Orzeczenia polskich sądów w sprawach związanych z ochroną danych osobowych
Obecnie obowiązujące przepisy prawa nie zawsze są w pełni czytelne i zrozumiałe. Opierając się jedynie na nich, ustalenie jednoznacznej odpowiedzi na pytania nurtujące administratorów danych, wielokrotnie staje się problematyczne. Z pomocą przychodzą wówczas rozstrzygnięcia sądów, zawierające ważne wskazówki interpretacyjne. Poniżej przedstawiamy kilka ostatnich orzeczeń dotyczących bezpieczeństwa informacji.
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 listopada 2020 r., sygn. akt: II SA/Wa 781/20
W niniejszej sprawie, została złożona do UODO skarga na nieprawidłowości w procesie przetwarzania danych osobowych na dysku twardym komputera służbowego przez Specjalistyczny Psychiatryczny Zespół Opieki Zdrowotnej.
Jak stwierdził Prezes UODO, nie istniała żadna z przesłanek z art. 6 ust. 1 i art. 9 ust. 2 RODO uprawniających SP ZOZ do przetwarzania danych osobowych skarżącego zawartych na dysku twardym komputera służbowego po ustaniu jego zatrudnienia. Powoływanie się na przetwarzanie danych w celu obrony przed ewentualnymi roszczeniami nie znajdowało żadnego prawnego uzasadnienia i nie stanowiło przesłanki uprawniającej do przetwarzania tych danych. Organ podkreślił niedopuszczalność przetwarzania danych osobowych „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Prezes UODO nakazał SP ZOZ usunięcie danych osobowych skarżącego, przechowywanych na dysku twardym komputera służbowego, z którego korzystał w trakcie swojego zatrudnienia, w terminie 30 dni od dnia doręczenia decyzji. Decyzja ta została podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie.
- Wyrok Sądu Okręgowego w Olsztynie z dnia 29 stycznia 2021 r., sygn. akt: IV Pa 79/20
Sprawa dotyczyła zwolnienia dyscyplinarnego pracownika, który poprzez wewnętrzne zarządzenia pracodawcy wydane w ramach zapobiegania rozprzestrzenianiu się COVID-19, był zobowiązany do informowania o wyjazdach zagranicznych. Procedury przewidywały odbycie przez taką osobę kwarantanny. Zwolniony pracownik nie tylko nie poinformował pracodawcy o odbytych podróżach, ale też – pytany przez przełożonego – kilkukrotnie i świadomie skłamał. W wolnym czasie świadczył bowiem pracę w innym miejscu, co wiązało się z podróżami po Unii Europejskiej.
Sąd Okręgowy w Olsztynie orzekł, iż w sytuacji rozprzestrzeniania się wirusa, życie i zdrowie pracowników jest wartością wyższą od prawa do prywatności. Tym samym, w celu przeciwdziałania rozprzestrzenianiu się koronawirusa, pracodawca miał prawo pytać pracowników o pobyt za granicą. Pracownikowi niestosującemu się do wprowadzonych zasad i nierealizującemu obowiązków w tym zakresie grozi odpowiedzialność́ pracownicza, w tym nawet zwolnienie dyscyplinarne. Brak udzielenia stosownych informacji stanowi bowiem ciężkie naruszenie obowiązków pracowniczych.
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 lutego 2021 r., sygn. akt: II SA/Wa 2378/20
Niniejszy wyrok nawiązuje do prowadzenia kampanii marketingowej przez spółkę ClickQuickNow Sp. z o. o. Spółka ta komunikowała odbiorcom kampanii, iż będą mogli odwołać zgodę na przetwarzanie danych w łatwy i prosty sposób. Niezwłocznie po otrzymaniu tego typu informacji, Spółka miała zablokować możliwość dalszej realizacji kampanii w stosunku do użytkownika, który wycofał zgodę.
W toku kontroli UODO wykazano, że Spółka nie stosuje się do opracowanych przez siebie zasad. Wbrew zapewnieniom, użycie linku zamieszczonego w treści informacji handlowych nie skutkowało szybkim odwołaniem zgody na przetwarzanie danych osobowych. Komunikaty przesyłane po uruchomieniu linku wprowadzały w błąd – użytkownik był przekierowywany na stronę internetową, gdzie znajdowało się zapytanie o przyczynę rezygnacji z otrzymywania reklam drogą e-mailową. Po udzieleniu odpowiedzi trafiał na kolejną stronę, zawierającą komunikat o następującej treści:
„[…] odwołanie zgody dziś [data]”.
„Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych […]”.
Skuteczne odwołanie zgody mogło jednak nastąpić jedynie wówczas, gdy osoba zainteresowana, po zapoznaniu się z treścią ww. komunikatu, skierowała jeszcze raz swoje żądanie na wskazany w nim adres i dokładnie określiła, czego się domaga.
W ocenie Prezesa UODO osoba, której dane dotyczą, nie mogła skutecznie skorzystać ze swojego prawa do wycofania w dowolnym momencie udzielonej zgody ani z prawa do bycia zapomnianym. Na otrzymaną decyzję, nakładającą administracyjną karę pieniężną w wysokości 201 tys. zł., Spółka złożyła skargę do WSA w Warszawie, który jednak ją oddalił i podzielił stanowisko PUODO, że Spółka nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiłyby podmiotom danych skuteczne skorzystanie z ich praw. W procesie odwołania zgody Spółka nie uwzględniła bowiem zasady stanowiącej, że wycofanie zgody powinno być równie łatwe, jak jej wyrażenie. Ponadto, według WSA, każdy, kto otrzymał ww. komunikat, miał prawo stwierdzić, że faktycznie doszło do odwołania zgody, podczas gdy nie miało to miejsca.
- Wyrok Sądu Okręgowego w Elblągu z dnia 24 marca 2021 r., sygn. akt: IV Pa 10/21
Powódką w sprawie była pracownica Zakładu Ubezpieczeń Społecznych, zwolniona dyscyplinarnie za zapoznawanie się z danymi płatników składek spoza swojego inspektoratu. Próbowała ona uzyskać przywrócenie do pracy, wskazując, iż rozwiązanie umowy o pracę w trybie dyscyplinarnym było niesprawiedliwe, bowiem operowała ona systemem informatycznym w ramach zwykłych czynności pracowniczych, a nie w celu zaspokojenia swojej ciekawości. Powódka stwierdziła, że nie uczyniła niczego, co można by zakwalifikować jako winę umyślną albo rażące niedbalstwo.
Sąd Rejonowy w Ostródzie oddalił powództwo, wskazując, że do zakresu czynności powódki należało wystawianie zaświadczeń na wniosek osób ubezpieczonych i rozpatrywanie wniosków o wyrażenie zgody na przywrócenie terminu płatności na dobrowolne ubezpieczenie. W zakresie swoich obowiązków, uzyskała dostęp do systemu informatycznego ZUS i zobowiązała się w tym zakresie do zachowania w poufności. SR ustalił także, iż powódka wielokrotnie w toku wykonywania swoich obowiązków składała oświadczenia na piśmie potwierdzające znajomość dokumentów dotyczących przetwarzania danych osobowych oraz bezpieczeństwa informacji. Mimo to, w sposób nieuprawniony weszła na konto osoby ubezpieczonej – swojego męża, a następnie pobrała dane z konta płatnika (Starostwa Powiatowego) niepodlegającego terytorialnie Inspektoratowi ZUS, w którym była zatrudniona. Pobrała również dane 6 ubezpieczonych zatrudnionych w tym Starostwie, mimo że żadna z tych osób nie wystąpiła o wydanie zaświadczenia do wskazanego Inspektoratu.
SR podał, że powódka wykorzystała stanowisko pracy i posiadane uprawnienia do systemów informatycznych do celów prywatnych. Podkreślił także, że ZUS wykazał, iż dopuściła się naruszenia podstawowych obowiązków pracowniczych, polegającego na uzyskaniu bezprawnego dostępu do danych osobowych klientów ZUS, co nie miało żadnego związku z wykonywaniem przez nią obowiązków pracowniczych. Zdaniem SR działania powódki były świadome i celowe, a jednocześnie naruszające przepisy wewnątrzzakładowe, tj. Politykę bezpieczeństwa informacji i Regulamin pracy. Swoim działaniem naruszyła również art. 4 pkt 12 RODO poprzez nieuprawniony dostęp do danych osobowych.
Powódka wniosła apelację do Sądu Okręgowego w Elblągu, który jednak ją oddalił, stwierdzając, że jej zachowanie, polegające na uzyskaniu bezprawnego dostępu do danych osobowych klientów ZUS, pozostające bez związku z wykonywanymi obowiązkami pracowniczymi, było działaniem celowym i świadomym i jako takie wypełniło przesłanki ciężkiego naruszenia podstawowych obowiązków pracowniczych.
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r., sygn. akt: II SA/Wa 1898/20
W niniejszej sprawie Spółka wykazała, iż pozyskała numer telefonu Wnioskodawcy w związku z nabyciem pakietu numerów telefonu od innego podmiotu. Wnioskodawca ten zwrócił się do Spółki z żądaniem dostarczenia kopii przetwarzanych przez nią danych, jak również udzielenia informacji o źródle ich pozyskania. Spółka nie zgodziła się na realizację żądania Wnioskodawcy, tłumacząc, że pozyskany w ten sposób numer telefonu nie stanowi danych osobowych.
Działalność Spółki polegała na umawianiu pokazów i prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej. W toku postępowania przed PUODO potwierdziła, że wykonała połączenie pod wskazany w skardze numer telefonu, lecz w toku rozmowy nie doszło do pobrania jakichkolwiek danych osobowych Wnioskodawcy. Prezes UODO stwierdził, iż z uwagi na podjęcie przez Spółkę działań nakierowanych na identyfikację Wnioskodawcy, przetwarzanie jego numeru telefonu podlegało przepisom o ochronie danych osobowych i upomniał Spółkę za brak realizacji prawa dostępu do danych.
Od przedmiotowej decyzji Spółka złożyła skargę do WSA, zarzucając PUODO naruszenie m. in. art. 4 pkt 1 RODO, poprzez stwierdzenie, że „numer telefonu stanowi dane osobowe”. WSA uwzględnił skargę i uchylił Decyzję Prezesa UODO, uznając za trafne sformułowane przez Spółkę zarzuty i stwierdzając, iż nie przetwarzała ona danych osobowych, gdyż nie było możliwości identyfikacji Wnioskodawcy. WSA wskazał także, iż w RODO przyjęto koncepcję subiektywnego pojęcia danych osobowych, zgodnie z którą, z punktu widzenia dokonywania identyfikacji, informacje, których administrator nie wykorzystuje, mimo że mógłby to uczynić w celu jej dokonania, nie mają znaczenia w danej sytuacji, a rozstrzygająca jest perspektywa ocenna administratora i jego aktywności.