Wojewódzki Sąd Administracyjny niedawno zajął się ciekawą sprawą, w której pracownik banku (jednocześnie klient) opublikował krytyczne komentarze na jego temat w mediach społecznościowych. Bank w odpowiedzi powziął działania dyscyplinujące wobec pracownika. Jak się zakończyła ta sprawa?
Kontekst sprawy
Do Prezesa UODO wpłynęła skarga pracownika banku, będącego równocześnie jego klientem, który znajdował się w sporze konsumenckim z tymże bankiem. Opisał on swoje doświadczenia w mediach społecznościowych, a następnie złożył reklamację dotyczącą produktu. Po otrzymaniu reklamacji przeprowadzono z nim rozmowę dyscyplinującą, w której zwrócono uwagę na naruszenie dobrego imienia pracodawcy. Wedle skarżącego, wykorzystanie przez pracodawcę danych pracownika będącego klientem banku oznaczało naruszenie tajemnicy bankowej. W rozmowie uczestniczył pracownik działu kadr, który nie powinien mieć dostępu do informacji o produktach, z których korzysta jako klient. Ponadto, wykorzystanie jego danych jako składającego reklamację konsumenta w relacji służbowej było sprzeczne z RODO, dlatego wniósł skargę do PUODO.
UODO w swojej decyzji stwierdził, że doszło do transferu danych osobowych skarżącego pomiędzy zbiorem danych klienta banku, a zbiorem danych dotyczących jego zatrudnienia wewnątrz tej samej organizacji. Przełożony skarżącego oraz pracownik działu kadr posiadali wiedzę na temat wpisów skarżącego w Internecie, uznali, że naruszają one dobre imię pracodawcy i podjęli wobec niego pewne działania. Aby przełożony skarżącego mógł ocenić jego działania, musiał mieć wiedzę na temat konkretnych wpisów na portalach społecznościowych. W związku z tym pracodawca uzyskał dane osobowe zawarte w tych wpisach, takie jak informacje o umowie kredytowej, sporze konsumenckim i roszczeniach wobec banku. UODO podkreślił, że pracodawca jako administrator danych osobowych skarżącego w relacji służbowej powinien mieć legalną podstawę do przetwarzania tych danych do celów służbowych. Wedle UODO bank nie miał jednak żadnych podstaw do takiego działania i jego postępowanie było niedopuszczalne.
Argumenty banku i PUODO
Bank oczywiście odwołał się od decyzji PUODO. Argumentował, że podstawą prawną przetwarzania danych jest przepis kodeksu pracy, który nakazuje pracownikowi dbać o dobro zakładu pracy. Bank wskazał, że pracownik dobrowolnie poinformował go o treści swoich wpisów w złożonej reklamacji, co uprawniało bank do ich przetwarzania. Ponadto bank podkreślił, że zmiana celu przetwarzania danych jest dopuszczalna na mocy art. 6 ust. 4 RODO. Bank również stwierdził, że PUODO, jako organ ochrony danych osobowych, nie jest właściwy do oceny zarzutów dotyczących rzekomego naruszenia tajemnicy bankowej.
W odpowiedzi na te zarzuty PUODO wskazywał, że żaden pracodawca nie może zakazywać swoim pracownikom publicznego wyrażania opinii konsumenckich. Ponieważ taka krytyka nie jest zabroniona, nie było też podstaw do przekazania danych związanych z reklamacją do działu kadr. Komentarze nie naruszały dóbr osobistych banku, więc nie można mówić o naruszeniu obowiązków pracowniczych. W związku z tym prawna podstawa do przetwarzania danych istniała jedynie teoretycznie.
Stanowisko WSA
WSA w swoim wyroku nie zgodził się z argumentacją PUODO. Odnosząc się do argumentów stron, WSA stwierdził, że bank od początku wiedział, że klientem jest jego pracownik. Po pierwsze, była to specjalna oferta dla pracowników. Po drugie, bank ma prawo, a nawet powinność przetwarzać informacje o tym, że jego pracownik jest kredytobiorcą, aby zapobiegać nadużyciom i wychwytywać nieprawidłowości. Ponadto zgodnie z przyjętymi procedurami, reklamacja złożona przez takiego klienta musi być rozpatrzona przez osobę niezwiązaną służbowo, koleżeńsko lub rodzinnie. W związku z tym zarzut bezprawnego transferu danych klientów i pracowników banku WSA uznał za niezasadny.
WSA podkreślił, że PUODO nie ma kompetencji do oceny naruszenia tajemnicy bankowej, „cenzurowania” pracowników-klientów przez pracodawców, ograniczania prawa do publicznego wyrażania krytycznych opinii ani kwestii naruszenia dóbr osobistych pracodawcy przez pracownika. Kompetencje organu nadzorczego ograniczają się wyłącznie do oceny przestrzegania przepisów o ochronie danych osobowych. W związku z tym urząd miał prawo jedynie badać, czy wykorzystanie danych pracownika będącego klientem przez bank jest zgodne z RODO, a wykraczanie poza tę sferę jest niedopuszczalne. Biorąc pod uwagę powyższe, WSA uchylił zaskarżoną decyzję.
Granice kompetencji UODO
UODO w swoich decyzjach może badać, czy przepisy o ochronie danych osobowych nie zostały naruszone, jeśli więc sprawa wykracza poza ten zakres – nie powinien dokonywać w tym zakresie rozstrzygnięć. WSA nie wskazał więc, czy zostały przekroczone granice swobody wypowiedzi przez pracownika a jedynie ustalił, że UODO powinno ponownie, tym razem poprawnie – wydać swoją decyzję.
Źródło:
https://orzeczenia.nsa.gov.pl/doc/51FAC83509
