WSA: postępowanie wyjaśniające w sprawie sygnalisty jest prawnie uzasadnionym celem administartora

Już za moment może się okazać, że w krajowym porządku prawnym znajdzie się ustawa wdrażająca dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa.

Jednak do tego momentu organ nadzorczy w zakresie ochrony danych osobowych jak i sądy administracyjne stoją przed badaniem zagadnień związanych z tym tematem.

I w jednej z takich spraw Prezes UODO odmówił:

uwzględnienia wniosku w zakresie dotyczącym udostępnienia danych osobowych strony przez W. S.A. w zakresie jego imienia i nazwiska w powiązaniu z informacją o wniesieniu zgłoszenia naruszeń z […] czerwca 2020 r. do Przewodniczącego Rady Nadzorczej Spółki na rzecz ówczesnych członków zarządu, tj. Pana J. W., Pana W. G., Pana R. G. C., Pana P. R. M., Pani K. M. B. oraz Pana J. W. P. oraz umorzył postępowanie w pozostałym zakresie.

Sprawa miała swój początek w ustnym przekazaniu przez jednego z Członków Zarządu spółki informacji o nieprawidłowościach Przewodniczącemu Rady Nadzorczej.

Przewodniczący Rady Nadzorczej przekazał informacje o sygnalizowanych nieprawidłowościach wszystkim członkom zarządu spółki wskazując, od kogo takie sygnały pochodzą.

Takie działanie nie spodobało się osobie zgłaszającej możliwe nieprawidłowości.

Prezes UODO przeprowadził postępowanie i wskazał, że:

może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, ustawy z dnia […] maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781), ale także z szeregu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych osobowych przez określone podmioty bądź w określonych okolicznościach. Biorąc pod uwagę powyższe wskazał, że zakresem kompetencji Prezesa UODO jest objęta jedynie ocena prawidłowości przetwarzania (udostępnienia) danych osobowych skarżącego przez Spółkę, w przedmiotowej sprawie w ograniczeniu do jego imienia i nazwiska w powiązaniu z informacją o wniesieniu ustnego zgłoszenia z […] czerwca 2020 r., a nie ocena prawidłowości postępowania Spółki w procedurze rozpatrywania zgłoszenia i informowania o powodach zmian w strukturach zarządu Spółki.

przesłanki legalności przetwarzania danych osobowych zwykłych, określone zostały w art. 6 ust. 1 RODO. Przesłanki te mają charakter autonomiczny, wobec czego aby uznać proces przetwarzania danych osobowych przez administratora za zgodny z prawem, wystarczy spełnienie przez niego jednej z tych przesłanek, a niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO). Dodał też, że zgodnie z art. 5 ust. 1 lit. a i lit. b RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

W dalszym ciągu Prezes UODO wskazał, że:

Przechodząc do meritum sprawy organ wyjaśnił, że w jego ocenie omawiane zawiadomienie dokonane zostało przez skarżącego w ramach jego obowiązków służbowych jako członka zarządu spółki. Stąd członkowie zarządu Spółki, tj. Pan J. W., Pan W. G., Pan R. G. C., Pan P. R. M., Pani K. M. B. oraz Pan J. W. P byli w ocenie organu uprawnieni do przetwarzania, w tym pozyskania, danych osobowych skarżącego w zakresie imienia i nazwiska w powiązaniu z informacją o złożeniu zgłoszenia zgodnie z ar. 6 ust. 1 lit. f RODO w celu przeprowadzenia stosownego postępowania wyjaśniającego w oparciu o zgłoszenie skarżącego i udzielenie wyjaśnień Radzie Nadzorczej.

Odnosząc się do zarzutu skarżącego naruszenia art. 16 ust. 1 i art. 19 Dyrektywy organ zgodził się w tym zakresie z wyjaśnieniami spółki, że Dyrektywa nie została dotychczas implementowana przez Polskę, dlatego w okresie wniesienia przez skarżącego zgłoszenia nie istniały (i nadal nie istnieją) przepisy, do których Spółka miałaby się stosować, bowiem przepisy Dyrektywy nie mają bezpośredniego zastosowania do podmiotów prywatnych.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę zgłaszającego podejrzenie wystapienia nieprawidłowości.

Sąd wskazał, że:

doszło do przetwarzania danych osobowych poprzez ich udostępnienie, musi dojść do przekazania danych osobowych przez ich administratora – osobie trzeciej. Przy czym podkreślenia wymaga, że chodzi tu albo o osobę prawną, będącą odrębnym od administratora bytem prawnym, albo o osobę fizyczną, ale wyłącznie inną, niż osoba reprezentująca administratora danych osobowych (np. osobę inną niż członek zarządu spółki prawa handlowego);

Przenosząc powyższe na realia faktyczne niniejszej sprawy jako oczywista jawiła się konkluzja, iż przekazanie danych osobowych skarżącego przez Przewodniczącego rady nadzorczej spółki będącej administratorem danych, na rzecz członków zarządu tej samej spółki, nie stanowi nieuprawnionego przetwarzania danych skarżącego;

W efekcie powyższego nie sposób zakwestionować trafności wniosków końcowych organu, iż członkowie zarządu spółki byli upoważnieni do pozyskania danych osobowych skarżącego w zakresie imienia i nazwiska w powiązaniu z informacją o złożeniu zgłoszenia zgodnie z art. 6 ust. 1 lit. f RODO w celu przeprowadzenia stosownego postępowania wyjaśniającego w oparciu o zgłoszenie skarżącego i udzielenie wyjaśnień Radzie Nadzorczej.