Upublicznienie protokołu Państwowej Inspekcji Pracy z kontroli firmy

Niejednolita interpretacja przepisów Prawa ochrony danych osobowych

Prawo ochrony danych osobowych to trudna dziedzina prawa, ponieważ zarówno stare przepisy, jak i przepisy obowiązujące od 25 maja 2018 r., są sformułowane w nazbyt ogólny sposób, w wielu przypadkach nie operują szczegółami i w konsekwencji powstaje bardzo, bardzo wiele wątpliwości na styku „rzeczywistości” oraz „przepisu”. W konsekwencji nie należą do rzadkości sytuacje, gdy dwie osoby mają przeciwstawne zdanie odnośnie interpretacji danej regulacji w odniesieniu do przedstawionego stanu faktycznego. Stąd też przy wykładni przepisów z zakresu ochrony danych osobowych trzeba w dużym stopniu uwzględniać decyzje dawnego Generalnego Inspektora Ochrony Danych Osobowych, a od 25 maja Prezesa Urzędu Ochrony Danych Osobowych, orzeczenia wojewódzkich sądów administracyjnych oraz Naczelnego Sądu Administracyjnego, dorobek literatury prawniczej. Prawda jest jednak taka, że dopóki bardzo zbliżony lub identyczny stan faktyczny nie będzie przedmiotem rozstrzygnięcia organu lub sądu, wszelkie interpretacje są obarczone ryzykiem błędu, ponieważ organ lub sąd może uznać zupełnie inaczej.

Należy pamiętać, że dane osobowe to nie tylko imię i nazwisko, adres zamieszkania. Tego typu uproszczenia są na porządku dziennym, jednak pozostają w sprzeczności z definicją „danych osobowych”, która jest zawarta w art. 4 pkt 1 RODO: „»Dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

W związku z powyższym katalog danych osobowych jest otwarty i obejmuje właściwie każdą informację o osobie fizycznej, którą pośrednio lub bezpośrednio da się przypisać tej osobie. Trzeba jednak pamiętać o tym, że informacja rzeczywiście musi pomóc zidentyfikować określoną osobę — bez poświęcania nadmiernych środków, czasu i kosztów. Wynika to bezpośrednio z motywu 26 preambuły do RODO: „Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”.

Co ważne, nie są danymi osobowymi:

1) dane osób prawnych;

2) dane osób zmarłych;

3) dane płodów.

Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą na podstawie CEIDG

Odnośnie osób prawnych: „skoro informacja może mieć charakter danych osobowych wtedy, gdy dotyczy osoby fizycznej, informacje o osobach prawnych nie mogą zostać uznane za dane osobowe. (…) Problem ten w znacznej części rozwiązuje RODO, wskazując w motywie 14 preambuły, że rozporządzenie nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. (…) Bez wątpienia zakresem wyłączenia objęte powinny być wszystkie dane osobowe gromadzone w Krajowym Rejestrze Sądowym, a służące do oznaczenia takiego podmiotu. Tym samym przetwarzanie informacji o osobach fizycznych sprawujących funkcję organów osób prawnych nie może być uznane za działanie bezprawne, dopóki, dopóty przetwarzanie takie odbywa się wyłącznie w celu i w zakresie niezbędnym do prawidłowej identyfikacji tych osób jako pełniących funkcję organów osób prawnych” (Komentarz do art. 4 RODO, w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, s. 177).

W tym kontekście trzeba stwierdzić, że dane osób fizycznych, które prowadzą działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, również podlegają ochronie wynikającej z RODO. „RODO znajduje w całości zastosowanie do przetwarzania danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą” (P. Litwiński, R. Barta, M. Kawecki, Komentarz do art. 4 RODO, w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, s. 180).

Jeżeli mamy do czynienia z przetwarzaniem danych osobowych, rozumianych jak powyżej, to co do zasady trzeba stosować. Co do zasady, ponieważ rozporządzenie wprowadza pewne wyjątki, zawarte w art. 2 ust. 2 RODO:

„Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii [np. obronność, bezpieczeństwo narodowe, integralność państwa — przyp. M.W.];

b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE [wspólna polityka zagraniczna i bezpieczeństwa — przyp. M.W.];

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.

Jak widać, wyjątków, które zwalniają od obowiązku stosowania RODO, jest bardzo, bardzo niewiele — w życiu codziennym najszersze zastosowanie będzie miał zapewne wyjątek przewidziany w lit. c, tj. przetwarzanie danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Jak wskazuje D. Lubasz, „O naturze i kwalifikacji danych stanów faktycznych jako objętych zakresem pojęć osobistego lub domowego charakteru przetwarzania decyduje perspektywa przetwarzającego, a wśród przykładów należy wymienić: prywatne spisy telefonów, znajomych, urodzin, w tym w połączeniu np. z zainteresowaniami, sposobem spędzania wolnego czasu, informacje na temat miejsc noclegowych gromadzone przez korzystającego itp. (…) Czynności o charakterze osobistym czy domowym (ang. personal or household activity, niem. persönliche oder familiäre Tätigkeiten) dotyczą zatem generalnie aspektów aktywności związanych z prowadzeniem gospodarstwa domowego, spędzaniem urlopu, w tym pamiątek z niego, np. zdjęć czy filmów, konsumpcji czy uprawiania sportu. Również domowy monitoring będzie mógł być objęty komentowanym wyłączeniem, jednakże jedynie wówczas, jeśli zostaną spełnione kryteria sformułowane przez Trybunał Sprawiedliwości w powołanym już wyroku w sprawie C-212/13 František Ryneš v. Úřad pro ochranu osobních údajů, które również na gruncie rozporządzenia 2016/679 zachowują aktualność” (D. Lubasz, Komentarz do art. 2 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, WKP 2018).

W tym kontekście jednak należy przytoczyć ważny wyrok Trybunału Sprawiedliwości z dnia 6 listopada 2003 r., sygn. C-101/01, Bodil Lindqvist, gdy Trybunał orzekł, że udostępnianie danych osobowych w Internecie przekracza zakres osobistego i prywatnego przetwarzania danych osobowych: „Co się tyczy wyłączenia przewidzianego w art. 3 ust. 2 tiret drugie dyrektywy 95/46, motyw 12 tej dyrektywy, który odnosi się do tego wyłączenia, wskazuje korespondencję i przechowywanie spisów adresów jako przykłady przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze. Z powyższego wynika, że to drugie wyłączenie powinno być interpretowane jako obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub rodzinnego jednostki, co w sposób oczywisty nie ma miejsca w przypadku przetwarzania danych osobowych polegającego na ich opublikowaniu w Internecie w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób. Na pytanie trzecie należy zatem odpowiedzieć, że przetwarzanie danych osobowych takie jak określone w odpowiedzi na pierwsze pytanie nie jest objęte żadnym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46” (wyrok Trybunału Sprawiedliwości z dnia 6 listopada 2003 r., sygn. C-101/01, Bodil Lindqvist).

Ale już np. P Litwiński, J. Barta i M. Kawecki uważają, że publikowanie cudzych danych na portalu społecznościowym mieści się w zakresie działalności osobistej i nie wymaga stosowania RODO: „Istotny problem, związany z zakresem zastosowania przepisów o ochronie danych osobowych, wiąże się z działalnością portali społecznościowych, które umożliwiają użytkownikom zamieszczenie na stronach internetowych i upublicznienie ich własnych treści (…), m.in. danych osobowych. W takim wypadku osoba, która zamieszcza dane, dokonuje tych działać (zakładając, że nie mają one celu zarobkowego) w celach osobistych, nie jest więc objęta przepisami ustawy” (Komentarz do art. 2 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018).

Inaczej sądzi D. Lubasz, który bazując na dotychczasowym dorobku orzeczniczym oraz Grupy Roboczej Art. 29 opowiada się za względnym charakterem wyłączenia:

„W motywie 18 rozporządzenia jako objętą wyłączeniem wskazuje się również działalność internetową, w tym wykorzystanie sieci społecznościowych. Przykład ten należy jednak interpretować nie jako przykład wyłączenia absolutnego, następującego w każdej sytuacji i w przypadku dowolnej aktywności niekomercyjnej użytkownika w Internecie, ale z zawężeniem do tych stanów faktycznych, w których przetwarzanie danych, w szczególności ich udostępnianie poprzez Internet, nie następuje na rzecz nieograniczonego kręgu odbiorców. Powołany dorobek orzeczniczy Trybunału Sprawiedliwości dotyczący interpretacji analogicznego wyłączenia z art. 3 ust. 2 tiret drugie dyrektywy 95/46/WE, w szczególności w sprawie C-101/01 Lindqvist oraz C-73/07 Satamedia, zachowuje aktualność również na gruncie rozporządzenia ogólnego. Analogiczną interpretację zaprezentowała Grupa Robocza Art. 29 przy okazji stanowiska dotyczącego stanu prac nad unijną reformą ochrony danych osobowych, przedstawiając aneks odnoszący się do przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze. W dokumencie tym sformułowane zostały kryteria, jakie powinno się brać pod uwagę przy ustalaniu, czy dane przetwarzanie mieści się w zakresie omawianego wyłączenia, wśród których rozstrzygające było kryterium kręgu osób, którym dane są udostępnianie. Jeśli bowiem z wykorzystaniem narzędzi on-line dane stają się dostępne nieograniczonemu kręgowi odbiorców, z opisywanego wyłączenia, zdaniem Grupy, nie będzie można skorzystać. W doktrynie niemieckiej prezentowane jest jeszcze dalej idące zapatrywanie, zgodnie z którym udostępnienie danych nawet w grupie, w przypadku możliwości ich dalszego udostępniania przez członków tej grupy w ramach sieci społecznościowej również wykraczać będzie poza zakres wyłączenia” (D. Lubasz, Komentarz do art. 2…).

Upublicznianie danych osobowych w Internecie przez osoby prywatne

Powyższe zestawienie poglądów jasno pokazuje, że kwestia upubliczniania danych osobowych w Internecie przez osoby prywatne jest sporna i budzi znaczne wątpliwości w zakresie tego, kiedy należy stosować RODO. W związku z powyższym, aby odpowiedzieć należycie na Pani pytanie, byłyby potrzebne dodatkowe informacje o okolicznościach upublicznienia protokołu PIP w Internecie (jaki to był portal, do jak szerokiego grona odbiorców dotarł, kim byli odbiorcy etc.).

Jeżeli uznamy, że osoba, która udostępniła protokół, nie podlega RODO, ponieważ korzysta z wyjątku wskazanego w art. 2 ust. 2 lit. c RODO, to trudno jej zarzucić naruszenie przepisów, których nie musi stosować (w takiej sytuacji właściciel firmy musiałby szukać ochrony prawnej na gruncie przepisów o dobrach osobistych).

Jeżeli natomiast uznamy, że osoba, która udostępniła protokół, podlega RODO, ponieważ nie korzysta z wyjątku wskazanego w art. 2 ust. 2 lit. c RODO, nie oznacza to jeszcze automatycznie, że doszło do niezgodnego z prawem przetwarzania danych osobowych właściciela firmy. Gwoli wyjaśnień, potrzebne są jeszcze pewne ustalenia dotyczące podstaw przetwarzania danych osobowych. W odniesieniu do danych osobowych zwykłych zostały one wymienione w art. 6 RODO:

„Art. 6. 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

Aby przetwarzanie danych osobowych było legalne, zawsze należy oprzeć je na co najmniej jednej z wymienionych podstaw – bez tego dane osobowe są przetwarzane z naruszeniem przepisów. Jeżeli administrator danych osobowych znajdzie podstawę przetwarzania w art. 6 ust. 1 RODO, to wtedy dokonuje czynności zgodnie z prawem.

W analizowanej sytuacji osoba, która upubliczniła protokół z PIP w portalu, mogłaby upatrywać przesłanki legalizacyjnej w art. 6 ust. 1 lit. f RODO, czyli w swoim prawnie uzasadnionym interesie (zainteresowany nie wyraził zgody, więc odpada art. 6 ust. 1 lit. a RODO; zamieszczenie protokołu w Internecie nie służyło zawarciu umowy, więc odpada art. 6 ust. 1 lit. b RODO — i tak dalej, aż do f). Lektura przepisu art. 6 ust. 1 lit. f RODO pokazuje jednak, że ustalenie tego, czy rozpowszechnianie danych osobowych na portalu jest legalne, wymaga wyważenia praw i wolności osoby upubliczniającej oraz właściciela firmy. Jeżeli prawa i wolności osoby upubliczniającej będą ważniejsze niż prawa i wolności właściciela firmy — zamieszczenie protokołu w portalu jest legalne. Jeżeli natomiast z okoliczności wynika, że prawa i wolności właściciela firmy są ważniejsze niż prawa i wolności osoby upubliczniającej — zamieszczenie protokołu w portalu jest nielegalne.

W związku z powyższym wszystko zależy od kontekstu i konkretnej sytuacji: jeżeli mielibyśmy do czynienia np. z wypadkiem, gdy pracodawca świadomie naraża pracowników na śmierć lub inwalidztwo, bo z premedytacją narusza BHP, to trudno czynić pracownikowi zarzut, że ostrzega inne osoby przed zatrudnieniem u tego pracodawcy albo próbuje tym sposobem wywrzeć nacisk na zmianę organizacji pracy. Jeżeli natomiast pracownik zostałby np. zwolniony dyscyplinarnie za nadużywanie alkoholu w pracy i postanowił zemścić się na pracodawcy, zamieszczając protokół z kontroli, w którym zostały wskazane jakieś drobne uchybienia, to wtedy bardziej na obronę zasługiwałby pracodawca.

Jak widać, sprawa w tym zakresie nie jest jednoznaczna i ostateczne rozstrzygnięcia mógłby poczynić wyłącznie właściwy organ państwowy albo sąd powszechny.