>Orzecznictwo>WSA>2011 >

II SA/Wa 267/11
orzeczenie nieprawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

dnia 07 czerwca 2011 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 7 czerwca 2011 r. sprawy ze skargi L. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2010 r. nr [...] w przedmiocie nakazu usunięcia uchybień powstałych w procesie przetwarzania danych osobowych
1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] września 2010 r.
2. zaskarżona decyzja nie podlega wykonaniu w całości
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz L. S.A. z siedzibą w S. kwotę 440 zł (czterysta czterdzieści złotych) tytułem zwrotu kosztów postępowania

Uzasadnienie:
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] listopada 2010 r. na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 oraz art. 22 w związku z art. 23 ust. 1 pkt 2, art. 27 ust. 2 pkt 2, art. 26 ust. 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w zw. z art. 232 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.) oraz art. 30 ust. 21 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (tekst jedn. Dz. U. z 2001 r. Nr 79, poz. 854 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku L. S.A. o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] września 2010 r. [...], mocą której Generalny Inspektor Ochrony Danych Osobowych nakazał L. S.A. z siedzibą w S. przy ul. [...] usunięcie uchybień powstałych w procesie przetwarzania danych osobowych pracowników i pozyskiwanie informacji o osobach będących członkami związku zawodowego oraz korzystających z obrony Komisji Międzyzakładowej N. L. S.A. wyłącznie w sytuacji, gdy przepisy prawa pracy przewidują obowiązek współdziałania pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy, zgodnie z art. 232 ustawy Kodeks pracy, utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu decyzji organ podał, że do Biura Generalnego Inspektora Ochrony Danych Osobowych, wpłynęło pismo Komisji Międzyzakładowej N. L. S.A., reprezentowanej przez B. M., w którym zwrocono się o rozpoznanie sprawy oraz wydanie w przedmiotowej sprawie decyzji zakazującej domagania się przekazania i pozyskania danych osobowych poprzez listę imienną członków związku.
Organ wskazał następnie, że z materiału dowodowego zgromadzonego w przedmiotowej sprawie wynika, iż pismem z dnia [...] lutego 2010 r. L. S.A., powołując się na art. 30 ust. 21 ustawy o związkach zawodowych, zwróciły się do Komisji Międzyzakładowej N. L. S.A. o przedłożenie informacji o pracownikach będących członkami oraz pracownikach korzystających z ochrony Komisji Międzyzakładowej N. L. S.A. oraz o bieżącą aktualizację ww. informacji w związku z każdorazowymi zmianami.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2010 r. nakazał L. S.A. z siedzibą w S. usunięcie uchybień powstałych w procesie przetwarzania danych osobowych pracowników, polegających na pozyskiwaniu informacji o osobach będących członkami oraz korzystających z obrony Komisji Międzyzakładowej N. L. S.A. w sytuacji, gdy przepisy prawa pracy przewidują w stosunku do tych osób współdziałanie pracodawcy z zakładową organizacją związkową jedynie w indywidualnych sprawach ze stosunku pracy, zgodnie z art. 232 ustawy – Kodeks pracy.
W stosunku do decyzji został złożony wniosek o ponowne rozpatrzenie sprawy, w którym Spółka zarzuciła decyzji naruszenie:
- art. 7 pkt 2 ustawy o ochronie danych osobowych, polegające na jego błędnej wykładni i przyjęciu, że żądanie od organizacji związkowej informacji w trybie art. 30 ust. 1, 2, i 21 ustawy o związkach zawodowych stanowi przetwarzanie danych osobowych, pomimo braku przekazania przez organizację związkową żądanych danych,
- art. 18 ust. 1 ustawy o ochronie danych osobowych, polegające na jego niewłaściwym zastosowaniu poprzez przyjęcie, że nastąpiło naruszenie przepisów o ochronie danych osobowych, będące konsekwencją błędnej wykładni art. 7 pkt 2 cyt. ustawy, o którym mowa powyżej oraz art. 27 ust. 2 pkt 2 i 6 cyt. ustawy, art. 30 ust. 1, 2 i 21 ustawy o związkach zawodowych i art. 232 kodeksu pracy, o czym mowa poniżej,
- art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych, polegające na błędnym przyjęciu, że brak jest przepisu szczególnego innej ustawy zezwalającej na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, w szczególności, że przepisem takim nie jest art. 30 ust. 1, 2 i 21 ustawy o związkach zawodowych i art. 23 2 kodeksu pracy,
- art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych, polegające na przyjęciu, że przetwarzanie informacji uzyskanej na podstawie art. 30 ust. 1, 2 i 21 cyt. ustawy o związkach zawodowych i art. 232 kodeksu pracy, nie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników w związku z obowiązkiem konsultacji decyzji pracodawcy o rozwiązaniu umowy o pracę pracowników korzystających z obrony Komisji Międzyzakładowej N. L. S.A.,
- art. 30 ust. 1, 2 i 21 ustawy o związkach zawodowych i art. 232 kodeksu pracy polegające na przyjęciu, że przepisy te nie stanowią przepisu szczególnego w rozumieniu art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych.
Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych wskazał, że rozstrzygnięcie zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia [...] września 2010 r. jest prawidłowe, a podnoszone we wniosku o ponowne rozpatrzenie sprawy zarzuty nie uzasadniają konieczności jej zmiany.
Na wstępie powtórzył, że przesłanki dopuszczające przetwarzanie tzw. wrażliwych danych osobowych zostały określone w art. 27 ust. 1 ustawy o ochronie danych osobowych, zwanej dalej ustawą, który stanowi, iż zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Powołane przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy (przepisem takim jest np. art. 38 Kp), pracodawca ma obowiązek współdziałać w takich sprawach z zakładową organizacją związkową reprezentującą pracownika z tytułu jego członkostwa w związku zawodowym albo wyrażenia zgody na obronę praw pracownika niezrzeszonego w związku - zgodnie z ustawą o związkach zawodowych.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych z literalnego brzmienia art. 30 ust. 21 ustawy o związkach zawodowych jasno wynika, iż odnosi się on do indywidualnych spraw ze stosunku pracy, a więc do ochrony stosunku pracy indywidualnego pracownika, którą zapewniają w szczególności przepisy art. 38 § 1 Kp (wypowiedzenie umowy o pracę na czas nieokreślony), art. 52 § 3 Kp (rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika) i art. 177 § 1 Kp (rozwiązanie umowy o pracę w okresie ciąży lub urlopu macierzyńskiego bez wypowiedzenia z winy pracownicy). Powyższe oznacza, że pozyskiwanie informacji o pracownikach będących członkami związku oraz o pracownikach niezrzeszonych w związku a korzystających z jego ochrony w toku konsultacji ze związkami zawodowymi jest uzasadnione wyłącznie w razie zamiaru rozwiązania lub zmiany umowy o pracę z konkretnym pracownikiem. Dlatego brak jest podstaw do pozyskiwania przez Spółkę od Komisji Międzyzakładowej danych osobowych w odniesieniu do wszystkich pracowników korzystających z ochrony Związku w sytuacji, gdy nie są oni objęci zamiarem pracodawcy rozwiązania z nimi umów o pracę.
Pozyskiwanie przez Spółkę w opisany powyżej sposób danych osobowych narusza określoną w art. 26 ust. 1 pkt 3 ustawy zasadę adekwatności. Powołany przepis stanowi, iż administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi, a interesem administratora danych. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane. Zdaniem Generalnego Inspektora realizacja przez Komisję Międzyzakładową wniosku Spółki skutkowałaby pozyskaniem danych osobowych pracowników również na zapas (ewentualna realizacja trybu z Kp może, ale nie musi się rozpocząć), co w świetle przepisów ustawy jest niedopuszczalne.
Generalny Inspektor podkreślił, że nie kwestionuje prawa Spółki do pozyskiwania informacji o pracownikach korzystających z ochrony związkowej, lecz jedynie sposób realizacji tego prawa. Zdaniem organu, Spółka powinna mieć na uwadze wymagania określone przepisami prawa o ochronie danych osobowych, w tym określoną w art. 26 ust. 1 pkt 2 ustawy zasadę celowości. Pozyskiwanie danych osobowych wszystkich pracowników korzystających z ochrony związku zawodowego wykracza poza cel gromadzenia danych w zakresie korzystania z obrony związku zawodowego, który istnieje w określonych, w ww. przepisach Kodeksu pracy, przypadkach.
Podkreślił, że działanie Spółki, polegające na żądaniu tych danych od Związku bezspornie i jednoznacznie stanowi przetwarzanie danych osobowych. Fakt, iż Komisja Międzyzakładowa odmówiła udostępnienia danych nie stanowi o nieprzysługiwaniu tym osobom ochrony przewidzianej ustawą o ochronie danych osobowych, bowiem byłoby to sprzeczne z ww. art. 2 ust. 1 ustawy. W ocenie Generalnego Inspektora - zgodnie z brzmieniem art. 1 ust. 1 ustawy - każdy ma prawo do ochrony dotyczących go danych osobowych, a nie jedynie ten, czyje dane znalazły się już w zbiorze lub zostały już utrwalone w jakiejkolwiek postaci. Stanowisko Spółki stoi zatem w sprzeczności z powyższym brzmieniem art. 1 ust. 1 ustawy.
Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o uchylenie zaskarżonej decyzji, podnosząc w uzasadnieniu skargi argumenty jak w uzasadnieniu wniosku o ponowne rozpatrzenie sprawy.
W odpowiedzi na skargę organ wniósł o jej oddalenie, powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie. Stosownie do treści art. 27 ust. 1 ustawy o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.), zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, zaś danymi osobowymi w myśl art. 6 ust. 1 ustawy, są wszelkie informacje dotyczące zidentyfikowania lub możliwej do zidentyfikowania osoby fizycznej. Zatem przepis ten statuuje generalną zasadę przetwarzania danych sensytywnych, a do takich bezspornie zaliczyć należy ewentualną imienną listę osób przynależących do związku zawodowego N. działającego przy L. S.A. w S.
Jednakże od tej zasady wprowadza się szereg wyjątków, a do jednego z nich zalicza się, w myśl art. 27 ust. 2 pkt 6 ustawy, dopuszczalność przetwarzania tych danych, kiedy jest to niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzania danych jest określony w ustawie. Nie można również utracić z pola widzenia treści art. 23 ust. 1 pkt 2 ustawy, według którego przetwarzanie danych jest dopuszczalne tylko wtedy, gdy m.in. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Niewątpliwie więc, jeśli się zważy na treść art. 232 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. z 1998 r. Dz. U. Nr 21, poz. 94 ze zm.), w myśl którego, jeżeli przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy, pracodawca ma obowiązek współdziałać w takich sprawach z zakładową organizacją związkową reprezentującą pracownika z tytułu jego członkostwa w związku zawodowym albo wyrażenia zgody na obronę praw pracownika niezrzeszonego w związku – zgodnie z ustawą o związkach zawodowych oraz na przepis art. 30 ust. 21 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (tekst jedn. z 2001 r. Dz. U. Nr 79, poz. 854 ze zm.), zgodnie z którym w indywidualnych sprawach ze stosunku pracy, w których przepisy prawa pracy zobowiązują pracodawcę do współdziałania z zakładową organizacją związkową, pracodawca jest obowiązany zwrócić się do tej organizacji o informację o pracownikach korzystających z jej obrony, zgodnie z przepisami ust. 1 i 2. Nieudzielenie tej informacji w ciągu 5 dni zwalnia pracodawcę od obowiązku współdziałania z zakładową organizacją związkową w sprawach dotyczących tych pracowników. Skarżąca spółka miała nie tylko prawo, lecz wręcz obowiązek zażądać od związku zawodowego wykazu osób, bądź danych osobowych osoby, o ile związałaby tę powinność (żądania od organizacji związkowej) ze ściśle określonymi celami wynikającymi z Kodeksu pracy. Zaś tym celem może być np. zamiar wypowiedzenia pracownikowi umowy o pracę zawartą na czas nieokreślony, ponieważ zgodnie z art. 38 § 1 k.p., o zamiarze wypowiedzenia pracownikowi umowy o pracę zawartej na czas nieokreślony pracodawca zawiadamia na piśmie reprezentującą pracownika zakładową organizację związkową, podając przyczynę uzasadniającą rozwiązanie umowy, a po rozpatrzeniu stanowiska organizacji związkowej, a także w razie niezajęcia przez nią stanowiska w ustalonym terminie, pracodawca podejmuje decyzję w sprawie wypowiedzenia (§ 5), bądź też rozwiązania umowy o pracę bez wypowiedzenia, o czym mowa w art. 52 § pkt 1 – 3, bowiem pracodawca podejmuje decyzję w sprawie rozwiązania umowy po zasięgnięciu opinii reprezentującej pracownika zakładowej organizacji związkowej, którą zawiadamia o przyczynie uzasadniającej rozwiązanie umowy. Innymi słowy mówiąc, pracodawca ma obowiązek poznać stanowisko organizacji związkowej co do imiennie oznaczonych osób korzystających z jego ochrony, jednakże tylko pod warunkiem, że w swoim żądaniu przedstawi jego cel, tzn. powoła się na zamiar przewidziany np. w art. 38 lub 52 Kodeksu pracy i bez znaczenia w przedmiotowej sprawie jest, czy wskaże w tym żądaniu ściśle określone osoby, czy też powoła się ogólnie na ów zamiar, bowiem dla potrzeb niniejszej sprawy zasadnicze znaczenie ma – co już wyżej zasygnalizowano – cel owego żądania. Z tego mianowicie powodu, że stosownie do brzmienia art. 26 ust. 1 pkt 3 in fine ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były m.in. adekwatne w stosunku do celów, w jakich są przetwarzane, a ich zbieranie dla oznaczonych celów, nie może być niezgodne z prawnie oznaczonymi celami (art. 26 ust. 1 pkt 2).
