Służbowy e-mail, prywatne sprawy. Kto złamał RODO?

Przekazanie pracodawcy danych osobowych jego pracownika, który użył służbowego maila do celów prywatnych to naruszenie przepisów o RODO. I nie ma znaczenia, że pracodawca i tak miał już sporne dane. Chodzi o sam tryb ich przetwarzania.

Publikacja: 11.03.2024 03:00

Służbowy e-mail, prywatne sprawy. Kto złamał RODO?

Foto: Adobe Stock

Zasadniczo służbowa skrzynka mailowa służy do pracy i nie powinno się jej używać z celach prywatnych. Wielu pracodawców wręcz tego zakazuje. Jednak często zdarza się, że pracownicy wykorzystują ją do załatwiania własnych, osobistych spraw. Zgłaszanie takiego „nadużycia” przez adresat takiego maila to jednak ogromne ryzyko. Okazuje się, że przekazanie danych osobowych pracownika, który wykorzystał służbowego maila do celów prywatnych jego pracodawcy to naruszenie RODO, za które grożą kary. A potwierdza to przełomowy wyrok Naczelnego Sądu Administracyjnego (NSA). 

Służbowy adres e-mail a RODO

O tym, że dobrymi chęciami jest piekło wybrukowane przekonała się spółdzielnia mieszkaniowa, która wdała się w awanturę z jednym ze swoich członków. Konkretnie chodziło o korespondencję na temat rozliczeń finansowych oraz uchwał podjętych przez radę nadzorczą spółdzielni. Z akt sprawy wynikało, że jeden z właścicieli mieszkania korespondował w tej sprawie ze spółdzielnią posługując się służbowym adresem e-mail szpitala wojewódzkiego, w którym był zatrudniony. W ten sposób spółdzielnia pozyskała jego dane osobowe tj. imię, nazwisko i adresu zamieszkania.

Szkopuł w tym, że odpowiedź na jedno z pism właściciela mieszkania spółdzielnia przesyłała również do wiadomości jego pracodawcy tj. szpitala. Powodem tego było wykorzystanie przez służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi.

To nie spodobało się głównemu adresatowi, który zażądał od prezesa spółdzielni zaprzestania przetwarzania jego danych osobowych. Gdy ta odmówiła — skutecznie jak się później okazało — poskarżył się do prezesa Urzędu Ochrony Danych Osobowych (UODO).

Prezes UODO zauważył, że dane osobowe muszą być przetwarzane zgodnie z prawem. Oznacza to, że administrator, przetwarzając dane osobowe, musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Urzędnicy uznali, że spółdzielnia udostępniając dane osobowe członka spółdzielni szpitalowi wykroczyła poza cel, w którym je pozyskała. Podkreślili, że spółdzielnia nie wskazała podstawy prawnej udostępnienia danych osobowych pracodawcy właściciela mieszkania. W ocenie UODO udostępnienie danych podyktowane "wykorzystaniem służbowego maila dla celów nie związanych z obowiązkami służbowymi" nie mieści się w realizacji pierwotnego celu przetwarzania, a ponadto działanie to nie było niezbędne dla udzielenia odpowiedzi przez spółdzielnie. To oznacza, że spółdzielnia naruszyła RODO. Na szczęście dla spółdzielni skończył się tylko na upomnieniu, choć zgodnie z przepisami UODO mogło też sięgnąć po kary finansowe, których wysokość zależy od okoliczności indywidualnej sprawy. 

Czytaj więcej

Pierwsza kara za RODO – milion złotych

Co do żądania nakazania spółdzielni pisemnych przeprosiny na łamach lokalnej gazety UODO odesłał „poszkodowanego” do sądu powszechnego.

Taki obrót sprawy nie satysfakcjonował spółdzielni. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie przekonywała, że inicjatorem prowadzenia korespondencji za pośrednictwem służbowej skrzynki e-mail był uczestnik postępowania i to on zaangażował w sprawę swojego pracodawcę. Kontekst w jakim zaczęto operować jego danymi wynikał z jego suwerennego i zamierzonego działania.

Jak zauważyła skarżąca w ten sposób chciał podkreślić doniosłość swojego stanowiska prezentowanego w kierowanych do niej pismach, korzystając z autorytetu instytucji w jakiej pracuje. Ponadto jak tłumaczyła spółdzielnia przekazane dane znajdowały się w dyspozycji szpitala, jako pracodawcy.

Dane u pracodawcy i w spółdzielni to nie to samo

Ta argumentacja nie przekonała jednak warszawskiego WSA, a ostatecznie również sądu kasacyjnego. 

