Decyzja
DS.523.2941.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwanego dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. G. na nieprawidłowości w procesie przewarzania jego danych osobowych przez S. Sp. z o.o. (ul. […], P.), reprezentowaną przez radców prawnych M. W. i E. B. (Kancelaria Radców Prawnych M., ul. […], P.), polegające na bezprawnym przetwarzaniu jego adresu e-mail: (…) pomimo wypowiedzenia mu umowy o pracę, Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga P. G., zwanego dalej Skarżącym, na nieprawidłowości w procesie przewarzania jego danych osobowych przez S. Sp. z o.o. (ul. […], P.), zwaną dalej Spółką, reprezentowaną przez radców prawnych M. W. i E. B. (Kancelaria Radców Prawnych M., ul. […], P.), polegające na bezprawnym przetwarzaniu jego adresu e-mail: (…) pomimo wypowiedzenia mu umowy o pracę.
W treści skargi Skarżący wskazał, że w ciągu 5 minut od wręczenia mu wypowiedzenia umowy o pracę […] lutego 2022 r. zostało zmienione jego hasło dostępu do sieci Spółki oraz do jego skrzynki e-mailowej o adresie (…) przez dyrektora naczelnego Pana N. S. w obecności prezesa Spółki oraz kierownika działu IT. Skarżący wskazał, że od tamtej pory nie ma dostępu do nich oraz że jego skrzynka e-mailowa pozostaje nadal aktywna, a osoby kierujące korespondencje na adres […] nie otrzymują żadnej informacji zwrotnej. Skarżący wskazał również, że nie został poinformowany przez swojego przełożonego, kto będzie miał dostęp do jego korespondencji (w tym korespondencji prywatnej), w jakim zakresie i w jakim celu informacje z jego skrzynki mailowej będą przetwarzane ani też jak długo skrzynka będzie aktywna, a dane przechowywane. Skarżący oświadczył, że według jego wiedzy żaden akt wewnętrzny pracodawcy, regulamin pracy ani żadne inne wewnętrzne zarządzenia w Spółce nie regulują kwestii dopuszczalności korzystania z poczty służbowej do celów prywatnych ani też nie zawierają zasad dotyczących postępowania z pocztą elektroniczną pracownika odchodzącego z pracy.
W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Skarżący był pracownikiem Spółki zatrudnionym na stanowisku (…) do […] maja 2022 r. Skarżący […] lutego 2022 r. otrzymał od Spółki wypowiedzenie umowy o pracę zawartej na czas nieokreślony z zachowaniem 3-miesięcznego okresu wypowiedzenia. W okresie wypowiedzenia Skarżący został zwolniony z obowiązku świadczenia pracy. W ramach Spółki do dnia wypowiedzenia stosunku pracy Skarżący obowiązany był do nadzorowania pionu odpowiedzialnego m.in. za compliance i ochronę danych osobowych, IT, HR (dowód: skarga z […] maja 2022 r., wyjaśnienia Spółki z […] maja 2022 r. wraz z załącznikami).
- Spółka wskazała, że w związku z zatrudnieniem został utworzony dla Skarżącego służbowy adres e-mail (…), którego istnienie oprócz umożliwienia wykonywania obowiązków pracowniczych na rzecz Spółki umożliwiało naliczanie wynagrodzeń w systemie HR Spółki. Spółka wyjaśniła, że w związku z zatrudnieniem Skarżącemu zostały przekazane stosowne informacje za pośrednictwem funkcjonującej w Spółce wewnętrznej elektronicznej platformy I. o przetwarzaniu jego danych osobowych, w tym o obowiązujących w Spółce i Grupie S. politykach ochrony danych osobowych i bezpieczeństwa IT. Skarżący potwierdził zapoznanie się z obowiązującymi w Spółce i Grupie S. procedurami i zasadami przetwarzania danych osobowych w toku odbytych szkoleń (dowód: wyjaśnienia Spółki z […] maja 2022 r. wraz z załącznikami - Potwierdzeniem odbycia szkoleń dot. przetwarzania danych osobowych w Spółce przez Skarżącego).
