Decyzja

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 poz. 256 ze zm.) w związku z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), art. 160 ust. 1-3 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 4 pkt 1, art. 6 ust. 1 lit. c), art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pani E. S., zam. w S. przy ul. (…) o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 18 maja 2017 r. (sygn. DOLiS/DEC-604/17/40572,40578) w przedmiocie odmowy uwzględnienia wniosku w sprawie przetwarzania jej danych przez C. Sp. z o.o. z siedzibą w S. przy ul. (…) reprezentowanej przez radcę prawnego A. G. z K. Sp. k. z siedzibą w W. przy ul. (…),

utrzymuje w mocy zaskarżoną decyzję.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani E. S., zam. w S. przy ul. (…), zwanej dalej ,,Skarżącą”, na nieprawidłowości procesie przetwarzania jej danych osobowych przez „C”  Sp. z o.o. z siedzibą w S., przy ul. (…), zwaną dalej ,,Spółką”.

Skarżąca w treści skargi wskazała, że podczas jej pobytu na zwolnieniu lekarskim, Pani B. B. (pełniąca funkcję członka Rady Nadzorczej Spółki) wraz z inną osobą, przeprowadziły w jej mieszkaniu kontrolę prawidłowości wykorzystania zwolnienia lekarskiego przez Skarżącą. Zdaniem Skarżącej osoby te nie były upoważnione do przetwarzania jej danych osobowych, w szczególności w zakresie jej stanu zdrowia.

W toku postępowania zainicjowanego skargą Generalny Inspektor Ochrony Danych Osobowych, zwany dalej również ,,GIODO”, ustalił następujący stan faktyczny:

Spółka wskazała, że dane osobowe Skarżącej przetwarzane są w zbiorze danych pracowników w celu realizacji obowiązków wynikających z zawartej z nią umowy o pracę z 1 czerwca 1993 r., a także w zbiorze danych monitoring w celu zapewnienia bezpieczeństwa funkcjonowania Spółki. Spółka wskazała również, że stosownie do postanowień ww. umowy o pracę Skarżąca pełniła, m.in. obowiązki zastępcy Prezesa Zarządu w Spółce (do dnia 26 lipca 2016 r.). Spółka wskazała ponadto, że zarówno Pani B. B. jak i inne osoby nie przeprowadzały kontroli korzystania przez Skarżącą ze zwolnienia lekarskiego. Odnosząc się do zdarzenia z dnia 6 lipca 2016 r. Spółka wyjaśniła, że Pani B. B. doręczyła osobiście Skarżącej zawiadomienie o zwołaniu posiedzenia Zarządu Spółki. Powyższy sposób ww. zawiadomienia podyktowany był bliskim terminem posiedzenia Zarządu Spółki i w żadnym wypadku nie miał na celu sprawdzenia zasadności przebywania przez Skarżącą na zwolnieniu lekarskim. W swoich wyjaśnieniach Spółka wskazała również, że nie udostępniała danych osobowych Skarżącej osobom nieupoważnionym. Natomiast Pani B. B. jako członek rady nadzorczej Spółki posiadała upoważnienie do wglądu do wszelkich dokumentów Spółki, w tym także do dokumentów pracowniczych. Jednocześnie do wyjaśnień Spółka dołączyła ww. upoważnienie z dnia 4 maja 2016 r., które zostało wystawione na czas nieokreślony.

W tym stanie faktycznym GIODO wydał decyzję z dnia 18 maja 2017 r. (sygn. DOLiS/DEC-604/17/40572,40578), mocą której odmówił uwzględnienia wniosku Skarżącej.  

W ustawowym terminie, tj. 5 czerwca 2017 r. (data stempla pocztowego) Skarżąca wniosła wniosek o ponowne rozpatrzenie sprawy.

W uzasadnieniu do wniosku Skarżąca wskazała, że Pani B. B. nie mogła legitymować się upoważnieniem z 4 maja 2016 r. do przetwarzania jej danych osobowych, ponieważ wystawienie takiego upoważnienia wykluczało konieczność wystawienia kolejnego upoważnienia dla Pani B. B. tym razem do dokonania kserokopii zwolnienia lekarskiego Skarżącej. Zdaniem Skarżącej data widniejąca na upoważnieniu, tj. 4 maja 2016 r., nie jest faktyczną datą jego wystawienia.

Skarżąca ponownie wskazała, że wizyta Pani B. B. pod drzwiami mieszkania miała na celu wyłącznie skontrolowanie zasadności korzystania przez Skarżącą ze zwolnienia lekarskiego, ponieważ cyt.: ,,Pani B. (...) na drugi dzień przyszła po zwolnienie lekarskie [Skarżącej] do działu kadr”, a ponadto cyt.: ,,Zakład Ubezpieczeń Społecznych w lipcu 2016 r. wystąpił z pismem do (...) przychodni [Skarżącej] o przesłanie kartoteki z historią choroby, gdyż wpłynął wniosek od pracodawcy w sprawie kontroli zasadności wykorzystania zwolnienia lekarskiego”.

Skarżąca dodała, że z art. 219 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. 2020 poz. 1526 ze. zm.), zwanej dalej ,,K.s.h.”, nie wynika, aby Pani B. B. mogła cyt. ,,przyjść do mojego mieszkania z jakąkolwiek korespondencją. Nie należy to do wykonywania jej obowiązków, gdyż Rada Nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich jej dziedzinach działalności”.

Po ponownym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych, zważył co następuje:

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zwanej dalej ,,ustawą z 1997 r.”,  zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwaną dalej ,,K.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).

