Decyzja DKN.5110.9.2020

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7 ust. 1 i ust. 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) oraz lit. h) i art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez B. (…) S.A. z siedzibą w U. przy ul. (…), zwaną dalej „Spółką”, „B.” lub „Administratorem”, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez B. (…) S.A. z siedzibą w U. art. 6 ust. 1 rozporządzenia 2016/679, polegające na przetwarzaniu bez podstawy prawnej danych osobowych pracowników Spółki w zakresie informacji o planowanym miejscu wypoczynku, co skutkowało naruszeniem zasady zgodności z prawem, rzetelności i przejrzystości, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,

udziela B. (…) S.A. z siedzibą w U. upomnienia.

Uzasadnienie

1.

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem UODO”, 17 sierpnia 2020 r. wpłynęło pismo Okręgowego Inspektora Pracy w Z. z 10 sierpnia 2020 r., informujące o możliwych nieprawidłowościach w procesie przetwarzania przez Administratora danych osobowych pracowników B. – w związku z obowiązkiem wypełniania ankiety zawierającej informacje o planowanym miejscu wypoczynku w celu zapobiegania rozprzestrzeniania się epidemii SARS CoV-2.

2.

Prezes UODO, działając w oparciu o art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 wezwał B. pismami z 6 października 2020 r. oraz 15 czerwca 2022 r. do udzielenia wyjaśnień w sprawie. Spółka pismami z 26 października 2020 r., 22 marca 2021 r. oraz 29 czerwca 2022 r. udzieliła stosownych wyjaśnień, w ramach których poinformowała m.in., że:

1)

Zarządzeniem nr (…) Prezesa Zarządu B. (…) S.A. z (…) czerwca 2020 r. w sprawie: zapobiegania rozprzestrzeniania się epidemii SARS COV w B. (…) S.A. w związku z wyjazdami na urlop pracowników B. wprowadzono obowiązek wypełniania przez pracowników Spółki udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku zgodnie ze wzorem załączonym do ww. zarządzenia. Zgodnie ze wzorem powyższej ankiety, Administrator zbierał od pracowników dane osobowe w zakresie: imienia i nazwiska, komórki organizacyjnej, nr osobowego, nr telefonu kontaktowego, miejsce pobytu podczas urlopu w Polsce (województwo, powiat, miejscowość/najbliższe miasto powiatowe) oraz za granicą (kraj, region, miejscowość, miejsce), okres pobytu.

2)

Wypełnione ankiety kierowane były do (…) właściwych ze względu na miejsce zatrudnienia pracownika udającego się na urlop. (…) przekazywał informacje o liczbie pracowników planujących wyjazd oraz planowanym miejscu pobytu właściwym miejscowo (…) w przypadku oddziałów lub (…) w Centrali w przypadku planowanego wyjazdu pracownika zatrudnionego w Centrali. (…) B. na bieżąco monitorował sytuację epidemiologiczną w kraju i za granicą w lokalizacjach wskazanych przez pracowników w ankietach wyjazdowych. W przypadku stwierdzenia ogniska zarażeń SARS-CoV-2 w miejscach urlopu pracowników B., (…) w oddziałach lub (…) w Centrali informowały odpowiednie komórki (…) o stwierdzonym zagrożeniu. W takiej sytuacji właściwe komórki (…) nie zezwalały na powrót pracownika do pracy w warunkach stacjonarnych – pracownik miał pozostawać 14 dni w samoizolacji lub pracy zdalnej, zgodnie z decyzją właściwej komórki (…), o czym pracownik był informowany przed powrotem do pracy. Aby usprawnić powyższą procedurę, po około tygodniu obowiązywania ww. zarządzenia pracownicy mogli wypełniać ankietę elektronicznie w wewnętrznym systemie B.. Pracownicy (…) wprowadzali treść ankiety do systemu, wskazując jedynie numer osobowy pracownika oraz miejsce i okres jego urlopu. Pracownicy (…) oraz wyznaczona osoba w (…) w Centrali dokonywali codziennie porównania miejsc, w których stwierdzono wystąpienie ognisk zakaźnych z listami przekazywanymi przez (…). W przypadku ustalenia, że pracownicy B. przebywali w miejscu wystąpienia ogniska zakażenia (…) informowały o tym fakcie (…) wskazując numer pracownika, którego to dotyczy. Pracownicy (…) nie mieli możliwości powiązania numeru pracownika z innymi danymi osobowymi pracownika. (…) informował pracownika o konieczności pozostania w samoizolacji. Dane zebrane w ankietach były usuwane w terminie 14 dni od dnia zakończenia urlopu przez pracownika.

3)

Jako podstawę prawną przetwarzania danych osobowych pracowników zawartych w ankiecie B. wskazała prawnie uzasadniony interes Spółki jako pracodawcy (art. 6 ust. 1 lit. f) rozporządzenia 2016/679 w zw. z art. 100, art. 207 i art. 211 Kodeksu pracy) oraz niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – w tym przypadku pozostałych pracowników B. (art. 6 ust. 1 lit. d) rozporządzenia 2016/679).

4)

W związku z przetwarzaniem danych osobowych z powołaniem na prawnie uzasadniony interes Spółka przeprowadziła tzw. test równowagi (ocenę, czy w danym przypadku interes Administratora jest nadrzędny lub równy interesowi osoby, której dane dotyczą). Poprawność przeprowadzenia testu równowagi w zakresie przetwarzania danych osobowych pracowników w ramach ankiet urlopowych przez B. była przedmiotem opinii prawnej z (…) lipca 2020 r. dotyczącej dopuszczalności monitorowania miejsc urlopów pracowników B. w celu zapobiegania rozprzestrzeniania się epidemii COVID19.

5)

W następstwie spadku liczby zachorowań na SARS-CoV-2 w Polsce i zmniejszeniem się ryzyka dla zachowania ciągłości działania B. w związku ze spędzeniem urlopu przez pracowników Spółki w miejscu, w którym wykryto ogniska zakażenia SARS-CoV-2, (…) września 2020 r. w drodze zarządzenia nr (…) Prezesa Zarządu B. (…) S.A. w sprawie: uchylenia zarządzenia nr (…) Prezesa Zarządu B. (…) S.A. w sprawie zapobiegania rozprzestrzeniania się epidemii SARS COV w B. (…) S.A. w związku z wyjazdami na urlop pracowników B., zniesiono obowiązek wypełniania przez pracowników Spółki udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku.

6)

Po wycofaniu procedury urlopowej związki zawodowe zaczęły nalegać na Zarząd B., aby ją przywrócić i objąć monitoringiem również pobyty pracowników w dni wolne od pracy. W wyniku spotkania ze związkami zawodowymi, które odbyło się (…) października 2020 r. i podczas którego wszyscy przedstawiciele związków zawodowych wyrazili zgodę na ponowne wdrożenie procedury urlopowej, B. podjął decyzję o przywróceniu stosowania procedury urlopowej.

7)

W związku z kolejnym wzrostem zachorowań na SARS-CoV-2 w B. ponownie wprowadzono obowiązek wypełniania przez pracowników B. udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku w drodze zarządzenia z (…) października 2020 r. nr (…) Prezesa Zarządu B. (…) S.A. w sprawie: zapobiegania rozprzestrzeniania się epidemii SARS COV w B. (…) S.A. w związku z wyjazdami na urlop pracowników B..

8)

W następstwie poprawy ogólnoświatowej sytuacji epidemicznej obowiązek wypełniania przez pracowników B. udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku został ostatecznie zniesiony (…) czerwca 2021 r. w drodze zarządzenia nr (…) Prezesa Zarządu B. (…) S.A w sprawie: zniesienia niektórych obostrzeń wprowadzonych w B. (…) S.A. z siedzibą w U. w związku z epidemią SARS-CoV-2.

9)

W B. nie przywrócono już po (…) czerwca 2021 r. obowiązku wypełniania przez pracowników B. udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku. Takiego obowiązku nie nałożono na pracowników Spółki w kolejnych zarządzeniach Prezesa Zarządu B. (…) S.A wydawanych w związku z epidemią SARS-CoV-2, które dotyczyły wprowadzania w Spółce dodatkowych obostrzeń na potrzeby przeciwdziałania rozprzestrzeniania się wirusa SARS-CoV-2. Wszystkie dane zebrane przed zniesieniem obowiązku wypełniania ankiet urlopowych przez pracowników zostały usunięte.

10)

Do Administratora nie wpłynęły żadne wnioski o realizację praw osób, których dane dotyczą (pracowników), w związku z przetwarzaniem danych osobowych zawartych w ww. ankietach oraz nie doszło do jakiegokolwiek naruszenia ochrony danych osobowych w związku z przetwarzaniem danych osobowych w nich zawartych w rozumieniu art. 4 pkt 12 rozporządzenia 2026/679.

3.

Na podstawie zgromadzonego materiału dowodowego ustalono, że zaistniała możliwość naruszenia przepisów o ochronie danych osobowych w ww. procesie przetwarzania danych osobowych realizowanym przez B.. W związku z powyższym, 22 grudnia 2023 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w sprawie przetwarzania przez Spółkę danych osobowych zatrudnionych przez nią pracowników, w celu zapobiegania rozprzestrzeniania się epidemii SARS CoV-2, polegającego na pozyskiwaniu informacji o planowanym miejscu wypoczynku, co stanowi naruszenie art. 5 ust. 1 oraz art. 6 ust. 1 rozporządzenia 2016/679. Jednocześnie Prezes UODO wezwał Spółkę do wskazania, czy otrzymała od Głównego Inspektoratu Sanitarnego lub działającego z jego upoważnienia innego organu Państwowej Inspekcji Sanitarnej zalecenia lub wytyczne określające sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej, o których mowa w przepisach o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, zgodnie z art. 8a ust. 5 pkt 2 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2024 r. poz. 416).

4.

Spółka ustosunkowała się do treści zawiadomienia o wszczęciu postępowania administracyjnego pismem z (…) stycznia 2024 r., w którym wniosła o umorzenie w całości prowadzonego przez Prezesa UODO postępowania administracyjnego, podtrzymała dotychczasowe wyjaśnienia złożone w toku postępowania oraz przedstawiła argumentację mającą na celu wykazanie legalności podjętych przez nią działań (zgodności tych działań z art. 5 ust. 1 i art. 6 ust. 1 rozporządzenia 2016/679).

5.

W piśmie z (…) stycznia 2024 r. Spółka wskazała, że nie otrzymała, z powołaniem się na art. 8a ust. 5 pkt 2 ustawy o Państwowej Inspekcji Sanitarnej, indywidualnie od Głównego Inspektoratu Sanitarnego lub działających z jego upoważnienia innych organów Państwowej Inspekcji Sanitarnej zaleceń lub wytycznych określających sposób postępowania w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej, o których mowa w przepisach o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.

6.

Następnie, pismem z (…) lutego 2024 r., Administrator wniósł o „przedłużenie prowadzenia postępowania administracyjnego do czasu złożenia przez Stronę w sprawie wyjaśnień wraz z dokumentem gromadzącym dane i stanowiska technologiczne, techniczne i organizacyjne”.

7.

Pismem z (…) lutego 2024 r. B. podtrzymała wszystkie twierdzenia i wnioski przedstawione w piśmie z (…) stycznia 2024 r. („Wniosek o umorzenie postępowania administracyjnego”) oraz przedstawiła dodatkowe wyjaśnienia wraz z „dokumentami gromadzącymi dane i stanowiska technologiczne, techniczne i organizacyjne dotyczące B.”. Przedłożenie dodatkowych dokumentów, w ocenie Spółki, ma na celu przedstawienie Prezesowi UODO jak funkcjonuje B. jako szczególny przedsiębiorca o specyficznym przedmiocie działalności, w tym, że działalność poszczególnych oddziałów B. jest zależna od działania innych jednostek. Zaprzestanie funkcjonowania chociażby jednej jednostki B. (…) S.A. powodowałoby, w ocenie Spółki: zakłócenia w funkcjonowaniu innych jednostek, a co z tym związane brak możliwości zapewnienia ciągłości działania w całej organizacji; zagrożenie dla życia oraz zdrowia osób trzecich, jak również w aspekcie środowiskowym dla okolicznych terenów; na przykład zaprzestanie działania B. (…) S.A. Oddział (…) ze względu na niewystarczającą obecność pracowników spowodowałoby zagrożenia obiektu (…) zarówno dla życia ludzi jak i prowadziłoby do katastrofy ekologicznej oraz wielkich szkód ekonomicznych. Podjęte działania, zdaniem Spółki, miały zatem na celu ochronę szeroko pojętego interesu publicznego. Przedstawione dokumenty, w ocenie B. (…) S.A., potwierdzają niezbędność przetwarzania danych osobowych (informacji o planowanym miejscu wypoczynku) pracowników w celu zapobieganiu rozprzestrzeniania się SARS COV-2 w czasie obowiązywania procedury oraz przewagę interesu B. (…) S.A. nad podstawowymi prawami i wolnościami osób, których dane dotyczą. W szczególności, jak podkreśliła Spółka, dokumenty wykazują m.in. istotne cele będące przyczyną wprowadzenia rozwiązania ankietowego, tj. potrzeby zapewnienia ciągłości procesu produkcyjnego poprzez zagwarantowanie niezbędnego zasobu kadrowego oraz szeroko rozumianego bezpieczeństwa i porządku.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu zważył, co następuje:

8.

Art. 4 pkt 2 rozporządzenia 2016/679 stanowi, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Katalog czynności przetwarzania w art. 4 pkt. 2 rozporządzenia 2016/679 jest katalogiem otwartym.

9.

Zgodnie z art. 5 ust. 1 rozporządzenia 2016/679, który wskazuje na zasady dotyczące przetwarzania danych osobowych, dane osobowe muszą być:

a)

przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");

b)

zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");

c)

adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");

d)

prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");

e)

przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");

f)

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

10.

Jak wskazuje się w doktrynie, określona w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 „zasada rzetelności może być pojmowana jako swoista reguła naczelna wśród wszystkich ogólnych zasad przetwarzania danych osobowych. Stanowi ona najogólniejszą normę postępowania administratora, a zarazem łączy pozostałe zasady, nadając im szerszy wymiar. Można nawet twierdzić, że inne ogólne zasady przetwarzania danych wynikają z szeroko rozumianej zasady rzetelności i stanowią jej konkretyzację”^[1].

11.

W art. 6 ust. 1 rozporządzenia 2016/679 wskazane zostały enumeratywnie przesłanki legalności przetwarzania danych osobowych. Przesłanki te są względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych konieczne i wystarczające jest spełnienie jednej z nich. W myśl tego przepisu przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Podstawa prawna o której mowa w ust. 1 lit. c musi być określona w prawie państwa członkowskiego, któremu podlega administrator (art. 6 ust. 3 lit. b) rozporządzenia 2016/679).

12.

Każdy pracownik, jako osoba posiada prawo do ochrony swojej prywatności, które jest gwarantowane przez Konstytucję RP oraz międzynarodowe przepisy prawne (np. art. 8 ust. 1 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności stanowi, że każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji; Karta Praw Podstawowych Unii Europejskiej statuuje w art. 7 prawo każdego do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, zaś w art. 8 prawo każdego do ochrony danych osobowych, które go dotyczą, oraz wymóg, aby dane te były przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą, z zastrzeżeniem, że każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania).

13.

Prywatność jest zatem jednym z fundamentalnych praw człowieka, które zapewnia swobodę jednostki w zakresie przechowywania informacji osobistych, a także decydowania o tym, co każda z osób chce ujawniać innym.

14.

Przy analizie przedmiotowej sprawy kluczowe jest podkreślenie, że nałożony przez Spółkę na wszystkich pracowników obowiązek wypełnienia ankiety w zakresie określonym we wzorze wprowadzonym zarządzeniem nr (…) Prezesa Zarządu B. (…) S.A. z (…) czerwca 2020 r. w sprawie: zapobiegania rozprzestrzeniania się epidemii SARS COV w B. (…) S.A. w związku z wyjazdami na urlop pracowników B. oraz wypełnienia ankiety w zakresie określonym we wzorze wprowadzonym zarządzeniem nr (…) Prezesa Zarządu B. (…) S.A. z (…) października 2020 r. w sprawie: zapobiegania rozprzestrzeniania się epidemii SARS COV w B. (…) S.A. w związku z wyjazdami na urlop pracowników rażąco zagrażał prawidłowej realizacji praw przysługującym obywatelom na mocy Konstytucji RP. Jest to szczególnie ważne, jako że zgodnie z art. 47 Konstytucji RP każda osoba ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Zaznaczenia wymaga, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. Jednocześnie skutki naruszeń nieuprawnionego dostępu do informacji mogą być dochodzone na podstawie przepisów prawa cywilnego, karnego oraz administracyjnego.

15.

W przedmiotowej materii wypowiedział się Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r., sygn. akt VI ACa 397/18, wskazując, że „[P]rawo do prywatności w świetle regulacji konstytucyjnych ujmowane jest przede wszystkim przez pryzmat autonomii jednostki wywodzonej z godnościowej koncepcji osoby ludzkiej, stanowiącej, w świetle art. 30 Konstytucji RP, źródło wszelkich praw i wolności. Prawo do ochrony życia prywatnego, stanowiące przedmiot ochrony na gruncie art. 47 Konstytucji RP, oznacza prawo jednostki do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych. Prawo do prywatności w aspekcie autonomii informacyjnej jednostki oznacza uprawnienie do decydowania, które informacje jej dotyczące dostępne będą osobom trzecim”. W korelacji z ww. przepisem jest również art. 51 Konstytucji RP, zgodnie z którym każdy obywatel ma prawo do ochrony danych osobowych. Zdaniem Sądu Apelacyjnego w Warszawie (wyrok z 23 sierpnia 2018 r., sygn. akt VI ACa 1927/16): „Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. W przypadku jego naruszenia, stosownie do konkretnych okoliczności sprawy, może dojść do naruszenia określonych dóbr osobistych, podlegających odrębnemu reżimowi, chronionych przepisami Konstytucji, jak również w szczególności w ramach regulacji art. 23 k.c. i 24 k.c.”. Sąd Najwyższy w wyroku z 18 listopada 2011 r., sygn. akt I PK 94/11, stwierdził, że pracodawca nie może ingerować w sferę prywatności pracownika bez wyraźnej podstawy prawnej, a wszelkie działania dotyczące monitorowania pracownika muszą być zgodne z przepisami prawa, w tym z przepisami dotyczącymi ochrony danych osobowych.

16.

Odnosząc się do wyjaśnień B. przedstawionych w toku przedmiotowego postępowania, w ocenie Prezesa UODO kluczowe jest ustalenie, czy Spółka miała podstawę prawną do prowadzonych przez siebie działań w obszarze przetwarzania danych osobowych pracowników w związku z obowiązkiem wypełniania ankiety zawierającej informacje o planowanym miejscu wypoczynku w celu zapobiegania rozprzestrzeniania się epidemii SARS CoV-2.

17.

Należy zauważyć, że ani ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2025 r. poz. 277 ze zm.), ani ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2025 r. poz. 764.) nigdy nie nadały i obecnie nie nadają pracodawcom uprawnień do monitorowania miejsca przebywania pracownika na urlopie.

18.

Jak wynika z wyjaśnień składanych przez Spółkę w toku postępowania, za podstawę prawną przetwarzania danych z ankiet składanych przez pracowników B. uznała ona art. 6 ust. 1 lit. f) rozporządzenia 2016/679, czyli swój uzasadniony interes oraz art. 6 ust. 1 lit. d) rozporządzenia 2016/679 (ochronę żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej). Prawnie uzasadniony interes B. wynikać miał – w tym przypadku – przede wszystkim z przepisów Kodeksu pracy (art. 100, art. 207 i art. 211).

19.

Powyższe podstawy przetwarzania, zdaniem Spółki, uzasadniały pobieranie od pracownika następujących danych: imię i nazwisko, komórka organizacyjna, numer osobowy, numer telefonu kontaktowego, miejsce pobytu podczas wyjazdu (w przypadku pobytów w Polsce: województwo, powiat, miejscowość/najbliższe miasto powiatowe, w przypadku pobytów za granicą: kraj, region, miejscowość, miejsce) oraz okres pobytu.

20.

W pierwszej kolejności należy zauważyć, że na żadnym etapie trwania epidemii SARS-CoV-2 nie wprowadzono ograniczeń przemieszczania się osób na terenie Polski. Pracownik B. mógł zatem przebywać w regionach Polski o zwiększonej liczbie zakażeń również nie korzystając z gwarantowanego prawem pracy prawa do urlopu, tj. w trakcie weekendu, dni ustawowo wolnych od pracy lub po zakończeniu dnia pracy. Już sam ten fakt poddaje w wątpliwość zasadność zbierania przez Spółkę danych w przypadku urlopów na terenie Polski – w kontekście możliwości osiągnięcia celu, któremu działanie to miało służyć.

21.

W dodatku, jak wskazała Spółka: „w trakcie stosowania procedury urlopowej wykonano łącznie (…) sprawdzeń i wydano (…) rekomendacji samoizolacji pracowników po urlopach, co przyczyniło się do zahamowania rozprzestrzeniania SARS-CoV-2 w B., umożliwiło kontynuację produkcji i zachowanie miejsc pracy oraz chroniło samych pracowników”. Spółka jednak w toku postępowania nie wykazała, ile rekomendacji dotyczących samoizolacji zostało wydanych pracownikom, którzy udawali się na urlop na terenie Polski, na podstawie oceny dokonanej przez Administratora, z której wynika, iż przebywanie na urlopie w danym miejscu wiąże się z koniecznością samoizolacji pracownika po powrocie z urlopu.

22.

Odnosząc się natomiast do zagadnienia urlopów pracowników Spółki poza granicami Polski, należy mieć na uwadze unormowania obowiązującego – według stanu na dzień wprowadzenia pierwszego z zarządzeń Spółki wdrażających ankiety urlopowe – rozporządzenia Rady Ministrów z dnia 29 maja 2020 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz. U. z 2020 r., poz. 964), które nakładało obowiązek poddania się kwarantannie po powrocie z określonych obszarów poza granicami Polski. Obowiązek ten był następnie utrzymany w kolejnych rozporządzeniach Rady Ministrów: z 19 czerwca 2020 r. (Dz. U. poz. 1066 ze zm.), z 7 sierpnia 2020 r. (Dz. U. poz. 1356 ze zm.) i z 9 października 2020 r. (Dz. U. poz. 1758 ze zm.). Ostatnie z wymienionych rozporządzeń zostało zmienione rozporządzeniem Rady Ministrów z 2 listopada 2020 r. zmieniającym rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz. U poz. 1931). Następnie, rozporządzenie Rady Ministrów z 9 października 2020 r. (Dz. U. poz. 1758 ze zm.) zostało uchylone rozporządzeniem Rady Ministrów z 26 listopada 2020 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz. U. poz. 2091). Zgodnie z art. 29 ustawy z dnia 28 października 2020 r. o zmianie niektórych ustaw w związku z przeciwdziałaniem sytuacjom kryzysowym związanym z wystąpieniem COVID-19 (Dz. U. poz. 2112 i 2113), rozporządzenie Rady Ministrów z 26 listopada 2020 r. utraciło moc z dniem wejścia w życie rozporządzenia Rady Ministrów z 1 grudnia 2020 r. (Dz. U. poz. 2132), które nakładało obowiązkową kwarantannę osób przekraczających granicę państwową RP z państwami spoza Unii Europejskiej. Obowiązek kwarantanny dla osób przekraczających granicę państwową RP z państwami spoza Unii Europejskiej był następnie utrzymany w kolejnych rozporządzeniach Rady Ministrów, tj. z 21 grudnia 2020 r. (Dz. U. poz. 2316), z 26 lutego 2021 r. (Dz. U. poz. 447), z 19 marca 2021 r. (Dz. U. poz. 512), z 6 maja 2021 r. (Dz. U. poz. 861), z 25 lutego 2022 r. (Dz. U. poz. 473). Od dnia 28 marca 2022 r., na mocy rozporządzenia Rady Ministrów z dnia 25 marca 2022 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu zagrożenia epidemicznego (Dz. U. poz. 679) został utrzymany jedynie dla osób przekraczających granicę Polski z Republiką Białorusi. Obowiązek ten został ostatecznie uchylony z dniem 1 lipca 2023 r., na mocy rozporządzenia Rady Ministrów z dnia 27 czerwca 2023 r. uchylającego rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu zagrożenia epidemicznego (Dz. U. poz. 1233).

23.

Wątpliwa jest zatem zasadność wprowadzenia monitorowania urlopów poza granicami Polski przez B. ze względu na brak uzasadnienia dla takiego działania w świetle działań organów publicznych, które wprowadziły i egzekwowały obowiązek poddania się kwarantannie przez obywateli Polski wracających z zagranicy. Administrator nie wykazał, ile rekomendacji do samoizolacji zostało przez niego wydanych wobec osób, które i tak były zobligowane do poddania się kwarantannie na podstawie przepisów powszechnie obowiązującego prawa.

24.

Powyższe kwestie mają zasadnicze znaczenie z punktu widzenia oceny m.in. adekwatności ocenianych działań B. i podważają prawidłowość wykonanego przez Spółkę testu równowagi (oceny, czy w danym przypadku interes administratora jest nadrzędny lub równy interesowi osoby, której dane dotyczą).

25.

Odnosząc się do wyjaśnień B. zawartych w piśmie z (…) lutego 2024 r., wskazujących, iż podjęte przez Spółkę działania miały na celu ochronę szeroko pojętego interesu publicznego (niedopuszczenie do zaprzestania funkcjonowania chociażby jednej jednostki B. (…) S.A., co powodowałoby w ocenie Spółki: zakłócenia w funkcjonowaniu innych jednostek, a co z tym związane brak możliwości zapewnienia ciągłości działania w całej organizacji; zagrożenie dla życia oraz zdrowia osób trzecich, jak również w aspekcie środowiskowym dla okolicznych terenów) wskazać należy, że działania w ramach walki z pandemią COVID-19, jakkolwiek podejmowane w szczególnych warunkach, muszą być realizowane z poszanowaniem obowiązujących przepisów prawa i nie mogą być usprawiedliwiane realizacją celów leżących w istocie po stronie innych podmiotów – np. organów administracji państwowej.

26.

Jak wskazała EROD w oświadczeniu w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19, przyjętym 19 marca 2020 r., walka z chorobami zakaźnymi to istotny cel, wspólny dla wszystkich, należy go zatem wspierać w możliwie najlepszy sposób. Niemniej trzeba podkreślić, że administrator danych musi gwarantować ochronę danych osób, których te dane dotyczą. W związku z powyższym, w celu zapewnienia zgodnego z prawem przetwarzania danych osobowych, należy uwzględnić szereg kwestii. W każdym przypadku należy też pamiętać, iż jakiekolwiek działanie podejmowane w tym kontekście musi być realizowane z poszanowaniem ogólnych przepisów prawa i nie może być nieodwracalne. Sytuacja wyjątkowa to przesłanka prawna, która może uzasadnić wprowadzenie ograniczeń pewnych swobód, pod warunkiem, że obostrzenia te są proporcjonalne i ograniczone do okresu, w którym występuje dana sytuacja. Powyższe oznacza, że w każdej sytuacji związanej z danym kontekstem, podejmowane działania powinny być zgodne z obowiązującymi przepisami prawa i nie powinny powodować nieodwracalnych skutków. Innymi słowy, wszelkie kroki muszą być zgodne z prawem i nie mogą prowadzić do sytuacji, z której nie ma powrotu.

27.

Prezes UODO zdaje sobie sprawę, jak ważne jest zachowanie ciągłości funkcjonowania każdej z jednostek B. (…) S.A. oraz rozumie, że Administrator swoimi działaniami starał się zapewnić ciągłość w funkcjonowaniu jednostek, a co z tym idzie, zapewnić ciągłość działania w całej organizacji. Niemniej, tak jak wskazano wcześniej, podejmowane przez pracodawcę środki w ramach walki z pandemią COVID-19 nie mogą naruszać obowiązujących przepisów, a wszystkie działania muszą znajdować umocowanie w obowiązujących normach.

28.

W sytuacji, gdy Spółka upatrywała podstaw prawnych dla badanego procesu przetwarzania danych osobowych w art. 6 ust. 1 lit. f) rozporządzenia 2016/679, to test równowagi, który przeprowadził Administrator powinien wykazać, czy jego działania są niezbędne do osiągnięcia określonego, prawnie uzasadnionego interesu oraz czy interes ten jest w tym przypadku równorzędny bądź nadrzędny względem interesów lub podstawowych praw i wolności osób, których dane dotyczą. W ocenie Prezesa UODO, pobieranie ww. informacji od pracowników (informacji zawartych w obowiązkowych ankietach dotyczących planowanego miejsca wypoczynku), jako środek mający na celu ograniczenie rozprzestrzenia się zakażeń wirusa SARS-CoV-2 w B. (…) S.A., nie było uzasadnione ani niezbędne z punktu widzenia tak określonego celu. Wskazane działania Administratora stanowiły przy tym niewątpliwie znaczną ingerencję w prywatność pracowników i ich rodzin. Tym bardziej, że na żadnym etapie trwania epidemii SARS-CoV-2 nie wprowadzono ograniczeń w zakresie przemieszczania się osób na terenie Polski. Natomiast osoby powracające z zagranicy obowiązywały przepisy, które nakładały obowiązek poddania się kwarantannie po powrocie z określonych obszarów poza granicami Polski. Dlatego też Prezes UODO kwestionuje zasadność wprowadzenia monitorowania przez B. urlopów pracowników (i ich rodzin) zarówno w Polsce, jak i poza granicami Polski.

29.

Z kolei odnosząc się do argumentacji Spółki w takim zakresie, w jakim służyła ona wykazaniu legalności kwestionowanych jej działań w kontekście art. 6 ust. 1 lit. d) rozporządzenia 2016/679, wskazać należy, że dla oparcia przetwarzania danych osobowych na ww. podstawie prawnej niezbędne jest w pierwszej kolejności występowanie żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Prawodawca unijny w motywie 46 rozporządzenia 2016/679 wskazuje, że chodzi tu o interesy, które mają znaczenie dla życia podmiotu danych lub innej osoby fizycznej. Należy przy tym pamiętać, że na omawianej podstawie można oprzeć jedynie przetwarzanie danych osobowych, które nie są danymi osobowymi szczególnych kategorii (art. 9 rozporządzenia 2016/679). Pojęcie niezbędności przetwarzania danych w kontekście żywotnych interesów należy rozumieć w taki sposób, że musi ono być – rozsądnie oceniając – potrzebne dla ich ochrony. Musi występować bezpośredni związek pomiędzy ochroną żywotnego interesu a potrzebą przetwarzania danych osobowych. Zgodnie z doktryną, w przypadku gdy proces przetwarzania danych ma znajdować uzasadnienie w ww. przepisie, „zakres przetwarzanych danych osobowych musi być, racjonalnie rzecz oceniając, niezbędny do realizacji celu w postaci ochrony wskazanych powyżej interesów człowieka”^[2]. Przy ocenie niezbędnego charakteru przetwarzania danych osobowych dla ochrony żywotnych interesów podmiotu danych należy zarazem kierować się wyrażoną w przepisie art. 5 ust. 1 lit. c) rozporządzenia 2016/679 zasadą minimalizacji danych. Oznacza to, że istnienie bezpośredniego związku przyczynowego między przetwarzaniem danych osobowych a ochroną żywotnych interesów podmiotu danych lub innej osoby fizycznej należy badać osobno dla każdej kategorii danych osobowych.

30.

Administrator, w piśmie z 22 marca 2021 r., wskazał, że podstawą prawną przetwarzania danych osobowych pracowników zawartych w ankiecie jest między innymi niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej — w tym przypadku pozostałych pracowników, współpracowników i kontrahentów B.. Za żywotne interesy ww. osób uznano przy tym te w obszarze ochrony ich zdrowia i życia.

31.

Powołanie się przez Administratora na potrzebę ochrony żywotnych interesów nie może zostać uznane za zasadny argument w sprawie – działanie polegające na zbieraniu od pracowników informacji o wyjazdach (w oparciu o które Spółka podejmowała następnie decyzję o konieczności pozostawania przez pracownika, po powrocie z urlopu, w samoizolacji lub wykonywania pracy zdalnie) nie jest takim, które można wprost zakwalifikować jako działanie niezbędne w kontekście ochrony życia i zdrowia. Tym bardziej, że działania służące temu celowi należały przede wszystkim do wyspecjalizowanych instytucji wykonujących zadania z zakresu zdrowia publicznego, poprzez sprawowanie kontroli i nadzoru nad warunkami higieny w różnych dziedzinach życia.

32.

