giodod

(źródło: http://www.giodo.gov.pl)

Za górami, za lasami było sobie… Nie, nie będzie tak dobrze! Aczkolwiek porządne bajki tak właśnie się zaczynają, co więcej mają one przesłanie na końcu i jakiś morał. Historia, która będzie przedstawiona, jest jak najbardziej realna i się wydarzyła. A zostanie przedstawiona w ramach zobrazowania, że instytucja powołana do przestrzegania realizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nie robi tego. Przyjrzyjmy się zadaniom GIODO:

Bez tytułu 1

(źródło: http://www.giodo.gov.pl/537/j/pl/)

Jeszcze ciekawiej brzmi hasło GIODO, które widnieje na stronie internetowej:

Bez tytułu 2

(źródło: http://www.giodo.gov.pl/537/j/pl/)

A jak się ma ta „troska” drogi OBYWATELU o Twoje dane osobowe?? Tak, jak w poniższym przykładzie:

Otóż, w pewnej spółce, należącej w owym czasie do Skarbu Państwa, „jedynie słuszna władza” obstawiła „swoimi” stołki. Ponieważ zarządzającym nie podobali się niektórzy pracownicy, zaczęli szukać sposobu na pozbycie się „niewygodnych” przy czym przybrało to postać mało wybrednych sposobów. Jednemu z pracowników pewnego pięknego lipcowego i gorącego dnia przedstawiono wykazy połączeń internetowych jego służbowego komputera z siecią publiczną. Ów wykaz obejmował: adres IP komputera, datę, godzinę, minuty i sekundy połączeń, adres strony internetowej lub plików dostępnych w sieci publicznej oraz metodę przesyłania danych przy poszczególnych połączeniach. Ponieważ okres obejmował kilka miesięcy, zaś wykaz był tak szczegółowy, iż obejmował pojedyncze obiekty na stronie, na udokumentowanie powyższego ścięto kilka drzew. Finał historii jak można przewidywać dla owego pracownika mógł być jeden – art. 52 Kodeksu pracy. Ponieważ pracownik miał wiedzę prawną trochę większą, niż przeciętny Kowalski zaczął nierówna walkę z systemem, tj. pracodawcą, urzędnikami PiP, prokuratury etc., próbując udowodnić, iż „garbaty nie był”, zaś działanie pracodawcy do legalnych nie należało. Jedną z możliwości, jaką wykorzystał ów pracownik była skarga do GIODO na przetwarzanie danych osobowych niezgodnie z przepisami, a konkretnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Dla przypomnienia przepis ów traktuje, że „przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”. Stanowisko skarżącego opierało się na niezgodności przetwarzania danych osobowych, albowiem za takie dane należało uznać wszelkie informacje pozwalające zidentyfikować skarżącego, z elementarnym prawem do prywatności w rozumieniu art. 47 Konstytucji. O ile stanowisko organu uznające, iż adres IP komputera, datę, godzinę, minuty i sekundy połączeń, adres strony internetowej lub plików dostępnych w sieci publicznej oraz metodę przesyłania danych przy poszczególnych połączeniach, stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych, albowiem art. 6 w/w ustawy uważa za dane osobowe wszelkie informacje służące do zidentyfikowania osoby fizycznej – o tyle na tym podobieństwo stanowisk GIODO i skarżącego się skończyło.

Reasumując w dwóch decyzjach (pierwszej odmawiającej uwzględnienia skargi i drugiej utrzymującej zaskarżoną decyzję w mocy) GIODO pozbawił skarżącego złudzeń, że pracodawca naruszył jego prawa. Jednak skarżący nie zrażając się wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, na decyzje GIODO. Skarga oparta została na błędnej wykładni art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, a także została podniesiona niezgodność interpretacji GIODO z art. 7 pkt 1 oraz pkt 33 Preambuły Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (DZ. U. L. 281, 23/11/1995 P.0031-0050) . Oczywiście powołanie się na niezgodność z przywołaną Dyrektywą zostało wskazane przez art. 91 ust. 2 Konstytucji RP.

Punkt 33 Preambuły przywołanej Dyrektywy brzmi następująco: „dane mogące ze względu na ich charakter powodować naruszenie podstawowych wolności lub prywatności nie powinny być przetwarzane, o ile osoba, której dotyczą, nie udzieli wyraźnej zgody; należy jednak przewidzieć odstępstwa od tego zakazu dla szczególnych potrzeb, zwłaszcza w przypadkach gdy przetwarzanie danych odbywa się w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej, lub też w trakcie legalnych działań niektórych stowarzyszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności

Zaś art. 7 pkt 1 Dyrektywy brzmi: „przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.”

Przywołanie powyższych przepisów nastąpiło w aspekcie nie tylko krajowej ustawy zasadniczej, ale również w związku z art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. Dodatkowo w uzasadnieniu skarżący przywołał orzeczenie z dnia 03 kwietnia 2003 roku w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00, Lex nr 527588), a która to sprawa odnosiła się do monitorowania przez przełożonego w miejscu pracy telefonu, poczty elektronicznej i połączeń internetowych Lynette Copland. Monitorowanie pani Lynette Copland przybrało postać analizy odwiedzin stron, daty i czasu odwiedzin oraz długości ich trwania, a więc zbieżne z tym co spotkało skarżącego.

Dodatkowo zostało zarzucone szereg naruszenie szereg przepisów postępowania administracyjnego.

Stanowisko GIODO, jakie zaprezentował w odpowiedzi na skargę było dokładnie takie samo jako w zaskarżonej decyzji.

Wyrokiem z dnia 06 czerwca 2012 roku Wojewódzki Sąd Administracyjny w Warszawie, sygn. akt: II SA/Wa 453/12 (źródło http://orzeczenia.nsa.gov.pl/doc/6695DD04A7) uchylił zaskarżoną decyzję, orzekł o wstrzymaniu wykonalności obydwu decyzji GIODO a także orzekł o kosztach. Nie wkraczając w szczegóły uzasadnienia albowiem jest ono szeroko dostępne i można je sprowadzić do określenia: sąd w pełni podziela argumentację skarżącego dotyczącą interpretacji przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, jaka została wskazana w skardze, a to istotne mając na uwadze zapędu różnych instytucji do interpretowania implementowanego prawa do naszego porządku prawnego według własnego „widzi mi się„.

            Można powiedzieć, że skarżący odniósł sukces, bowiem wygrał z GIODO. Nic jednak bardziej mylnego, gdyż GIODO – tak, ten sam, który stoi na „straży” Twoich danych osobowych OBYWATELU  – wymyślił, iż zaskarży przedmiotowy wyrok skargą kasacyjną do Naczelnego Sądu Administracyjnego. A co wszak tak instytucja jest nieomylna!

            Zarzuty skargi kasacyjnej zostały generalnie oparte na  niewłaściwej kontroli nad postępowaniem administracyjnym wskutek błędnego przyjęcia, iż przetwarzanie danych spełniało usprawiedliwiony cel o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.  Uzasadnienie skargi kasacyjnej sprowadzało się do wskazania i usprawiedliwienia działania spółki. Co ciekawe i jakże znaczące GIODO podkreśla, iż zastosowany monitoring nie był stosowany do „kontroli prawidłowości realizacji obowiązków pracowniczych”. Co oznacza, że  GIODO lepiej wie od samego pracodawcy jak egzekwować prawo pracy.  Z lepszych smaczków uzasadnienia skargi kasacyjnej czytamy „w ocenie Generalnego Inspektora Spółka przetwarzała dane osobowe w prawnie usprawiedliwionym celu, zaś zakres zebranych przez Spółkę informacji nie daje podstaw do przyjęcia, że jej ingerencja w prywatność Skarżącego przekroczyła dopuszczalne granice, które skutkowałoby naruszeniem  jego praw i wolności”. Będąc złośliwym, wskazać można, iż GIODO właśnie się przyznał, iż ingerencja w prywatność jednak była, ale „nie przekroczyła dopuszczalnych granic„. W całej sprawie GIODO dokonał, aż  wystąpienia sygnalizacyjnego (sic!!!), co w języku urzędniczym oznacza, iż „pogrożono” jedynie palcem Spółce.

W dniu 13 lutego 2014 roku Naczelny Sąd Administracyjny w Warszawie, w sprawie sygn. akt: I OSK 2436/12 oddalił skargę kasacyjną GIODO (wyrok wraz z uzasadnieniem znajdziesz tu: http://orzeczenia.nsa.gov.pl/doc/A2B1C2D069). W uzasadnieniu zapadłego wyroku, odniósł się do podniesionych zarzutów, a przede wszystkim uzasadnił merytoryczne podstawy zapadłego wyroku, poprzez podzielenie – podobnie jak sąd I instancji zapatrywania prawnego odnoszącego się do orzeczenie z dnia 03 kwietnia 2003 roku w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00, Lex nr 527588). Naczelny Sąd Administracyjny przytoczył znaczne fragmenty uzasadnienia przywołanego orzeczenia w sprawie Copland.

Cytat z uzasadnienia: „Wbrew odmiennemu w tym względzie stanowisku skarżącego kasacyjnie, trafnie w świetle powyższych regulacji prawnych Sąd pierwszej instancji przyjął, że o ile można byłoby zgodzić się z twierdzeniem organu, że działania podejmowane przez ówczesnego pracodawcę skarżącego jako administratora danych, znajdują oparcie w powyższych przepisach prawa w zakresie niezbędności wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora, o tyle nieuprawniony jest pogląd organu, że przetwarzanie danych osobowych skarżącego nie naruszało jego praw i wolności. Trafnie zauważa Sąd pierwszej instancji, że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną A. a siecią publiczną, zastosowane w ramach monitoringu (kontroli), o którym mowa w pkt. XII załącznika do powołanego wyżej rozporządzenia, w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie. Prawidłowo Sąd ten akcentuje, że taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji„.

A teraz praktycznie!

W ostatnim czasie pojawił się problem monitoringu wizyjnego (pisaliśmy o tym tu: https://palestrapolska.wordpress.com/2014/01/06/wielki-brat-paczy-jak-zarobic-projekt-ustawy-o-monitoringu-wizyjnym/), który w chwili obecnej nie ma żadnego uregulowania ustawowego, a jesteśmy podglądani cały czas i niemal wszędzie.

Jeśli dojdzie do tego monitoring w miejscu pracy, możemy śmiało powiedzieć, że Wielki Brat patrzy, a Rok 1984 mamy w realu, a nie literackiej fikcji. W przeciwieństwie do monitoringu wizyjnego, monitoring w miejscu pracy jest uregulowany i to dosyć kompleksowo, głównie za sprawą implementowania do rodzimej ustawy o ochronie danych osobowych Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (DZ. U. L. 281, 23/11/1995 P.0031-0050). Inna rzecz, jak widać na powyższym przykładzie, że oportunizm GIODO powołanego do dbania o prawa obywatela jest taki, iż przepisy sobie, a organ sobie. Co więcej mało jest opracowań na ten temat (dla zainteresowanych: dr Arkadiusz Lach „Monitoring pracownika w miejscu pracy” – Monitor Prawa Pracy nr 10/2004), jak również mało przetartych szklaków orzeczeniami sądów powszechnych oraz sądów administracyjnych.

Legalność monitoringu zostaje zniesiona w przypadku stosowania go w taki sposób, iż  w narusza to dobra osobiste podmiotu monitowanego (np. pracownika). Dla przypomnienia zgodnie z art. 23 kodeksu cywilnego „Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach„. W przypadku naruszenia dobra osobistego monitoringiem niekierunkowanym na rodzaj odwiedzanych stron (w tym czas odwiedzin), dochodzi do naruszenia takich dóbr osobistych, jak: prywatność, swoboda sumienia, wyznania, tajemnica korespondencji, itp. Należy pamiętać, iż art. 23 kodeksu cywilnego jedynie przykładowo wymienia katalog dóbr osobistym i nie jest wykluczone, iż w grę mogą wchodzić i inne dobra osobiste. Co więcej analiza odwiedzanych stron prowadzić może do określenia wyznania pracownika, jego orientacji seksualnej, upodobań, hobby itp. Te elementy naszej osobowości podlegaj ochronie i nie ma wyjątku, który upoważniałby pracodawcę do ingerowania w nie, szczególnie gdy UE określiło już standardy ochrony.

Osobnego komentarza na zakończenie wymaga stanowisko GIODO w niniejszej sprawie. Bo przecież zdumiewać musi, że instytucja powołana do ochrony danych osobowych nie czyni tego. Co więcej robi wszystko, aby przypadkiem obywatel nie miał racji w sporze z nim. I jest to o tyle dziwne że jak podaje Rzeczpospolita (http://prawo.rp.pl/artykul/1090400.html) szef GIODO został wiceszefem grupy zrzeszającej organy ochrony prywatności z krajów UE. Jeśli tak zaciekle będzie zwalczał prawa jednostki do prywatności w UE jak w kraju to obywatele UE powinni już się bać!!!!

A teraz morał bajki. Dosyć prosty w swej istocie, otóż nie możesz liczyć na instytucje powołane do walki o Twoje prawo OBYWATELU, najlepiej licz na siebie. I walcz!!! Walcz to końca i ostatniej instancji, bo nie masz wyjścia, bo w takim kraju przyszło Ci żyć….

RD

P. S. GIODO oczywiście wyda w tej sprawie decyzję i po 4 latach zapewne uzna, że nie ma sprawy bo brak naruszenia w chwili obecnej przepisów ustawy – ale to już bez komentarza…..

Paris_Tuileries_Garden_Facepalm_statue_1352747306

(źródło: www.di.com.pl)