- Spółka wyjaśniła, że przetwarzanie danych w postaci służbowego adresu e-mail pracownika – Skarżącego następuje w zakresie objętym obowiązującymi w Spółce procedurami, w oparciu o prawnie uzasadniony interes Spółki jakim jest prowadzenie jej działalności, a także wykonywanie umowy zawartej z pracownikiem. W związku z wypowiedzeniem […] lutego 2022 r. stosunku pracy wraz ze zwolnieniem z obowiązku świadczenia pracy Spółka dokonała zablokowania adresu e-mail (…) w ten sposób, iż konto formalnie istnieje jednak nikt nie ma doń możliwości faktycznego dostępu, w tym zarówno Spółka jak i Skarżący. Spółka wskazała również, że przedmiotowy adres e-mail istniał w związku z jego połączeniem z systemem HR, w oparciu o który Spółka dokonywała naliczania wynagrodzeń Skarżącemu do dnia ustania zatrudnienia. Spółka oświadczyła, że w dniu wręczenia wypowiedzenia Skarżący został poinformowany w rozmowie telefonicznej przez Kierownika Działu IT o zakresie blokady jego adresu e-mail, kto ma dostęp do adresu e-mail, w jakim zakresie Spółka będzie wykorzystywać adres email oraz zasadach dalszego istnienia jego adresu e-mail (dowód: wyjaśnienia Spółki z […] maja 2022 r. wraz z załącznikami).
- Spółka wskazała, że w całej Grupie S. obowiązują procedury dotyczące postepowania z adresami e-mail pracowników i przypisanymi do nich skrzynkami, tj. […]. W związku z obowiązującymi w Spółce zasadami dopiero z chwilą formalnego ustania zatrudnienia danego pracownika, adres e-mail jest przez Spółkę poddawany następującej procedurze: Krok 1. Po wygaśnięciu umowy na podstawie danych z systemu HR serwer pocztowy na każdego wysłanego maila zaczyna wysyłać automatyczne odpowiedzi mówiące dla osób ze S.: osoba XXX nie jest już aktywnym pracownikiem firmy S. Na e-mail od osób z poza S. przychodzi e-mail następującej treści „Dziękujemy za wiadomość, … nie jest już pracownikiem zatrudnionym w firmie S. W celu uzyskania informacji proszę o kontakt: ...@[…] (Wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać.)" Krok 2. Po 30 dniach od wyłączenia konta odpowiedz na wysyłane maile: użytkownik nie istnieje. Krok 3. Po 60 dniach konto AD (w domenie S.) zostaje usunięte, skrzynka zostaje usunięta z serwera pocztowego i przeniesiona na „legal hold" — dostępna tylko w przypadku zgody działu prawnego S. — spółki matki w Grupie S. (dowód: wyjaśnienia Spółki z […] maja 2022 r. wraz z załącznikami).
- Spółka wskazała, że nie zapoznawała się z treścią wiadomości wysyłanych na adres (…) w okresie od […] lutego do […] maja 2022 r. Osoby kierujące wiadomości na ww. adres nie były informowane o niedostępności Skarżącego. Spółka wskazała również, że automatyczna odpowiedź na maile kierowane na adres (…) wysyłana jest od […] czerwca 2022 r. Treść ustawionej odpowiedzi to: „Dziękujemy za wiadomość. P. G. nie jest już pracownikiem zatrudnionym w firmie S. W celu uzyskania informacji proszę o kontakt z […] (Wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać.)” (dowód: wyjaśnienia Spółki z […] czerwca 2022 r. wraz z załącznikami - Informacją o ostatnim logowaniu w systemach S. (login/id P. G. to […]).
- Spółka wyjaśniła, że zablokowania adresu (…) dokonali upoważnieni pracownicy, tj. Pan L. Ś., (…) i Pan N. S., (…) poprzez zmianę hasła na losowy ciąg znaków (dowód: wyjaśnienia Spółki z […] czerwca 2022 r. wraz z załącznikami – kopiami upoważnień nadanych ww. pracownikom).
Po zapoznaniu się ze zgromadzonym materiałem dowodowym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
RODO określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przesłanki legalności przetwarzania danych osobowych określone zostały natomiast w art. 6 ust. 1 RODO. Przesłanki te mają charakter autonomiczny, wobec czego aby uznać proces przetwarzania danych osobowych przez administratora za zgodny z prawem, wystarczy spełnienie przez niego jednej z tych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO). Zgodnie zaś z art. 5 ust. 1 lit. a i lit. b RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
W tym miejscu wskazać należy, że udostępniany zatrudnionym pracownikom sprzęt, oprogramowanie, dostęp do sieci internetowej i zakładane służbowe konta e-mailowe stanowią własność pracodawcy i są elementem składowym jego przedsiębiorstwa i są udostępniane pracownikom w celach związanych ze świadczeniem pracy.
W toku postepowania ustalono, że adres e-mail (…) był adresem przetwarzanym w związku z zatrudnieniem Skarżącego na stanowisku (…) i wykorzystywany był w celu realizacji przez niego jego obowiązków służbowych związanych z nadzorowaniem pionu odpowiedzialnego m.in. za compliance i ochronę danych osobowych oraz w procedurze naliczania mu wynagrodzenia przez Dział HR Spółki do dnia […] maja 2022 r. Ze zgromadzonego materiału dowodowego wynika również, że po zaprzestaniu pełnienia jakiejkolwiek funkcji przez Skarżącego w ramach działalności Spółki, tj. […] maja 2022 r., Spółka ustawiła automatyczną odpowiedź kierowaną do wszystkich osób podejmujących kontakt ze Spółką za pośrednictwem adresu e-mail (…), która informuje, że Skarżący nie pełni już żadnych funkcji w Spółce, a w celu uzyskania informacji należy kontaktować się za pośrednictwem adresu (…).