Powołane przez B. przepisy Kodeksu pracy (art. 100, art. 207 oraz art. 211) wskazują podstawowe obowiązki pracownika (art. 100 kodeksu pracy) oraz określają podstawowe obowiązki pracownika i pracodawcy w zakresie BHP. Na ich podstawie pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy oraz jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Natomiast obowiązkiem pracownika określonym w art. 100 § 2 pkt 3 Kodeksu pracy jest przestrzeganie przepisów oraz zasad bezpieczeństwa i higieny pracy. W związku z powyższym, to właśnie na podstawie tej regulacji w czasie pandemii Covid -19 spoczywała na pracodawcy odpowiedzialność za bezpieczeństwo pracownika. Dlatego też jeżeli pracodawca miał podejrzenie, bądź zaobserwował niepokojące go objawy wirusa u pracownika mógł, jak wskazywał Rzecznik Praw Obywatelskich, sam zgłosić do Sanepidu taki przypadek^[3].

33.

Powołanie się przez B. na wyrok Sądu Okręgowego w Olsztynie z 29 stycznia 2021 r., sygn. akt IVPa 79/20, jest zdaniem Prezesa UODO błędne (nie przemawia na rzecz uznania za legalne kwestionowanych praktyk Administratora).

34.

W wyroku tym Sąd Okręgowy w Olsztynie przyznał, że pracodawca miał prawo - w czasach pandemii COVID-19 – pytać zatrudnionych o pobyt za granicą. Natomiast w B. wprowadzono obowiązek wypełniania przez pracowników Spółki udających się na urlop wypoczynkowy ankiety zawierającej informacje o planowanym miejscu wypoczynku zgodnie ze wzorem załączonym do zarządzenia. Dla przypomnienia, zgodnie ze wzorem ankiety Administrator zbierał od pracowników dane osobowe w zakresie: imienia i nazwiska, komórki organizacyjnej, nr osobowego, nr telefonu kontaktowego, miejsce pobytu podczas urlopu w Polsce (województwo, powiat, miejscowość/najbliższe miasto powiatowe) oraz zagranicą (kraj, region, miejscowość, miejsce), okres pobytu. Sytuacje te nie są zatem tożsame.

35.

Prezes UODO zgadza się, że to na pracodawcy ciąży obowiązek ochrony zdrowia i życia pracowników poprzez reagowanie na potrzeby w zakresie zapewnienia bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Pracodawca bowiem ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy.

36.

Jednakże przepisy Kodeksu pracy precyzyjnie określają katalog danych osobowych pracowników, jakie mógł i może przetwarzać pracodawca, a także odsyłają w tym zakresie do przepisów szczególnych, które wskazują na przetwarzanie określonych danych osobowych w konkretnych celach. Tak więc, o ile Kodeks pracy dopuszcza przetwarzanie innych danych pracownika niż te określone w tym akcie prawnym, to warunkiem do tego jest dysponowanie podstawą prawną określoną w innych przepisach. Przepisy prawa pracy nie obejmują norm dotyczących wprost przetwarzania danych osobowych dla celu zwalczania pandemii, w odróżnieniu od przepisów dedykowanych właśnie temu konkretnemu celowi – zawartych np. w ustawie z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (specustawa), która wprowadza szereg regulacji włączających również pracodawców do działań mających na celu zwalczanie pandemii. Zdaniem Prezesa UODO, to służby sanitarne powinny wskazywać kierunki podejmowanych działań, a nie pracodawcy. Specustawa przyznała bowiem Głównemu Inspektorowi Sanitarnemu uprawnienia w zakresie wydawania decyzji, w których może zobowiązać różne podmioty, w tym pracodawców, do podejmowania na potrzeby walki z koronawirusem takich działań, które wiążą się w sposób konieczny z przetwarzaniem danych osobowych, jak również wydawać im tego rodzaju (motywowane ww. celami) zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań. Z zebranego w sprawie materiału dowodowego nie wynika, aby Główny Inspektor Sanitarny lub działający z jego upoważnienia inny organ Państwowej Inspekcji Sanitarnej, wydał wobec B. tego rodzaju decyzje, zalecenia czy wytyczne.

37.

Mając powyższe na uwadze, w ocenie Prezesa UODO praktyki B. jako pracodawcy stanowiły nieuprawnioną ingerencję w prywatność pracowników, ze względu na żądanie od każdego pracownika, niezależnie od zajmowanego przez niego stanowiska i rodzaju wykonywanej pracy, podania informacji w tak szerokim zakresie.

38.

Wystąpienie stanu epidemii nie zwalnia pracodawcy z konieczności właściwego wyważenia różnych wchodzących w grę wartości, w tym należytego uwzględnienia prawa do ochrony danych osobowych pracownika oraz respektowania zasad wynikających z art. 5 ust. 1 rozporządzenia 2016/679, w tym zwłaszcza zasady zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a) rozporządzenia 2016/679). Jak podkreśla się w nauce prawa, zasada rzetelności przy przetwarzaniu danych osobowych pełni podstawową funkcję, ponieważ stanowi punkt wyjścia dla pozostałych zasad przetwarzania danych osobowych, jednocześnie obejmując je swoim zakresem. Natomiast zasada legalności obejmuje całe uniwersum norm prawnych (norm prawa materialnego, przepisów postępowania, przepisów rangi ustawowej i aktów wykonawczych).

39.

Proces przetwarzania danych osobowych w każdym przypadku powinien znajdować oparcie w którejkolwiek z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679, a zarazem powinien być realizowany z poszanowaniem zasad określonych w art. 5 ust. 1 rozporządzenia 2016/679. Obowiązkiem administratora jest zaś wykazanie, że jego działania w obszarze przetwarzania danych są zgodne z ww. przepisami (art. 5 ust. 2 rozporządzenia 2016/679). W ocenie Prezesa UODO Administrator nie wykazał w należyty, nie budzący wątpliwości sposób, że w ogóle zbieranie danych (w zakresie, w którym Administrator zbierał od pracowników), w szczególności w zakresie danych dotyczących krajowych wyjazdów na urlop, miało umocowanie w jakiejkolwiek przesłance z art. 6 ust. 1 rozporządzenia 2016/679.