Uwzględniając powyższe należy stwierdzić, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z 1997 r. (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do K.p.a – Dz. U. 00.98.1071, M. Jaśkowska, A. Wróbel, Lex., el/2012).

Zgodnie z art. 219 § 1 K.s.h. rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności. Oznacza to, że może nadzorować cząstkowe aktywności, niektóre działy czy też pracę członków zarządu. Stały nadzór nad działalnością spółki jest prawem i obowiązkiem rady nadzorczej. Oznacza to, że sprawowanie tego nadzoru musi mieć trwały charakter i odnosić się do całej spółki (por. J. Jacyszyn, Rady nadzorcze spółek, KPP 1994, z. 3, s. 439). Artykuł 219 k.s.h. wytycza najszersze granice dla możliwości nadzorowania. Stały nadzór nad działalnością spółki jest skonkretyzowany przykładowymi czynnościami rady nadzorczej, o których mowa w art. 219 § 4 k.s.h. Dla zrealizowania swoich funkcji rada nadzorcza ma prawo przeglądania wszelkich dokumentów spółki dotyczących następujących sfer: finansowych, kadrowych, umów i uchwał zarządu (A. Kidyba, Spółka z o.o. Komentarz, 2002, s. 529).

W związku z powyższym ponownie należy wskazać, że działanie Spółki polegające na udostępnieniu danych osobowych Skarżącej Pani B. B. miało swoje umocowanie w wyżej wymienionym przepisie, który wypełnił przesłankę legalności przetwarzania danych wskazaną w art. 23 ust. 1 pkt 2 ustawy z 1997 r. Obecnie zaś działanie Spółki byłoby dopuszczalne w związku z treścią art. 6 ust. 1 lit. c) RODO. W dniu 6 lipca 2016 r. Pani B. B. legitymowała się upoważnieniem do przetwarzania danych osobowych pracowników Spółki, a więc i danych osobowych Skarżącej pełniącej funkcję Zastępcy Prezesa Zarządu.

Przeprowadzone w niniejszej sprawie postępowanie wyjaśniające nie dało podstaw by sądzić, iż osobiste dostarczenie zawiadomienia o bliskim terminie posiedzenia zarządu przez członka rady nadzorczej podczas przebywania Skarżącej na zwolnieniu lekarskim miało na celu sprawdzenie zasadności korzystania przez nią z tego zwolnienia. Gdyby jednak przyjąć, że kontrola prawidłowości korzystania przez Skarżącą ze zwolnienia lekarskiego w istocie miała miejsce to podstawa prawna do jej przeprowadzenia została wskazana w art. 68 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia pieniężnego w razie choroby i macierzyństwa (Dz. U. 2021 r., poz. 1133 ze. zm.). Z ww. przepisu wynika, że do przeprowadzenia kontroli prawidłowości wykorzystywania zwolnień od pracy uprawnieni są płatnicy składek (pracodawcy) zgłaszający do ubezpieczeniach chorobowego powyżej 20 ubezpieczonych oraz jednostki Zakładu Ubezpieczeń Społecznych.

Odnosząc się natomiast do twierdzeń Skarżącej jakoby Pani B. B. nie posiadała upoważnienia do przetwarzania danych osobowych Skarżącej, z uwagi na to, że data upoważnienia Pani B. B. nie była faktyczną datą jego wystawienia, należy podkreślić, że Prezes Urzędu Ochrony Danych Osobowych nie posiada uprawnień do sprawdzania autentyczności jakichkolwiek dokumentów. Jeżeli zdaniem Skarżącej doszło do przestępstwa przeciwko wiarygodności dokumentów powinna powiadomić właściwe organy ścigania. Podobnie odnosząc się do zarzutu bezprawnego osobistego zawiadomienia Skarżącej przez Panią B. B. o terminie posiedzenia zarządu Spółki należy wskazać, że materia dotycząca formy takiego zawiadomienia również nie podlega kontroli Prezesa Urzędu Ochrony Danych Osobowych. Do kompetencji Prezesa Urzędu Ochrony Danych Osobowych nie należy bowiem badanie organizacji pracy wdrożonej przez pracodawcę. Z przedstawionej przez Skarżącą w niniejszym postępowaniu wersji wydarzeń wynika, że tłem zdarzenia opisanego w skardze mógł być konflikt, spór pomiędzy Skarżącą a pracodawcą. W tym miejscu zatem ponownie należy wskazać, że Prezes Urzędu nie jest właściwy do rozstrzygania sporów w tym zakresie. Organem nadzoru i kontroli nad przestrzeganiem prawa pracy jest Państwowa Inspekcja Pracy. Swoich praw wynikających z prawa pracy można dochodzić również przed sądem powszechnym. Do kompetencji Prezesa Urzędu Ochrony Danych Osobowych należy monitorowanie i egzekwowanie stosowania przepisów dotyczących ochrony danych osobowych, a jak wyżej wykazano, zdarzenie będące przedmiotem skargi nie wiązało się z naruszeniem tych przepisów.

Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 ustawy z 1997 r. służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. Prezes Urzędu Ochrony Danych Osobowych nie stwierdził nieprawidłowości w udostępnieniu danych osobowych Skarżącej Pani B. B. Dlatego też, po dokonaniu ponownej analizy materiału zgromadzonego w sprawie, Prezes Urzędu Ochrony Danych Osobowych uznał za prawidłowe rozstrzygnięcie zawarte w decyzji z dnia 18 maja 2017 r. (sygn. DOLiS/DEC-604/17/40572,40578) i podtrzymuje je w całości.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy.