GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 3/1 października 2008 r. DOLiS/DECdot. DOLiS-440-46/08 DECYZJA Na podstawie art. 138 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2 w związku z art. 18 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 oraz art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) po rozpoznaniu wniosku Banku Zachodniego WBK SA z siedzibą we Wrocławiu przy ul. Rynek 9/11 o ponowne rozpatrzenie sprawy rozstrzygniętej decyzją administracyjną z dnia 30 czerwca 2008 r. (znak: DOLiS/DEC- 397/08/16454,16455), mocą której Generalny Inspektor Ochrony Danych Osobowych nakazał Bankowi Zachodniemu WBK S.A. zaprzestanie praktyki polegającej na pozyskiwaniu od NSZZ Solidarność przy Banku Zachodnim WBK S.A. informacji o osobach korzystających z obrony ww. związku zawodowego w formie imiennej listy pracowników, utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie Do Biura GIODO wpłynęło pismo Przewodniczącego oraz Zastępcy Przewodniczącego Komisji Zakładowej NSZZ Solidarność przy Banku Zachodnim WBK S.A. z siedzibą we Wrocławiu przy ul. Rynek 9/11, w którym ww. wnieśli do Generalnego Inspektora Ochrony Danych Osobowych o wydanie decyzji w sprawie przetwarzania danych osobowych członków związku przez Bank Zachodni WBK S.A. Z materiału dowodowego przedmiotowej sprawy wynika, że pismem z dnia 28 sierpnia 2007 r. Zastępca Dyrektora Departamentu Kadr Banku Zachodniego WBK S.A., powołując się na art. 30 ust. 2 1 ustawy z dnia 23 maja 1991 r. o związkach zawodowych
(Dz. U. z 2001 r. Nr 79, poz. 854 ze zm.), wystąpił m.in. do Przewodniczącego Komisji Zakładowej NSZZ Solidarność przy Banku Zachodnim WBK S.A. o udzielenie informacji w formie wykazu o osobach korzystających z ochrony związku zawodowego. W ocenie Komisji Zakładowej NSZZ Solidarność przy Banku Zachodnim WBK S.A. Departament Kadr Banku, żądając od związku zawodowego imiennej listy osób objętych ochroną związkową, wykracza poza zakres upoważnienia zawartego w przepisach prawa, w tym w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą, oraz w art. 22 1 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 1998 r. Nr 21, poz. 94 ze zm.). Po przeprowadzeniu postępowania administracyjnego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych wydał w dniu 30 czerwca 2008 r. decyzję administracyjną (znak: DOLiS/DEC-397/08/16454,16455), mocą której nakazał mocą której nakazał Bankowi Zachodniemu WBK S.A. zaprzestanie praktyki polegającej na pozyskiwaniu od NSZZ Solidarność przy Banku Zachodnim WBK S.A. informacji o osobach korzystających z obrony ww. związku zawodowego w formie imiennej listy pracowników. W dniu 21 lipca 2008 r. (w ustawowym terminie) do Biura GIODO wpłynął wniosek Banku Zachodniego WBK S.A. o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją i jej uchylenie, ewentualnie zmianę poprzez odmowę uwzględnienia wniosku NSZZ Solidarność przy Banku Zachodnim WBK S.A. Zaskarżonej decyzji zarzucono naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj, 1) art. 30 ust. 2 1 ustawy o związkach zawodowych w związku z art. 23 2 Kodeksu pracy poprzez ich błędną wykładnię i przyjęcie, że nie stanowią one podstawy do zwrócenia się do zakładowej organizacji związkowej o przekazanie imiennej listy jej członków, 2) art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych poprzez błędną jego wykładnię i przyjęcie, że zwrócenie się do zakładowej organizacji związkowej o przekazanie imiennej listy jej członków jest nieadekwatne do celu, w jakim te dane osobowe są przetwarzane, 3) art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych poprzez jego niezastosowanie jako podstawy prawnej przetwarzania przez Bank danych osobowych pracowników o przynależności związkowej. Ponadto zarzucono naruszenie prawa procesowego, które miało wpływ na wynik sprawy, polegające na wydaniu niewykonalnej decyzji, bowiem Generalny Inspektor nakazał Bankowi zaprzestanie praktyki polegającej na pozyskiwaniu od zakładowej organizacji związkowej informacji o osobach korzystających z obrony związku zawodowego w formie imiennej listy jej członków, podczas gdy Bank nie zwracał się w sposób regularny do zakładowych organizacji związkowych o ww. informacje, lecz jednorazowo pismem z dnia 28 sierpnia 2007 r. wystąpił do zakładowej organizacji związkowej o przekazanie imiennej listy, zatem Bank nie może zaprzestać praktyki, której nigdy nie stosował. 2
Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje: Rozstrzygnięcie zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia 30 czerwca 2008 r. (znak: DOLiS/DEC-397/08/16454,16455) jest prawidłowe. Argumenty Banku wskazane we wniosku o ponowne rozpatrzenie sprawy nie uzasadniają konieczności zmiany tej decyzji. Przedmiotem postępowania administracyjnego prowadzonego w niniejszej sprawie przez Generalnego Inspektora są dane osobowe w zakresie przynależności związkowej. Ponownie należy podkreślić, że dane ujawniające przynależność związkową należą do kategorii danych tzw. szczególnie chronionych, wymienionych w art. 27 ust. 1 ustawy o ochronie danych osobowych, który zabrania przetwarzania danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przepis ten ustanawia zatem zakaz przetwarzania (w tym zbierania) danych ujawniających przynależność związkową. Zakaz ten nie ma jednak charakteru bezwzględnego, gdyż przetwarzanie takich danych jest dopuszczalne po spełnieniu przez administratora danych którejkolwiek z przesłanek enumeratywnie wymienionych w art. 27 ust. 2 ustawy. Jedna z nich została określona w art. 27 ust. 2 pkt 2 ustawy, stanowiącym, że przetwarzanie tych danych jest jednak dopuszczalne, jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. Mając na uwadze podniesiony we wniosku o ponowne rozpatrzenie niniejszej sprawy zarzut niezastosowania art. 27 ust. 2 pkt 6 ustawy jako podstawy prawnej przetwarzania przez Bank danych osobowych pracowników o przynależności związkowej, wskazać należy, że w myśl tego przepisu przetwarzanie danych tzw. szczególnie chronionych jest dopuszczalne, gdy jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. W ocenie Generalnego Inspektora w niniejszej sprawie nie mamy do czynienia z tą sytuacją, bowiem na podstawie art. 27 ust. 2 pkt 6 ustawy administrator danych zatrudniający inne osoby może przetwarzać takie dane szczególnie chronione, które są mu niezbędne do wykonywania swych praw i obowiązków wynikających z faktu zatrudniania innych osób, a mających swoje źródło głównie w przepisach prawa pracy. W doktrynie wskazuje się, że możliwość przetwarzania danych dotyczących przynależności związkowej pracowników i innych zatrudnionych wynika przede wszystkim z art. 30 ust. 2 ustawy o związkach zawodowych (J. Barta, P. Fajgielski, R. Markiewicz Ochrona danych osobowych. Komentarz", Wolters Kluwer Polska Sp. z o.o., Warszawa 2007, 4. wydanie, s. 531). W myśl tego przepisu pracownik niezrzeszony w związku zawodowym ma prawo do obrony swoich praw na zasadach dotyczących pracowników będących członkami związku, jeżeli wybrana przez niego zakładowa organizacja związkowa wyrazi zgodę na obronę jego praw pracowniczych. 3
Ponownie należy wskazać, że w myśl art. 30 ust. 2 ustawy o związkach zawodowych w indywidualnych sprawach ze stosunku pracy, w których przepisy prawa pracy zobowiązują pracodawcę do współdziałania z zakładową organizacją związkową, pracodawca jest obowiązany zwrócić się do tej organizacji o informację o pracownikach korzystających z jej obrony, zgodnie z przepisami ust. 1 i 2. Nieudzielenie tej informacji w ciągu 5 dni zwalnia pracodawcę od obowiązku współdziałania z zakładową organizacją związkową w sprawach dotyczących tych pracowników. Powołany przepis stanowi rozwinięcie zasady wyrażonej w art. 23 2 Kodeksu pracy, w myśl którego, jeżeli przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy, pracodawca ma obowiązek współdziałać w takich sprawach z zakładową organizacją związkową reprezentującą pracownika z tytułu jego członkostwa w związku zawodowym albo wyrażenia zgody na obronę praw pracownika nie zrzeszonego w związku - zgodnie z ustawą o związkach zawodowych. Zasadnicze znaczenie ma zatem wskazanie, jakich sytuacji przewidzianych w przepisach prawa pracy dotyczy art. 30 ust. 2 1 ustawy o związkach zawodowych. W przepisie tym jest mowa o indywidualnych sprawach ze stosunku pracy, odnosi się on zatem do ochrony stosunku pracy indywidualnego pracownika, którą zapewniają w szczególności przepisy art. 38 1 Kodeksu pracy (wypowiedzenie umowy o pracę na czas nie określony), art. 52 3 tej ustawy (rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika) i art. 177 1 Kodeksu pracy (rozwiązanie umowy o pracę w okresie ciąży lub urlopu macierzyńskiego bez wypowiedzenia z winy pracownicy). Oznacza to w konsekwencji, że pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem. Dlatego brak jest podstaw do pozyskiwania przez Bank od związku zawodowego danych osobowych we wskazanym zakresie w odniesieniu do wszystkich pracowników korzystających z ochrony danego związku zawodowego, w sytuacji gdy nie są oni objęci zamiarem pracodawcy rozwiązania z nimi umów o pracę. Podkreślenia wymaga, że w niniejszej sprawie żądanie Banku dotyczyło właśnie udostępnienia wykazu pracowników korzystających z ochrony związku zawodowego, a w ten sposób ich danych osobowych w zakresie przynależności związkowej, mimo braku istnienia po stronie pracodawcy zamiaru rozwiązania z nimi umów o pracę. W zaskarżonej decyzji słusznie wskazano, że z punktu widzenia zasad przetwarzania danych określonych w ustawie o ochronie danych osobowych legitymowanie się przez administratora danych podstawą do gromadzenia danych osobowych nie upoważnia go do ich zbierania w zakresie szerszym niż jest to niezbędne do realizacji celu, dla którego dane są zbierane. W myśl art. 26 ust. 1 pkt 3 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana 4
jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane. Wyrażona w tym przepisie zasada adekwatności oznacza, że swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania (...) sprzeciwia się też zbieraniu wszelkich danych dla tego celu nieistotnych, niemających znaczenia, jak i danych o «większym - niż uzasadniony z tego względu - stopniu szczegółowości)) (...). Relewantność danych powinna być oceniana najpóźniej w momencie ich zbierania". (J. Barta, jw., s. 507-508). W świetle powyższego Generalny Inspektor w pełni podtrzymuje wyrażone w zaskarżonej 1 1 1 2 decyzji stanowisko, że przepisy art. 30 ust. 2 ustawy o związkach zawodowych oraz art. 23 Kodeksu pracy nie upoważniają Banku do pozyskiwania od związku zawodowego, za pomocą imiennej listy pracowników, danych osobowych wszystkich pracowników korzystających z ochrony tego związku. Jeżeli bowiem nie wszystkim tym osobom Bank zamierza wypowiadać czy rozwiązywać bez wypowiedzenia umowy o pracę - bo przecież ewentualna realizacja trybu określonego w szczególności w art. 38, art. 52 3 i art. 177 1 Kodeksu pracy może wprawdzie nastąpić, ale nie musi - to żądając wykazu pracowników korzystających z ochrony związku zawodowego, pracodawca pozyskuje dane osobowe w zakresie przynależności związkowej wszystkich takich pracowników, w tym również także tych, wobec których nie zamierza podejmować wskazanych powyżej działań. W ocenie Generalnego Inspektora pozyskiwanie w ten sposób przedmiotowych danych narusza omówioną powyżej zasadę adekwatności, stanowiącą jedną z podstawowych zasad przetwarzania danych osobowych. Zdaniem Generalnego Inspektora Bank pozyskuje w ten sposób dane osobowe pracowników objętych ochroną związkową również na zapas (na wypadek ewentualnego wypowiedzenia czy rozwiązania bez wypowiedzenia umowy 0 pracę), co w świetle przepisów ustawy o ochronie danych osobowych jest niedopuszczalne. Ponownie należy podkreślić, że Generalny Inspektor nie kwestionuje samego prawa Banku do pozyskiwania informacji o pracownikach korzystających z ochrony związkowej, lecz jedynie sposób realizacji tego prawa. Zdaniem Generalnego Inspektora Bank powinien mieć na uwadze wymagania określone przepisami ustawy o ochronie danych osobowych, w tym określoną w art. 26 ust. 1 pkt 2 ustawy zasadę celowości. Oznacza ona, że administrator danych przetwarzający dane obowiązany jest zapewnić, aby dane te były zbierane dla oznaczonych zgodnych z prawem celów 1 nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Stwierdzić należy, że poza cel gromadzenia danych w zakresie przynależności związkowej - który istnieje w określonych w ww. przepisach Kodeksu pracy przypadkach, gdy pracodawca zamierza rozwiązać umowę o pracę z pracownikiem - wykracza pozyskiwanie danych osobowych wszystkich pracowników korzystających z ochrony związkowej za pomocą ich imiennej listy. Z uwagi na powyższe 5
realizacja uprawnienia pracodawcy wynikającego z art. 30 ust. 2 ustawy o związkach zawodowych powinna być dokonywana poprzez osobne wystąpienie odnoszące się do poszczególnego pracownika, skoro chodzi o indywidualną ochronę stosunku pracy. Z powyższych względów w przedmiotowej sprawie niezbędne było nakazanie Bankowi Zachodniemu WBK S.A. zaprzestania pozyskiwania od NSZZ Solidarność przy Banku Zachodnim WBK S.A. informacji o wszystkich osobach korzystających z ochrony ww. związku zawodowego w formie imiennej listy pracowników. Odnosząc się do podniesionego we wniosku o ponowne rozpatrzenie niniejszej sprawy zarzutu niewłaściwego sformułowania nakazu zaprzestania praktyki", podczas gdy Bank nie zwracał się w sposób regularny do zakładowych organizacji związkowych o ww. informacje, zatem nie może zaprzestać praktyki, której nigdy nie stosował, zaznaczyć należy, że kwestia sformułowania ww. nakazu ma znaczenie drugorzędne. Istotny jest natomiast cel, jakiemu ten nakaz ma służyć, a mianowicie niepodejmowaniu przez Bank podobnych wystąpień do związków zawodowych w przyszłości. Po dokonaniu ponownej analizy materiału dowodowego zebranego w sprawie oraz w tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych podtrzymuje swoje stanowisko wyrażone w decyzji administracyjnej z dnia 30 czerwca 2008 r. (znak: DOLiS/DEC-397/08/16454,16455). Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 i art. 22 ustawy o ochronie danych osobowych w związku z art. 13 2, art. 53 1 i 54 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia niniejszej decyzji za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). 6