40.

B. nie wykazał w jakikolwiek sposób by przetwarzanie danych o urlopach pracowników i ich rodzin znajdowało oparcie w wyrażonej zgodzie (art. 6 ust. 1 lit. a) rozporządzenia 2016/679), było niezbędne do wykonania umowy (art. 6 ust. 1 lit. b) rozporządzenia 2016/679), było niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) rozporządzenia 2016/679), było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d) rozporządzenia 2016/679), było niezbędne do osiągnięcia celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f) rozporządzenia 2016/679).

41.

Cele, którym służyły kwestionowane działania Administratora, tj. ochrona życia i zdrowia pracowników i współpracowników B. oraz zachowanie ciągłości pracy jednostek B. – w takim stopniu, w jakim były możliwe do osiągnięcia (w tym sensie, że w zasadzie żadnego środka nie można uznać za gwarantujący ich osiągnięcie w sposób pełny i pewny) – mogły być realizowane w inny sposób, nienaruszający przepisów ochrony danych osobowych i niewchodzący w kompetencje organów administracji państwowej, np. poprzez noszenie maseczek na twarzy, dezynfekcję dłoni, zachowanie odstępów, itp.

42.

Oceniając całość zgromadzonego w sprawie materiału dowodowego należy mieć na uwadze, że celem rozporządzenia 2016/679 (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości co do wykonania obowiązków przez administratorów należy w pierwszej kolejności brać pod uwagę te wartości.

43.

Reasumując, poddany ocenie proces przetwarzania danych osobowych pracowników B. był realizowany bez podstawy prawnej, tj. z naruszeniem art. 6 ust. 1 rozporządzenia 2016/679. W konsekwencji, oceniane działania Administratora wiązały się także z naruszeniem zasady określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679.

Uzasadnienie udzielenia upomnienia.

44.

W myśl art. 58 ust. 2 lit. b) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania. Prezes UODO uznaje zatem za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679. Motyw 148 ww. rozporządzenia stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

45.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającą reakcją na stwierdzone nieprawidłowości po stronie Spółki jest udzielenie jej upomnienia. Decydując o wykorzystaniu tego środka prawnego Prezes wziął w szczególności pod uwagę, że działania Administratora dotyczyły takiego zakresu danych osobowych pracowników, do których przetwarzania nie był on wprawdzie uprawniony (zatem ich przetwarzanie wiązało się z nieuprawnioną ingerencją w sferę ich prywatności), niemniej jednak nie stanowiły one danych podlegających szczególnym rygorom przetwarzania (art. 9 i art. 10 rozporządzenia 2016/679) czy takimi, których nieuprawnione przetwarzanie wiązać by się mogło z istnieniem po stronie podmiotów danych szczególnych ryzyk. Na uwagę zasługuje również postawa działających w B. związków zawodowych, które po wycofaniu procedury urlopowej przez B. zaczęły nalegać na zarząd B., aby ją przywrócić i objąć monitoringiem również pobyty pracowników w dni wolne od pracy. Jak wynika z pisma B. z 26 października 2020 r., w wyniku spotkania ze związkami zawodowymi, które odbyło się (…) października 2020 r. i podczas którego wszyscy przedstawiciele związków zawodowych wyrazili zgodę na ponowne wdrożenie procedury urlopowej, B. podjął decyzję o przywróceniu stosowania procedury urlopowej.

46.

W badanej sprawie nie pominięto kwestii motywacji Administratora (dążenie do ograniczenia rozprzestrzeniania się stanu epidemii i do zapewnienia ciągłości funkcjonowania organizacji Administratora) oraz faktu, że badany proces przetwarzania danych nie jest aktualnie realizowany (Spółka zaprzestała pozyskiwania danych osobowych pracowników w ramach ankiet o planowanym miejscu wypoczynku w trakcie urlopu, a pozyskane uprzednio tą drogą dane usunęła). Nie sposób pominąć (choć nie uzasadnia to dokonanego naruszenia przepisów o ochronie danych), że Spółka działała w realiach szczególnie trudnego dla całego społeczeństwa czasu pandemii, który utrudniał, a często też uniemożliwiał właściwe funkcjonowanie. Należy mieć przy tym na uwadze stanowisko Europejskiej Rady Ochrony Danych w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 z 19 marca 2020 r., zgodnie z którym zasady ochrony danych nie ograniczają środków podejmowanych w ramach walki z pandemią COVID-19, ponieważ w ogólnym interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób. W świetle powyższego zasadny jest wniosek, że pracodawca nie może pozostawać bezczynny w przypadku wystąpienia wysokiego prawdopodobieństwa zagrożenia życia i zdrowia pracowników oraz innych osób obecnych w zakładzie pracy związanego z możliwością zarażenia się przez takie osoby chorobą wirusową, która przybrała postać ogólnoświatowej epidemii (pandemii). Jednocześnie jednak podjęte przez niego działania nie mogą wychodzić poza zakres wskazany w przepisach prawa, w tym nie mogą wiązać się z wkraczaniem w zakres kompetencji zastrzeżonych na rzecz organów państwowych.

47.

Nadmienić również należy, że współpraca Administratora z organem nadzorczym w celu wyjaśnienia okoliczności sprawy (w toku prowadzonego postępowania) odbywała się w sposób niebudzący zastrzeżeń.

48.

W związku z powyższym udzielenie upomnienia w ocenie Prezesa UODO stanowi adekwatny środek naprawczy, który zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej, w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec B. będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

49.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.