W ocenie organu wyjaśnienia Spółki zasługują na uwzględnienie. Przepis art. 6 ust. 1 lit. f RODO, na który powołała się Spółka dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W przedmiotowej sprawie konieczne jest zatem rozważenie, czy proces przetwarzania danych osobowych osoby, której dane dotyczą – w tym przypadku Skarżącego, będącego byłym pracownikiem Spółki – nie godzi w jego interesy, podstawowe prawa i wolności, które wymagają ochrony oraz czy nie są one nadrzędne względem prawnie uzasadnionych interesów Spółki. Powołując się na analizę prawnie uzasadnionego interesu dokonaną przez Witolda Chomiczewskiego (por: Chomiczewski Witold. Prawnie uzasadniony interes jako przesłanka legalizująca przetwarzanie danych – pojęcie. System Informacji Prawnej LEX, dostępny pod adresem: https://sip.lex.pl/#/publication/470099706) w procesie oceny należy uwzględnić takie kryteria jak w szczególności: charakter interesu administratora, rodzaj interesu podmiotu danych, rodzaj prawa podstawowego lub wolności, rodzaj przetwarzanych danych osobowych, sposób przetwarzania, ryzyka wynikające z niego dla podmiotu danych, relację między podmiotem danych a administratorem, wiek podmiotu danych, jego indywidualną sytuację oraz łatwość z jaką podmiot danych może doprowadzić do zakończenia przetwarzania. W przedmiotowej sprawie, co zostało potwierdzone w zebranym materiale dowodowym, Spółka przetwarza służbowy adres Skarżącego, zawierający jego imię i nazwisko. Skarżący jest byłym pracownikiem Spółki, a adres e-mail (…) służył Skarżącemu w toku zatrudnienia do realizacji jego zadań związanych z pełnieniem funkcji (…) oraz naliczaniem mu wynagrodzenia. Spółka po zakończeniu współpracy ze Skarżącym, przetwarza służbowy adres e-mail Skarżącego jedynie w sposób zainicjowany przez osoby, które kierują wiadomości na dotąd używany adres e-mail przez Skarżącego jako (…) Spółki celem poinformowania ich o nowym adresie do kontaktu za pośrednictwem automatycznej odpowiedzi. Po ustaniu stosunku pracy Skarżącego nikt nie zapoznawała się z treścią wiadomości wysyłanych na adres (…).
Odnosząc się zaś do zarzutu dostępu do danych osobowych Skarżącego przez osoby nieuprawnione, tj. Pana L. Ś., (…) i Pana N. S., (…) wskazać należy, że zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. W toku niniejszego postępowania ustalono, że Pan L. Ś., (…) i Pan N. S., (…) są pracownikami Spółki i posiadają nadane zgodnie z art. 29 RODO upoważnienia do przetwarzania danych osobowych pracowników Spółki, uprawniające ich również do przetwarzania danych osobowych Skarżącego, jako byłego pracownika Spółki. Tym samym, kwestionowany przez Skarżącego proces przetwarzania jego danych osobowych przez Pana L. Ś., (…) i Pana N. S., (…), związany z realizacją przez nich polecenia służbowego - zablokowania dostępu Skarżącemu do sieci Spółki oraz adresu (…) w związku z wypowiedzeniem mu umowy o pracę, nie stanowiło naruszenia jego ochrony danych osobowych.
W tym stanie faktycznym i prawnym należy uznać, że Spółka legitymowała i legitymuje się prawnie uzasadnionym interesem uprawniającym ją do przetwarzania adresu e-mail (…) po ustaniu zatrudnienia Skarżącego. W toku przeprowadzonego postępowania dowodowego organ nie stwierdził, aby przetwarzanie naruszyło zasady przetwarzania danych określone w art. 5 ust. 1 RODO, bowiem Spółka ograniczyła cel przetwarzania, jak i ograniczyła zakres przetwarzanych danych Skarżącego.
Postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez Prezesa Urzędu w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W przedmiotowej sprawie organ nie ma podstaw do skierowania wobec Spółki któregokolwiek z nakazów określonych w art. 58 ust. 2 RODO. Organ władny jest bowiem wydać taką decyzję wyłącznie wtedy, gdy doszło do naruszenia przepisów o ochronie danych osobowych, co w niniejszej sprawie nie zachodzi.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy.