PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 18 marca 2019 r.

Decyzja

ZSZZS.440.842.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000), art. 18 pkt 1 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) w zw. z art. 15 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pani J. C., reprezentowanej przez radcę prawnego Pana T. M. o udostępnienie jej danych osobowych znajdujących się w jej aktach osobowych przez Pana S. S., prowadzącego działalność gospodarczą pod firmą E., Prezes Urzędu Ochrony Danych Osobowych

  1. nakazuje Panu S. S., prowadzącemu działalność gospodarczą pod firmą E. spełnienie wobec Pani J. C., obowiązku określonego w art. 15 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016 ze zm.) poprzez przekazanie Skarżącej kopii jej danych osobowych znajdujących się w jej aktach osobowych.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynął wniosek Pani J. C. (dalej jako Skarżąca), reprezentowanej przez radcę prawnego Pana T. M., o udostępnienie jej danych osobowych znajdujących się w jej aktach osobowych przez S. S. prowadzącego działalność gospodarczą pod firmą E. (dalej jako Pracodawca).

Skarżąca w treści wniosku wskazała cyt.: „(…) gdy pracodawca odmawia udostępnienia danych osobowych zawartych w teczce osobowej pracownika, uzasadnione jest żądanie pracownika do udostępnienia przez pracodawcę danych osobowych celem weryfikacji ich treści i prawidłowości ich przetwarzania na podstawie art. 32 ust. 1 pkt 3 ustawy z 1997 r.”. Skarżąca podniosła również cyt.  „nie ulega wątpliwości, że pracodawca nie udostępnił danych znajdujących się w aktach osobowych, czym uniemożliwił weryfikację prawidłowości ich przetwarzania”.

W toku przeprowadzonego w niniejszej sprawie postępowania Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezesem UODO) ustalił, co następuje:

  1. Skarżąca była zatrudniona u Pracodawcy [...] od dnia […] lutego 2012 r. do dnia […] lipca 2012 r.
  2. Skarżąca w dniu […] sierpnia 2014 r. złożyła wniosek o udostępnienie jej do wglądu danych osobowych znajdujących się w jej aktach osobowych.
  3. Pracodawca w odpowiedzi na wniosek o udostępnienie danych osobowych Skarżącej, pismem z dnia […] września 2014 r. przesłał jej wykaz dokumentów, które znajdowały się w jej aktach osobowych oraz odmówił wglądu do jej akt osobowych.
  4. Skarżąca pismem z dnia […] października 2014 r. ponownie wniosła o udostępnienie jej danych osobowych znajdujących się w jej aktach osobowych u Pracodawcy.
  5. Pracodawca powtórnie pismem z dnia […] listopada 2014 r. przesłał Skarżącej wykaz jej dokumentów, znajdujących się w jej aktach osobowych.
  6. Skarżąca w skardze do Prezesa UODO podniosła zarzut naruszenia przez Pracodawcę przepisów ochrony danych osobowych poprzez nie wypełnienie obowiązku wynikającego z art. 32 ust.1 pkt 3 ustawy z 1997 r.

W tym stanie faktycznym Prezes UODO zważył, co następuje.

Na wstępie należy wskazać, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), (zwanej dalej ustawą z 2018 r.) t. j. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz 2018 r. poz. 138), (zwanej dalej ustawą z 1997 r.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), zwanej dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.

Biorąc pod uwagę, że żądanie udostępnienia danych osobowych przez Skarżącą skierowane do Pracodawcy, jak i wniosek złożony do Generalnego Inspektora Ochrony Danych Osobowych, w związku z odmową spełnienia wniosku o udostępnienie jej danych osobowych przez Pracodawcę nastąpiło w okresie obowiązywania ustawy z 1997 r., to zgodnie z brzmieniem art. 160 ust. 2 ustawy z 2018 r. do niniejszego postępowania będą miały zastosowanie przepisy ustawy z 1997 r. Ponadto w związku z faktem, że na dzień wydania decyzji Pracodawca nadal nie spełnił żądania Skarżącej, kwestię udostępnienia danych osobowych Skarżącej należy ocenić pod kątem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/697 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 str. 1 ze zm.), zwanego dalej RODO.

Zgodnie z przepisami art. 94 ust. 9a  ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz. U. z 2018 r. poz. 917) pracodawca jest obowiązany prowadzić i przechowywać w postaci papierowej lub elektronicznej dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników. Zgodnie z tym Pan S. S. prowadzący działalność gospodarczą  pod firmą E. jest administratorem danych osobowych Skarżącej znajdujących się w jej aktach osobowych.

Wskazać należy, że w myśl art. 24 ust. 1 pkt 3 ustawy z 1997 r. w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych był obowiązany poinformować tę osobę o prawie dostępu do treści swoich danych oraz ich poprawiania. Podkreślenia wymaga, że określeniem „prawo dostępu do treści swoich danych” zastąpiono wcześniejsze „prawo wglądu do swoich danych” na mocy art. 1 pkt 12 ustawy z dnia […] stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) z powodu konieczności ujednolicenia terminologii występującej w ustawie ze stosowaną w Konstytucji Rzeczypospolitej Polskiej i Dyrektywie  95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Jak wskazuje się w doktrynie: „Powyższa zmiana przesądza o tym, iż osoba, której dane dotyczą, nie ma prawa fizycznego wglądu do nośników danych (tradycyjnych lub informatycznych), lecz tylko dostęp do treści informacji, który może być realizowany na różne sposoby, przykładowo za pomocą monitora ekranowego” (A. Drozd, „Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy”,Warszawa 2008, Wydawnictwo Prawnicze Lexis Nexis, wydanie IV, ss. 504), jak również, że: „Nowe brzmienie przepisu, zgodnie z intencją prawodawcy, ma podkreślić, iż osobie, której dane dotyczą, nie przysługuje prawo wglądu do nośników zawierających dane, a jedynie uprawnienie uzyskania dostępu do treści danych na swój temat. Nie oznacza to jednak, że realizacja tego prawa nie może odbywać się poprzez udostępnienie nośnika zawierającego dane, oznacza jedynie, że administrator nie ma obowiązku udostępniania nośników do wglądu (dokumentów, systemów informatycznych), może ograniczyć się do udostępnienia samej treści danych” (J. Barta, P. Fajgielski, R. Markiewicz, „Ochrona danych osobowych. Komentarz”, Wolters Kluwer Polska Sp. z o.o., 4. wydanie, Kraków 2007, s. 483).

W związku z powyższym wskazać należy, że zgodnie z art. 32 ust. 1 pkt 3 ustawy z 1997 r. każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo m. in. do podania w powszechnie zrozumiałej formie treści tych danych. Uprawnieniom osób, których dane były przetwarzane w zbiorach, ustanowionym w art. 32 ustawy z 1997 r., odpowiadał obowiązek administratorów danych określony w art. 33 ust. 1 ustawy z 1997 r. Stanowił on, że na wniosek osoby, której dane dotyczą, administrator danych  był obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a ustawy z 1997 r. W myśl ust. 2 tego przepisu na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

Obowiązek informacyjny przewidziany w art. 33 ustawy z 1997 r. miał na celu zapewnienie osobom, których dane osobowe były przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 30 lipca 2009 r. (sygn. akt I OSK 1049/08): „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku jest naruszeniem przepisów tej ustawy [o ochronie danych osobowych] w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenia stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust. 1 i 2 tej ustawy – w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule”.

Z materiału dowodowego sprawy wynika, że Pracodawca dwukrotnie odmówił Skarżącej udostępnienia wnioskowanych przez nią informacji. Odnosząc się do stanowiska Pracodawcy, powołującego się na realizację obowiązku informacyjnego poprzez przesłanie Skarżącej wykazu dokumentów znajdujących się w aktach osobowych pracownika, podkreślenia wymaga, że Pracodawca nie przekazał Skarżącej wykazu danych osobowych zawartych w jej aktach osobowych, a jedynie wykaz dokumentów zawierających dane osobowe Skarżącej, co oznacza nie zrealizowanie obowiązku wynikającego z art. 32 ust. 1 pkt 3 ustawy z 1997 r. Ponadto w sprawie nie zachodzi żadna z okoliczności enumeratywnie wymienionych w art. 34 ww. ustawy z 1997 r., stanowiących dla administratora danych podstawy do odmowy udzielenia osobie, której dane dotyczą, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a ustawy z 1997 r., ze względu na potrzebę ochrony innych ważnych interesów. Nie można bowiem uznać, że udzielenie Skarżącej przez Pracodawcę wnioskowanych przez nią informacji, spowodowałoby ujawnienie wiadomości zawierających informacje niejawne (pkt 1), zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego (pkt 2), zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa (pkt 3), istotne naruszenie dóbr osobistych osób, których dane dotyczą (w tej sprawie Skarżącej), lub innych osób (pkt 4).

Reasumując, w ocenie Prezesa Urzędu Ochrony Danych Osobowych Pracodawca bezpodstawnie odmówił Skarżącej udostępnienia wnioskowanych danych osobowych uniemożliwiając jej tym samym skorzystanie z przysługujących jej uprawnień. Jak ustalono w toku postępowania Skarżąca była uprawniona do pozyskania danych osobowych znajdujących się w jej aktach osobowych u byłego Pracodawcy na podstawie art. 32 ust. 1 pkt 3 ustawy z 1997 r. Podkreślić także należy, że uprawnienie Skarżącej do posiadania ww. danych osobowych pozostaje aktualne na gruncie RODO. Zgodnie bowiem z art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

Należy wskazać, że udostępnienie kopii danych zawartych w dokumentacji pracowniczej, zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia danych w formie właściwej dla udostępnienia dokumentacji pracowniczej. Pracodawca będący administratorem, nie ma również obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku.

Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. W przypadku udostępniania kopii danych osobowych przetwarzanych w dokumentacji pracowniczej podstawowe znaczenie ma treść danych. RODO nie posługuje się pojęciem udostępniania kopii dokumentów zawierających dane osobowe, jest w nim natomiast używane pojęcie kopii danych.

Stosownie do art. 18 ust. 1 pkt 1 ustawy z 1997 r. w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcia uchybień.

Wobec powyższego stosowne jest skorzystanie przez Prezesa UODO z uprawnienia określonego w art. 18 ust. 1 pkt. 1 ustawy z 1997 r. i nakazanie Pracodawcy usunięcia uchybień w procesie przetwarzania danych osobowych Skarżącej poprzez wypełnienie wobec niej obowiązku wynikającego z art. 15 ust. 3 RODO.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Zespół ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-03-18
Wprowadził informację:
user Mateusz Wnuk
date 2019-03-29 15:08:06
Ostatnio modyfikował:
user Iwona Jeleń
date 2019-04-25 14:44:04