Przenosząc powyższe rozważania na grunt rozpoznawanej sprawy stwierdzić jednakże należy, że pismo spółki skierowane m.in. do Przewodniczącego Związku Zawodowego N. jest bardzo ogólnikowe i zażądano w nim tylko udzielenia informacji o pracownikach korzystających z obrony związków zawodowych. Zatem żądanie L. S.A. nie czyniło zadość treści art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych, bowiem nie określono w nim żadnego celu wnioskowanej informacji (np. wynikającej z art. 38 lub 52 Kodeksu pracy). Stąd też w konsekwencji, nie można tutaj również mówić o adekwatności z art. 26 ust. 1 pkt 3, ponieważ znaczenie słowa adekwatny sprowadza się do: "zgodny z czymś, dokładnie czemuś odpowiadający" (vide: Słownik wyrazów obcych pod redakcją J. Tokarskiego – PWN, Warszawa 1980, str. 5) i w zestawieniu z treścią tego przepisu nie jest on odpowiedni do celu, bowiem celu tego nawet nie podano. Wobec powyższego należy się zgodzić z Generalnym Inspektorem Ochrony Danych Osobowych, który w uzasadnieniu zaskarżonej decyzji powołuje się na relewantność danych osobowych w momencie ich zbierania.
Natomiast z drugiej strony nie sposób podzielić stanowiska organu, że spółka nie ma prawa do zbierania tych danych w formie imiennej listy pracowników. Jeżeli w swoim żądaniu określi wskazany już wyżej cel, podając np. imienną listę pracowników, którym zamierza wypowiedzieć umowę o pracę lub też rozwiązać z nimi umowy o pracę bez wypowiedzenia, to w takiej sytuacji – w ocenie Sądu – nie można mu zarzucić, że narusza wskazane już wyżej przepisy ustawy o ochronie danych osobowych. Nie ma bowiem żadnej, prawnie uzasadnionej różnicy, pomiędzy danymi dotyczącymi pojedynczego pracownika, a danymi grupy pracowników, przy założeniu, że zarówno w jednej sytuacji, jak i w drugiej, cel tego żądania będzie jasno sprecyzowany.
Niezależnie od powyższego zauważyć należy, że rozstrzygnięcie decyzji musi być w sposób jasny i precyzyjny sformułowane. Innymi słowy mówiąc, w myśl art. 107 § 1 k.p.a., sentencja decyzji nie powinna zawierać niedomówień i możliwości różnej interpretacji.
Reasumując, określenie "w indywidualnych sprawach ze stosunku pracy" (art. 30 ust. 22 ustawy o związkach pracowniczych) dotyczy imiennie wskazanych podmiotów z uwagi na wskazany już wyżej cel i rzeczą oczywistą jest, że nie odnosi się to do grupy wszystkich pracowników korzystających z ochrony. Innymi słowy mówiąc, nie do przyjęcia jest domaganie się przez pracodawcę od zakładowej organizacji związkowej danych o osobach nieobjętych perspektywą ustania stosunku pracy, z drugiej jednakże strony rozstrzygnięcie zaskarżonej decyzji jest w tej kwestii nieprecyzyjne, bowiem z jego literalnego brzmienia wynika, że – w ocenie Sądu – zakazuje on spółce pozyskiwania danych o pracownikach, wobec których zamierza on podjąć współdziałanie w sprawach indywidualnych ze stosunku pracy, tj. objętych perspektywą ustania stosunku pracy.
Niezależnie od powyższego, organ w ogóle nie podjął się wyjaśnienia, czy w rozpoznawanej sprawie mamy do czynienia z przetwarzaniem danych osobowych. W myśl art. 7 pkt 2 ustawy, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Bezspornym bowiem jest, że nie doszło w sprawie jeszcze do utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania danych. Zatem pozostało do rozważenia, czy żądanie organu wyczerpało już przesłankę "zbierania", skoro nie wiadomo i organ w żaden sposób tego nie wyjaśnił, czy L. S.A. miał rzeczywistą wolę włączenia tych danych do jednej z postaci ich przetwarzania (zbierane do zbiorów ewidencyjnych albo zbioru danych). Stąd też prowadząc sprawę na nowo, Generalny Inspektor Ochrony Danych Osobowych jest zobowiązany w sposób niebudzący żadnych wątpliwości wyjaśnić ową kwestię.
W tym stanie rzeczy, na mocy art. 145 § 1 pkt 1 lit "c" w zw. z art. 152 i art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), należało orzec jak w sentencji wyroku.