł, że krytycznie zatem należy odnieść się do wyjaśnień NSZZ, w których związek stwierdził, że nie ujawniono danych dotyczących zdrowia uczestnika. Administrator danych udostępnił poprzez ujawnienie informacji o przebywaniu na zwolnieniu lekarskim uczestnika do wiadomości osób uczestniczących na zebraniu zarządu w dniu [...] września 2021 r. NSZZ nie wykazał aby legitymował się jakąkolwiek przesłanką legalizującą przetwarzanie danych osobowych w badanym procesie, zaś organ nie znajduje prawnego usprawiedliwienia dla udostępnienia tych danych. W celu udzielenia odpowiedzi na zapytanie dotyczące przedłużającej się nieobecności w pracy uczestnika pracodawca (administrator danych) powinien był powstrzymać się od ujawnienia informacji o przebywaniu na zwolnieniu lekarskim ze względu na konieczność zachowania prawa do prywatności swojego pracownika.

Wobec powyższego organ uznał, że NSZZ naruszył art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO poprzez udostępnienie danych dotyczących zdrowia uczestnika bez podstawy prawnej. Organ skorzystał z uprawnienia naprawczego określonego w art. 58 ust. 2 lit. b RODO, biorąc pod uwagę jednorazowy charakter naruszenia.

Z tym rozstrzygnięciem skarżący nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji oraz o zasądzenie kosztów postępowania według norm przepisanych. Dodatkowo wniesiono o przeprowadzenie dowodu z dokumentów załączonych do skargi w postaci:

1. protokołu nadzwyczajnego posiedzenia Zarządu Regionu [....] NSZZ "Solidarność" z dnia [...] grudnia 2019 r.,

2. Uchwały nr [...] ww. wyboru do pełnienia funkcji Pełnomocnika Zarządu do spraw [...],

3. Uchwały Komisji Krajowej [...]

- wszystkie na fakt powołania L. K. na funkcję pełnomocnika zarządu Regionu [...] NSZZ "Solidarność" do spraw [...], [...], stosunku prawnego łączącego L. K. z Regionem [...] NSZZ Solidarność w ramach którego, w granicach prawa, doszło do udostępnienia danych dotyczących jego stanu zdrowia.

Zaskarżonej decyzji zarzucono naruszenie:

1. art. 7 ust 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. Z 2019 r. Póz 1781) oraz art. 9 ust 1 w zw. z art. 5 ust 1 lit a RODO poprzez błędne uznanie, że doszło do naruszenia wymienionych przepisów poprzez udostępnienie danych dotyczących zdrowia L. K. oraz, że udostępnienie tych danych nastąpiło bez podstawy prawnej, podczas, gdy Zarząd Regionu [...] NSZZ "Solidarność", wobec którego L. K. pełnił funkcje pełnomocnika do spraw [...] powołanego uchwałą nr [...] w/s wyboru do pełnienia funkcji Pełnomocnika Zarządu do spraw [...], którą to funkcję pełnił do ustania stosunku pracy łączącego go z Regionem [...] NSZZ "Solidarność" - miał prawo, jako mocodawca, dlaczego pełnomocnik nie wykonuje powierzonych mu czynności, a tym samym przetwarzanie danych osobowych L. K. przez Zarząd Regionu [...] NSZZ "Solidarność" w zakresie pozyskania informacji o przebywaniu na długotrwałym zwolnieniu lekarskim, było prawnie uzasadnione a przewodniczący zarządu udzielając takiej informacji działał w granicach prawa;

2. art. 6 ust 1 lit. b rozporządzenia RODO poprzez jego niezastosowanie skutkujące ustaleniem, że doszło do udostępnienia danych dotyczących stanu zdrowia L. K. bez podstawy prawnej, w sytuacji, gdy zgodnie z powołanym przepisem przetwarzanie danych jest zgodne z prawem gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, zaś w stanie faktycznym sprawy uczestnik na mocy uchwały [...] pełnił funkcję Pełnomocnika Zarządu Regionu [...] NSZZ "Solidarność" do spraw [...], a tym samym realizował obowiązki związane z szeroko pojętym prowadzeniem polityki [...] Regionu [...] NSZZ Solidarność, które z uwagi na przedłużająca się absencję, nie były prowadzone - w tej sytuacji Zarząd Regionu [...] miał prawnie uzasadniony interes w tym by uzyskać od Przewodniczącego Zarządu informację na temat przyczyny absencji pełnomocnika, a informacje te zostały przekazane jedynie w niezbędnym zakresie - co do faktu, iż przebywa na zwolnieniu lekarskim, bez wskazania jakichkolwiek bliższych danych dotyczących stanu zdrowia uczestnika, a tym samym przekazane zostały w granicach prawa;

3. art. 8 i 11 K.p.a. w zw. z art. 7, art. 77 § 1 i 107 K.p.a. poprzez nienależyte wyjaśnienie stanu faktycznego sprawy, niewyjaśnienie wszelkich okoliczności i niepełne zgromadzenie materiału dowodowego, a tym samym, poczynienie błędnych ustaleń stanu faktycznego, który stał się podstawą rozstrzygnięcia niniejszej sprawy poprzez nieprawidłowe ustalenia w zakresie łączącego uczestnika ze skarżącym stosunku prawnego, który wywieźć należy z powołania go do pełnienia funkcji Pełnomocnika Zarządu do spraw [...] NSZZ Solidarność, który to stanowił prawne uzasadnienie do przetwarzania przez NSZZ informacji o jego stanie zdrowia w zakresie dotyczącym przebywania na zwolnieniu lekarskim, ponadto niewyjaśnienie wątpliwości - jeżeli takie organ powziął - wynikających z pisemnych wyjaśnień skarżącego złożonych do akt sprawy, w których pojawia się informacja, iż L. K. pełnił funkcję pełnomocnika Zarządu Regionu [...] NSZZ Solidarność do spraw [...]; tymczasem ten niezwykle istotny fakt tak w decyzji jak i jej uzasadnieniu kompletnie pominął.

W uzasadnieniu skargi przedstawiono argumentację na poparcie stawianych zarzutów.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

W pierwszej kolejności należy przypomnieć, że celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz przepisów RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z dnia 30 marca 2006 r., I OSK 628/05, LEX nr 198299; wyrok NSA w składzie 7 sędziów z dnia 6 czerwca 2005 r., I OPS 2/05).

W doktrynie, na gruncie art. 47 Konstytucji RP, prawo do prywatności oznacza "przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny, refleksje dotyczące wydarzeń zewnętrznych i jego wrażenia zmysłowe, a także stan zdrowia. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić. Składową prawa do prywatności jest życie prywatne, które odnosi się generalnie do życia: osobistego, towarzyskiego, nienaruszalności mieszkania, tajemnicy korespondencji i ochrony informacji dotyczących danej osoby. Można je opisać jako "prawo do pozostawienia w spokoju" czy "prawo jednostki do bycia pozostawioną samej sobie" (B. Banaszak, Konstytucja RP,. Komentarz, Warszawa 2012, tekst za Legalis). Uprawnienie to oznacza, że ochronie podlegają te informacje o osobie fizycznej, które dotyczą jej najbliższej sfery życia, wyznaczonej przez nią samą, o której decydować powinna tylko ona lub ewentualnie osoby jej najbliższe. Sfera ta w istocie stanowi o tożsamości tej osoby i określa jej godność statuującą ją jako człowieka.

Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Natomiast "dane dotyczące zdrowia" oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO).

W interesie osób fizycznych leży udostępnianie tych danych o tyle, o ile taka jest ich wola, chyba że ustawodawca realizując inne jeszcze wartości przesądza o udostępnianiu tych danych niezależnie od woli tych osób stanowiąc tym samym w konkretnym przypadku o pierwszeństwie wartości związanych z interesem publicznym nad wartościami powiązanymi z interesami indywidualnymi.

Dopuszczalność przetwarzania danych osobowych określają przesłanki wymienione w art. 6 ust. 1 i art. 9 ust. 2 RODO w zależności od tego, czy przetwarzaniu mają być poddane dane zwykłe, czy też dane wrażliwe. Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO jest zamknięty. Przesłanki te mają charakter autonomiczny co oznacza, że dla uznania procesu przetwarzania danych osobowych za zgodny z prawem, niezbędne jest spełnienie przez administratora danych choćby jednej z tych przesłanek.

Przepis art. 6 ust. 1 RODO stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Z przepisu art. 9 ust. 2 RODO wynika, że zakaz przetwarzania danych osobowych wrażliwych określony w ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z następujących warunków: a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W kontekście rozpoznawanej sprawy należy przytoczyć stanowisko zaprezentowane przez Naczelny Sąd Administracyjny w wyroku z dnia 9 stycznia 2025 r. sygn. akt III OSK 1184/25 gdzie wskazano, że "podmiotem, który odgrywa największą rolę w procesach przetwarzania danych, jest administrator. Zgodnie z definicją zawartą w art. 4 pkt 7 RODO "administrator" oznacza "osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych". Stwierdzenie, kto jest administratorem, jest niezwykle istotne ze względu na to, że większość wymogów określonych przepisami komentowanego rozporządzenia ciąży na administratorze, jego także obarcza się odpowiedzialnością za naruszenie tych przepisów (tak: Paweł Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowano: WKP 2022, teza 31).

Innymi słowy, ustalenie podmiotu decydującego o celach i sposobach przetwarzania ma zasadnicze znaczenie dla funkcjonowania systemu ochrony danych osobowych. W świetle definicji zawartej w RODO dla wskazania, kto jest administratorem, kluczowe jest stwierdzenie, kto decyduje o celu i sposobach przetwarzania danych (kto ustala cele i sposoby przetwarzania danych). Wskazanie podmiotu ustalającego cele i sposoby przetwarzania odbywać się powinno na podstawie weryfikacji okoliczności danego przetwarzania, w odniesieniu do faktycznych działań decyzyjnych danego podmiotu. Fundamentalne znaczenie powinno więc mieć skuteczne zidentyfikowanie sprawowania kontroli nad przetwarzaniem. Pojęcie administratora należy więc wykładać w sposób funkcjonalny, tak by przypisywanie obowiązków i odpowiedzialności następowało tam, gdzie istnieje faktyczny, a nie np. jedynie formalny wpływ na ustalanie celów i sposobów przetwarzania (Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający" przyjęta w dniu 16 lutego 2010 r., s. 10, zwana dalej "Opinią nr 1/2010"). W piśmiennictwie wskazuje się, że decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe (M. Sakowska-Baryła, Prawo do ochrony danych osobowych, Wrocław 2015, s. 143). Jak zauważono w Opinii Grupy Roboczej Art. 29 nr 1/2010, pomocne może być także kryterium dorozumianej kompetencji, gdy w celu identyfikacji administratora wykorzystywane są pewne tradycyjnie powiązane z danym przetwarzaniem role, np. pracodawca w relacji do danych osobowych pracownika (Opinia 1/2010, s. 12).

Przedmiotowy zakres zastosowania przepisów RODO w aspekcie pozytywnym określony został w przepisie art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem "zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych" (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 125).

Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO, zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Jednocześnie "zbiór danych" to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria:

- musi to być zestaw informacji stanowiących dane osobowe w rozumieniu przepisu art. 4 pkt 1 RODO,

- zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną strukturę,

- dane osobowe zawarte w tym zestawie informacji dostępne być muszą według określonych kryteriów (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 210).

Dopełnieniem przedstawionych powyżej kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to, czy "zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie". Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn. dane mogą być skupione w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. Wskazać należy także, że do przetwarzana danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość.".

W sprawie ustalono, że uczestnik zatrudniony był u skarżącego na podstawie umowy o pracę w okresie [...] stycznia 2020 r. – [...] grudnia 2021 r. na stanowisku pełnomocnika Zarządu Regionu [...] NSZZ Solidarność do spraw [...], był też członkiem organizacji związkowej ZSZZ Solidarność. Skarżący oświadczył w toku postępowania, że w związku powyższym przetwarzał dane osobowe uczestnika w związku z zatrudnieniem na ww. stanowisku na podstawie art. 221 Kodeksu pracy. Skarżący wskazał również, że w trakcie posiedzenia zarządu w dniu [...] września 2021 r. nie ujawniono żadnych informacji dotyczących skarżącego i jego stanu zdrowia. Na zapytanie o przedłużającą się nieobecność uczestnika padła jedynie odpowiedź, iż przybywa on na długim zwolnieniu lekarskim, co nie jest jednoznaczne z przetwarzaniem danych osobowych o stanie zdrowia uczestnika.

W ocenie Sądu, w rozpoznawanej sprawie skarżący jako pracodawca pełnił rolę administratora (w rozumieniu art. 4 pkt 7 RODO) danych osobowych L. K. oraz przetwarzał te dane – co najmniej jako dane osobowe pracownika - na postawie art. 6 ust. 1 lit. c RODO. Podkreślenia bowiem wymaga, że rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (Dz. U. z 2024, poz. 535) przewiduje obowiązek oddzielnego prowadzenia akt osobowych dla każdego pracownika. Zestaw akt osobowych pracowników stanowi wskazany w art. 4 pkt 6 RODO zbiór danych osobowych, ponieważ zawiera dane osobowe zatrudnionych, ma określoną strukturę oraz jest dostępny według określonych kryteriów. (por. wyrok NSA z dnia 23 lutego 2024 r., III OSK 3838/21). Oświadczenia lub dokumenty związane z ze stosunkiem pracy przechowywane w aktach osobowych pracownika stanowią część zbioru danych prowadzonego przez pracodawcę, a co za tym idzie podlegają regułom określonym w art. 2 ust. 1 RODO.

Nie budzi zatem wątpliwości, że na skarżącym pełniącym rolę administratora danych osobowych uczestnika spoczywał na mocy art. 24 RODO obowiązek zapewnienia zgodności z prawem przetwarzania danych osobowych pracownika zawartych w jego aktach osobowych, w tym informacji o przebywaniu w określonym czasie na zwolnieniu lekarskim. Nadto na skarżącym, zgodnie a art. 5 ust. 1 lit. b RODO, spoczywał obowiązek zapewnienia, aby dane osobowe były zbierane dla oznaczonych celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.

Zdaniem Sądu ustalone okoliczności tej sprawy powodują, że co najmniej przedwczesna jest ocena PUODO, że informacja o długotrwałym zwolnieniu lekarskim stanowi dane dotyczące stanu zdrowia uczestnika, a administrator udostępnił te dane i nie wykazał aby legitymował się przesłanką legalizującą przetwarzanie danych osobowych. Przede wszystkim PUODO w żaden sposób nie odniósł się do wyjaśnień skarżącego, nie dokonał żadnej analizy ww. przepisów w kontekście ustalonego stanu faktycznego, nie rozważył konkretnych okoliczności sprawy, w szczególności, że do przekazania informacji o zwolnieniu lekarskim uczestnika doszło na posiedzeniu Zarządu Regionu [...] NSZZ Solidarność, którego pracownikiem był uczestnik. Należy wskazać, że pracodawca nie może być pozbawiony możliwości przeprowadzenia stosownego postępowania wyjaśniającego (choćby poprzez udzielenie informacji na posiedzeniu zarządu) w zakresie obecności pracownika i wykonywania przez niego obowiązków służbowych. Wbrew twierdzeniom organu – trudno sobie wyobrazić aby pracodawca (administrator) obowiązany był powstrzymać się od ujawnienia informacji o przebywaniu pracownika na zwolnieniu lekarskim w sytuacji gdy na posiedzenie ciała kolegialnego pracodawcy wyjaśniane są kwestie nieobecności pracownika w pracy. PUODO jako organ nadzorczy, zobowiązany był, analizując wniesioną przez uczestnika skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez uczestnika naruszenia praw wynikających z RODO zostały udowodnione. Tego, zdaniem Sądu, zabrakło w tej sprawie. Uzasadnienie zaskarżonej decyzji jest lakoniczne, przyjmuje tezy bez odniesienia się do stanu faktycznego rozpoznawanej sprawy.

PUODO podejmując rozstrzygnięcie zaskarżonej decyzji naruszył, zdaniem Sądu, art. 7, art. 77 § 1 i art. 107 § 3 K.p.a. w stopniu mogącym mieć wpływ na końcowy wynik sprawy.

Dodać również trzeba, że zawarty w skardze wniosek o dopuszczenie dowodów w postępowaniu sądowym został przez Sąd uwzględniony częściowo, tj. w zakresie:

1. protokołu nadzwyczajnego posiedzenia Zarządu Regionu [...] NSZZ "Solidarność" z dnia [...] grudnia 2019 r.,

2. Uchwały nr [...] ww. wyboru do pełnienia funkcji Pełnomocnika Zarządu do spraw [...].

Natomiast w zakresie dowodu z dokumentu tj. uchwały Komisji Krajowej nr [...] Sąd postanowił oddalić wniosek dowodowy albowiem skarżący nie dołączył ww. dokumentu do akt sprawy. Do skargi dołączono uchwałę Komisji Krajowej nr [...] choć w wykazie załączników znajdującym się na końcu skargi, powołano uchwałę Komisji Krajowej nr [...].

Organ ponownie rozpoznając sprawę w przedmiocie zasadności stosowania środków naprawczych względem administratora danych osobowych będzie obwiązany wziąć powyższe rozważania pod uwagę.

Z przytoczonych wyżej przyczyn, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2022 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U z 2024 r. poz. 935 ze zm.) orzeczono jak w pkt 1 sentencji. O zwrocie kosztów postępowania sądowego, jak w punkcie 2 wyroku, Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 2 tej ustawy w związku z § 14 ust. 1 pkt 1 c rozporządzenia Ministra Sprawiedliwości z 22 października 2015 r. w sprawie opłat za czynności adwokackie ( Dz.U. 2023 r, poz. 1964). Na wysokość zasądzonych kosztów (697 zł) składa się wpis stały od skargi w wysokości 200 zł, koszty zastępstwa procesowego w wysokości 480 zł oraz koszt opłaty skarbowej od pełnomocnictwa w wysokości 17 zł.



Powered by SoftProdukt