Decyzja
DS.523.2704.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tj. Dz. U. z 2022 r. poz. 2000), art. 7 ust 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, t.j.), art. 6 ust. 1 oraz art. 9 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. K., zam. w T., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez G. Sp. z o.o., polegające na przetwarzaniu danych osobowych w postaci prywatnego numeru telefonu bez podstawy prawnej oraz udostępnieniu szczególnej kategorii danych tj. danych dotyczących zdrowia bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych
- udziela G. Sp. z o.o. upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych Pani A. K. , zam. w T. w zakresie prywatnego numeru telefonu bez podstawy prawnej;
- udziela G. Sp. z o.o. upomnienia za naruszenie art. 9 ust. 1 RODO polegające na udostępnieniu na rzecz osób nieuprawnionych danych osobowych Pani A. K. w zakresie danych dotyczących zdrowia, tj. udostępnieniu informacji o fakcie przebywania przez ww. na zwolnieniu lekarskim pełnomocnikowi kontrahenta Spółki oraz nieupoważnionej do przetwarzania ww. danych osobie zatrudnionej w Spółce.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych (dalej: „UODO”) wpłynęła skarga Pani A. K. zam. w T. (zwanej dalej Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez G. Sp. z o.o. (zwaną dalej Spółką), polegające na przetwarzaniu danych osobowych w postaci prywatnego numeru telefonu bez podstawy prawnej oraz udostępnieniu szczególnej kategorii danych tj. danych dotyczących zdrowia bez podstawy prawnej.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Skarżąca oraz Spółka zawarły umowę o pracę na czas określony od (…) lipca 2021 r. do (…) lipca 2022 r. (dowód: pismo Spółki z (…) maja 2022 r.).
- (…) marca 2022 r. w wiadomości e-mail skierowanej z adresu email (…) do pełnomocnika kontrahenta Spółki Pana T. S. na adres email (…), Spółka przekazała informację o fakcie przebywania przez Skarżącą na zwolnieniu lekarskim L-4 ze względu na „zły stan emocjonalny” (dowód: pismo Skarżącej z (…) kwietnia 2022 r.).
- Skarżąca wskazała, że w dniach (…) marca 2022 r. – (…) marca 2022 r., czyli w okresie przebywania przez nią na zwolnieniu lekarskim, Spółka przekazała osobie zatrudnionej w Spółce Pani K. K., niemającej dostępu do informacji poufnych pracowników, informację o fakcie przebywania przez Skarżącą na zwolnieniu lekarskim oraz jego treść, co Pani K. K. potwierdziła w rozmowie telefonicznej (…) marca 2022 r o godzinie (…), odbytej przez prywatny telefon komórkowy Skarżącej (dowód: pismo Skarżącej z (…) kwietnia 2022 r.).
- Skarżąca wskazała, że (…) marca 2022 r., (…) marca 2022 r. oraz (…) marca 2022 r. Spółka wykorzystała prywatny numer telefonu komórkowego Skarżącej do kontaktu w sprawach służbowych (dowód: pismo Skarżącej z (…) kwietnia 2022 r.).
- Spółka wskazała, że przetwarza dane osobowe Skarżącej na podstawie art. 221 § 1 i art. 92 § 1 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2022 r. poz. 1510 z późn. zm.) oraz art. 36 ust. 2 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (t.j. Dz. U. z 2022 r. poz. 1009 z późn. zm.) w związku z art. 6 ust. 1 lit. a, lit. c oraz art. 9 ust.2 lit. b RODO w związku z przetwarzaniem danych osobowych w zakresie niezbędnym do wykonania ciążących na Spółce obowiązków.
- Spółka wskazała, że udostępnienie przez Spółkę informacji o przebywaniu przez Skarżącą na zwolnieniu lekarskim było podyktowane „wyjątkową okolicznością usprawiedliwienia faktu że w zastępstwie Pani A. K. jej czynność, chwilowo, będzie wykonywać inna osoba. Ponadto, usprawiedliwienia faktu długotrwałego braku kontaktu ze strony Pracownika w stosunku do kluczowego kontrahenta Spółki” (dowód: pismo Spółki z (…) maja 2022 r.).
- Spółka wskazała, że poinformowała Panią K. K. o fakcie przebywania przez Skarżącą na zwolnieniu lekarskim bez wskazywania i podawania szczegółów i okresu absencji (dowód: pismo Spółki z (…) maja 2022 r.).
- Spółka wskazała, że Pani A. K. został powierzony wraz z zatrudnieniem w Spółce służbowy telefon komórkowy wraz z osobnym numerem telefonicznym (…) zarejestrowany w sieci (…) (dowód: pismo Spółki z (…) maja 2022 r.).
- Spółka wskazała, że w przypadku nieobecności Skarżącej w biurze (Skarżąca świadczyła również prace w trybie home Office) większość bieżącej pisemnej korespondencji była prowadzona za pomocą służbowej poczty e-mail, rozmów telefonicznych oraz sporadycznie aplikacji (…) zainstalowanej przez Skarżącą na powierzonym telefonie (dowód: pismo Spółki z (…) maja 2022 r.).
- Spółka wskazała, że korespondencja być może mogła omyłkowo i niecelowo być prowadzona również z kontem użytkownika WhatsUp przypisanym do numeru prywatnego Skarżącej (dowód: pismo Spółki z (…) maja 2022 r.).
- Pani K. K. oświadczyła, że podczas przebywania przez Skarżącą na zwolnieniu lekarskim kontaktowała się ze Skarżącą z prywatnego telefonu na prywatny numer telefonu Skarżącej, który otrzymała od Skarżącej. W trakcie rozmów zapytała również Skarżącą o sprawy związane z pracą jako, że podczas nieobecności Skarżącej w pewnym stopniu ją zastępowała (dowód: pismo Spółki z (…) maja 2022 r.).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych (zwany dalej: Prezesem UODO) zważył, co następuje.
Prezes UODO wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Ponadto w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07, w którym Naczelny Sąd Administracyjny stwierdził, iż: „badając (…) legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Pierwszym z rozpatrywanych w toku sprawy działań Spółki jest przetwarzanie przez nią danych osobowych Skarżącej w postaci prywatnego numeru telefonu bez podstawy prawnej.
RODO określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że ww. przepis legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek.
Materiał dowodowy nie wykazał, żeby Skarżąca w jakikolwiek sposób dobrowolnie udostępniła swój prywatny numer telefonu, zarówno Prezesowi Zarządu Spółki jak i samej Spółce do celów służbowych. Spółka w swoich wyjaśnieniach wskazała, że korespondencja mogła omyłkowo i niecelowo być prowadzona również z kontem użytkownika przypisanym do numeru prywatnego Pani A. K.. Równocześnie Spółka posiadała inne możliwości uzyskania kontaktu ze Skarżącą, dysponując służbowym adresem e-mail oraz służbowym numerem telefonu komórkowego. Należy zatem stwierdzić, że Spółka nie legitymowała się żadną z przesłanek art. 6 ust. 1 RODO kontaktując się ze Skarżącą w celach służbowych na prywatny numer telefonu Skarżącej.
Drugim z rozpatrywanych w toku sprawy działań Spółki jest udostępnienie danych Skarżącej w zakresie informacji o przebywaniu na zwolnieniu lekarskim oraz treści tego zwolnienia osobom trzecim, tj. Pani K. K. oraz Panu T. S.
RODO określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratora do przetwarzania szczególnych kategorii danych osobowych jest art. 9 ust. 1 oraz 2 RODO. Zgodnie z art. 9 ust. 1 RODO zabrania się przetwarzania m.in. danych osobowych danych dotyczących zdrowia osoby fizycznej. Zgodnie z art. 9 ust. 2 RODO, art. 9 ust. 1 RODO nie ma zastosowania, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 9 ust. 2 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że ww. przepis legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek.
Informacje o przebywaniu przez Skarżącą na zwolnieniu lekarskim oraz przybliżona treść zwolnienia stanowią dane dotyczące zdrowia, a więc jedną z szczególnych kategorii danych enumeratywnie wymienionych w art. 9 ust. 1 RODO. Zgodnie bowiem z motywem 35 RODO do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą m.in. wszelkie informacje, na przykład o chorobie, ryzyku choroby, historii medycznej, stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia. Ponadto art. 4 pkt 15 RODO definiuje dane dotyczące zdrowia jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia. Informacja o przebywaniu przez Skarżącą na zwolnieniu lekarskim jest daną dotyczącą zdrowia, ponieważ ujawnia informację o stanie zdrowia Skarżącej oraz o korzystaniu przez nią z usług opieki zdrowotnej, jako że sam fakt otrzymania zwolnienia lekarskiego oznacza, że Skarżąca z takiej usługi skorzystała, jak również, że z uwagi na stan zdrowia nie powinna ona wykonywać pracy na zajmowanym stanowisku.
Spółka uzasadnia udostępnienie tych danych wskazanym wyżej osobom koniecznością wytłumaczenia kontrahentom Spółki powodów utrudnionego kontaktu ze Spółką, jak również koniecznością reorganizacji obowiązków pozostałych pracowników w świetle nieobecności Skarżącej w pracy. Należy stwierdzić, że powyższe powody nie stanowią żadnej z przesłanek z art. 9 ust. 2 RODO legalizujących proces przetwarzania szczególnych kategorii danych osobowych jakim w zakresie niniejszego postępowania jest ich udostępnienie osobom trzecim, tj. Pani K. K. oraz Panu T. S.
Mając na względzie powyższe, w świetle okoliczności przedstawionych przez Skarżącą oraz działając na podstawie art. 58 ust. 2 lit. b RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1 RODO oraz art. 9 ust. 1 RODO.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, t.j.) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.