Polacy pokochali profile społecznościowe i lubią z nich korzystać, nawet na komputerach w pracy. To może jednak wywołać poważne perturbacje z RODO. Potwierdza to czwartkowy wyrok Naczelnego Sądu Administracyjnego (NSA) w precedensowym sporze o to, czy loginy do Facebooka i pośrednio Messengera, zawarte na nich informacje oraz zapisy odbywanych tam rozmów to dane osobowe. I czy pracodawca może bezkarnie do nich zajrzeć, gdy zostały na służbowym sprzęcie. 

Czy dane do logowania na Facebook są chronione RODO?

Sprawa dotyczyła informatyka, który przez jakiś czas był zatrudniony w urzędzie jednego z miast Małopolski. W grudniu 2018 r. jego umowa o pracę została rozwiązana z 3-miesięcznym wypowiedzeniem. Służbowy komputer miał zdać do 3 stycznia 2019 r. Problem zaczął się, gdy kilka miesięcy później oddany przez niego sprzęt zaczęto przygotowywać do przekazania kolejnej osobie. Pracownikowi, który się tym zajmował po „odpaleniu” komputera i po uruchomieniu przeglądarki internetowej na ekranie ukazały mu się dwie rozmowy prowadzone na portalu Facebook. Okazało się bowiem, że były użytkownik nie usunął z komputera służbowego konta synchronizacji zakładek i haseł, pozostał również zalogowany na prywatnym koncie na Facebooku. Pewnie nie miałoby to wielkiego znaczenia, gdyby nie fakt, że uczestnikami dyskusji na prywatnym koncie byłego informatyka były też dwie osoby nadal pracujące w urzędzie. A konwersacja dotyczyła szefowej całej trójki, czyli pani burmistrz. Pracownik, który dokonał tego odkrycia wydrukował treść rozmów i tak trafiły one na biurko szefowej. Schody zaczęły się, gdy ta pozyskane w ten sposób informacje wykorzystała do wszczęcia postępowania dyscyplinarnego wobec jednego z aktualnie zatrudnionych, a także karnego w stosunku do byłego już pracownika. 

Czytaj więcej:

Czy szef może wysłać załodze maila z danymi odchodzącego pracownika? Ważny wyrok
Prawo pracy Czy szef może wysłać załodze maila z danymi odchodzącego pracownika? Ważny wyrok

Pro

To spotkało się z reakcją informatyka, który o poczynaniach byłego pracodawcy zaalarmował prezesa Urzędu Ochrony Danych Osobowych (UODO). I skutecznie zarzucił mu naruszenie RODO. UODO stwierdził, że korespondencja „wydłubana” ze służbowego komputera może stanowić dane osobowe. Zawarte w niej informacje pozwalały bowiem na identyfikację jej uczestników, w tym składającego skargę. Zwłaszcza, że nie chodziło tylko o zwykłe dane, ale także szczególne ich kategorie, jak np. wyznanie, których przetwarzanie – co do zasady – jest zabronione. Prezes UODO nie miał też cienia wątpliwości, że pozyskanie danych osobowych informatyka nastąpiło z naruszeniem przepisów o ochronie danych osobowych. A za przewinienie udzielił upomnienia. Miasto nie pogodziło się z tą minimalną karą. Poszło do sądu i przy pierwszym podejściu triumfowało. Wojewódzki Sąd Administracyjny (WSA) w Warszawie doszedł do przekonania, że UODO w ogóle nie powinien angażować się w sprawę. W jego ocenie konflikt dotyczy bowiem bezprawnej ingerencji w prawo do prywatności, w tym naruszenia tajemnicy korespondencji. A w tym zakresie właściwe są sądy powszechne. To samo dotyczy naruszenia dóbr osobistych.

Czy pracodawca może zajrzeć na konto pracownika, który korzysta z portali społecznościowych na firmowym komputerze?

Ta koncepcja nie przekonała jednak NSA. Uznał, że WSA powinien jeszcze raz zająć się sprawą i m.in. zbadać, czy jednak nie doszło do zebrania danych osobowych. A także ocenić znaczenie dokonanych wydruków z konta Facebook w świetle uprzedniego przetwarzania danych osobowych w formie elektronicznej i zautomatyzowanej tzn. przetwarzania od momentu użycia danych logowania do konta na profilu społecznościowym. Warszawski WSA znów zajął się sporem i tym razem oddalił skargę samorządowców.  Uznał, że w sprawie doszło do zebrania danych osobowych w postaci tych do logowania, jak i innych, do których burmistrz miał dostęp po zalogowaniu. Jak zauważył sąd, dane logowania pozwalały bowiem na wejście do profilu konkretnej osoby fizycznej – identyfikując ją – i umożliwiały przeglądanie, zbieranie, pobieranie oraz wykorzystywanie nie tylko jej danych, ale również innych osób. Sądowi nie umknęło, że dodatkowo dane zostały dalej utrwalone w formie papierowej. Te i inne argumenty przekonały WSA, że dane osobowe informatyka zostały pozyskane przez administratora w sposób zgodny z przepisami o ochronie danych osobowych.

Czytaj więcej

Za cudze nazwisko w poście na e-forum może grozić kara. Precedensowy wyrok
Dane osobowe
Za cudze nazwisko w poście na e-forum może grozić kara. Precedensowy wyrok

Ostatecznie do podobnych wniosków doszedł NSA. Jeśli chodzi o meritum sprawy, to zgodził się, że dane logowania na profil społecznościowy, pozwalające następnie na wgląd w korespondencję na Messenger, jak i całość informacji, które znajdują się na tym komunikatorze, jak i samym Facebooku stanowią dane osobowe. Są to bowiem dane o osobie zidentyfikowanej, w tym także pod kątem informacji wrażliwych, np. w zakresie wyznania. WSA uznał, że w sprawie chodzi o częściowo zautomatyzowane przetwarzanie danych osobowych. Jednocześnie nieco nadmiarowo przesądził także, że mamy w niej do czynienia ze zbiorem danych. Te oceny nie zostały skutecznie podważone. Niezależnie od tego NSA stanowisko sądu pierwszej instancji w tym zakresie podzielił. Zdaniem NSA w spornym przypadku nie udało się również wykazać, że te dane osobowe i profil wyświetlił się na ekranie niejako automatycznie. Nie kwestionował co prawda, że były pracownik sam zostawił swoje dane logowania na urzędowym komputerze i wskutek jego późniejszego uruchomienia mogło dojść do pojawienia się na ekranie automatycznego logowania na stronę profilu społecznościowego. Niemniej nie przekonało go tłumaczenie, że niejako automatycznie na ekranie mogły się pojawić dwie rozmowy sprzed pewnego okresu i pracownik, który zajmował się sprzętem, mógł niejako automatycznie się z tą korespondencją zapoznać. Nie zostało to w żaden sposób wykazane i przeczy temu doświadczenie życiowe. W ocenie NSA także fakt wydruku rozmów – czyli ich wydrukowanie i przekazanie piastunowi organu – świadczy o przetwarzaniu danych osobowych. Jak bowiem tłumaczył sędzia sprawozdawca Maciej Kobak, NSA nie ma żadnych wątpliwości, że w sprawie doszło do pozyskania i przetwarzania danych osobowych. A podstaw prawnych w RODO, które by te działania legitymizowały, sąd się nie dopatrzył. Wyrok jest prawomocny.

Sygnatura akt: III OSK 2508/25

Opinia dla „Rzeczpospolitej”

prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy

Wyrok NSA, jak i decyzja Prezesa UODO, słusznie potwierdzają, że zakres stosowania oraz wymagania RODO dotyczą danych osobowych ze sfery prywatnej pracownika dostępnych z urządzeń służbowych w zakładzie pracy. Każda z operacji w tej sprawie objęta była mocą RODO, począwszy od użycia pozostawionych danych do logowania na „prywatnym” koncie w portalu społecznościowym. Zresztą moim zdaniem ten pierwszy etap rzutował na niedopuszczalność późniejszego wykorzystania tych danych osobowych przez pracodawcę w relacjach z pracownikami, tym bardziej że doszło też do przetwarzania szczególnych kategorii danych. Jedyne do czego mam zastrzeżenia to zastosowanie zbyt łagodnej sankcji, ponieważ Prezes UODO tylko upomniał administratora czyli pracodawcę, a naruszenie istotnie ingerowało w sferę praw chronionych.