Oddalając skargę kasacyjną spółdzielni NSA zgodził się, że jej działanie stanowiło przetwarzanie danych osobowych poprzez ich "udostępnienie". I nie ma znaczenia, że sporne dane pozostawały już w dyspozycji szpitala, tj. były mu znane jako pracodawcy oraz jako administratorowi adresu e-mail, z którego pracownik korzystał prowadząc korespondencję ze spółdzielnią.

NSA podkreślił, że art. 4 pkt 2 RODO nadaje pojęciu przetwarzania znacznie szersze od rozumienie od potocznego. Prawnie pojęciem przetwarzania należy objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na nich, począwszy od gromadzenia poprzez rozmaite czynności a na usuwaniu skończywszy. 

W spornym przypadku przesłanie przez spółdzielnię danych osobowych szpitalowi stanowiło niezautomatyzowaną operację wykonywaną na danych osobowych, która stanowiła ich udostępnienie

Czytaj więcej

Sąd: słona kara za sesje rady miasta transmitowane na YouTubie

Sąd zauważył, że celem RODO, jest ochrona poufnych danych osobowych przed nieuprawnionym do nich dostępem. Zwłaszcza, że przesyłający lub udostępniający dane osobowe z reguły nie wie czy ten któremu przesyła lub udostępnia dane osobowe jest już w ich posiadaniu. Ponadto w ocenie NSA za uznaniem "udostępnienia" danych osobowych w spornym przypadku za przetwarzanie danych osobowych przemawia też orzecznictwo unijne. Wynika z niego bowiem, że "przetwarzanie" danych osobowych należy interpretować szeroko.

Wyrok jest prawomocny. 

Sygnatura akt: III OSK 2816/22.

Adam Szkurłat
adwokat z kancelarii Lubasz i Wspólnicy

W komentowanym wyroku NSA skupił się na dwóch zagadnieniach z obszaru ochrony danych osobowych. Konkretnie wykładni pojęcia „udostępnienie” w kontekście definicji przetwarzania danych osobowych oraz możliwości udostępnienia administratorowi danych, które ten już posiada. W mojej ocenie nie budzi wątpliwości przyjęte i uzasadnione przez sąd kasacyjny stanowisko kwalifikujące udostępnienie jako przetwarzanie danych osobowych. W tym kontekście niezwykle cenne jest odwołanie przez NSA do orzecznictwa TSUE dotyczącego interpretacji przetwarzania na gruncie RODO i kontynuacja przyjętej przez unijny trybunał linii orzeczniczej. Nie bez znaczenia pozostaje dokonanie tej wykładni w duchu RODO, które zakłada szerokie definiowanie przetwarzania i co za tym idzie – szeroką ochronę osób, których dane dotyczą. Kontrowersyjne na pierwszy rzut oka uznanie, że można udostępnić dane, którymi administrator już dysponuje i które przetwarza w innych celach także zostało przez NSA przekonująco wyjaśnione. W tej sprawie pojawił się natomiast wątek, któremu nie poświęcono dużo uwagi, a który ma doniosłe znaczenie praktyczne. W przedmiotowym wypadku spółdzielnia powiadomiła pracodawcę podmiotu danych o wykorzystywaniu przez niego służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi. Uwzględniając kontekst sytuacji takie powiadomienie - i udostępnienie danych osobowych pracownika szpitala - było nielegalne – nie zaistniała żadna z przesłanek przetwarzania opisanych w art. 6 RODO. W efekcie całe zdarzenie stanowiło naruszenie ochrony danych. Wskazaną sytuację można byłoby kwalifikować inaczej w sytuacji, w której istniałyby przepisy uzasadniające takie powiadomienie o ewentualnych nieprawidłowościach. Aktualnie trwają prace nad przepisami o ochronie sygnalistów i zgłaszaniu nieprawidłowości – na ich podstawie przekazanie opisanej wyżej informacji pracodawcy osoby, której dane dotyczą, mogłoby zostać uznane za legalne. 

Sądy i trybunały
Sędzia Piebiak może stracić immunitet. Oskarża go były lider KOD
Materiał Promocyjny
Tajniki oszczędnościowych obligacji skarbowych. Możliwości na różne potrzeby
Konsumenci
Frankowicze mają nowy sposób na banki. Donoszą do prokuratury
Podatki
Ryczałtowcy chcą dzielić biznes, by obniżyć składkę zdrowotną
Praca, Emerytury i renty
Będzie dodatkowa waloryzacja emerytur i rent. Rząd odsłania karty
Materiał Promocyjny
Naukowa Fundacja Polpharmy ogłasza start XXIII edycji Konkursu o Grant Fundacji
Nieruchomości
Mieszkania społeczne. Koniec wyodrębniania na własność