Czy pracodawca ma prawo przetwarzać informacje o opublikowanych w internecie krytycznych wpisach, których autorem jest pracownik, w celu zdyscyplinowania podwładnego, m.in. przeciwdziałaniu ew. naruszeniu dóbr zakładu pracy? Czy wykorzystanie danych pracownika będącego klientem — jeśli pracodawcą jest bank, a pracownik wziął kredyt w swoim banku — oznacza niedopuszczalny przepływ danych pomiędzy dwoma różnymi bazami? Czy pracodawca, który nie odróżnia spraw pracowniczych i konsumenckich, może zostać napomniany za nieprawidłowości w przetwarzaniu danych osobowych? I przy okazji: czy PUODO może analizować, czy działania pracodawcy zmierzają do cenzurowania niezadowolonych pracowników? (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 20 marca 2024 r., II SA/Wa 1129/23).
Sprawa dotyczyła pracownika banku i równocześnie kredytobiorcy będącego w sporze z bankiem, który opisał w internecie swoje perypetie, po czym złożył reklamację dotyczącą produktu. Po otrzymaniu reklamacji z pracownikiem przeprowadzono rozmowę dyscyplinującą, w której zwrócono uwagę na naruszenie dobrego imienia pracodawcy oraz ujawnienie danych pracownika zajmującego się reklamacją.
Zdaniem zainteresowanego wykorzystanie przez pracodawcę danych pracownika będącego klientem banku oznaczało naruszenie tajemnicy bankowej — w rozmowie udział wziął pracownik działu kadr, który nie powinien mieć wiedzy o produktach, z których korzysta jako klient — zaś wykorzystanie jego danych jako składającego reklamację konsumenta w relacji służbowej było sprzeczne z RODO, zatem wniósł skargę do PUODO.
W wydanej decyzji urząd stwierdził, że bank nie miał prawa wykorzystywać danych klienta w związanych z obsługą kredytu i reklamacji w celach związanych z zatrudnieniem. Stwierdzając, iż działanie banku-pracodawcy prowadziło do łączenia danych z dwóch rozbieżnych baz — reklamacji i pracowników — PUODO udzielił administratorowi upomnienia za brak podstawy pozwalającej na przetwarzanie danych osobowych.
W skardze na upomnienie bank zarzucił, iż podstawą prawną przetwarzania danych jest przepis kodeksu pracy nakazujący pracownikowi dbałość o dobro zakładu pracy, pracownik dobrowolnie poinformował bank — w złożonej reklamacji — o treści swoich wpisów, a więc bank miał prawo je przetwarzać, zaś tak czy inaczej zmiana celu przetwarzania danych jest dopuszczalna (art. 6 ust. 4 RODO). Co więcej PUODO jako organ ochrony danych osobowych nie jest właściwy oceniać zarzutów dotyczących rzekomego naruszenia tajemnicy bankowej.
art. 100 par. 2 pkt 4 i 6 kodeksu pracy
Pracownik jest obowiązany w szczególności:
4) dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę;
6) przestrzegać w zakładzie pracy zasad współżycia społecznego.
art. 6 ust. 1 lit. f) RODO
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W odpowiedzi na tę skargę PUODO podkreślił, że żaden pracodawca nie może zakazywać swoim pracownikom publicznego wyrażania opinii konsumenckich, a ponieważ taka krytyka nie jest zakazana, nie było podstawy do przekazania danych związanych z reklamacją do działu kadr. Treści komentarzy nie skutkowały naruszeniem dóbr osobistych banku, a więc nie można mówić o naruszeniu obowiązków pracowniczych, toteż prawna podstawa do przetwarzania danych zaistniała tylko teoretycznie.
Odnosząc się do argumentów stron WSA stwierdził, że bank od początku wiedział, że klientem jest jego pracownik: raz, że była to specjalna oferta dla pracowników, dwa, że bank ma prawo, a nawet powinien przetwarzać informacje, iż jego własny pracownik jest kredytobiorcą, a to choćby ze względu na możliwość zapobieżenia nadużyciom i wychwytywania nieprawidłowości. Co więcej zgodnie z przyjętymi procedurami reklamacja złożona przez takiego klienta musi być rozpatrzona przez osobę niezwiązaną służbowo, koleżeńsko lub rodzinnie, przez co zarzut bezprawnego transferu danych klientów i pracowników banku jest nietrafny. Nie można także nie zauważać, że klient-pracownik sam poinformował swego kredytodawcę-pracodawcę o wpisach w internecie, ujawniając przy tym swą tożsamość jako ich autora — a przecież nie można mieć bankowi za złe tego, że przeczytał dotyczące go komentarze. (Zaś tak czy inaczej pracodawca ma prawo przetwarzać dane swych pracowników, w zakresie wynikającym z art. 100 kp, w oparciu o przesłankę niezbędności do prawnie uzasadnionego celu.)
Uchylając zaskarżoną decyzję WSA zwrócił uwagę, że PUODO nie jest kompetentny do oceny naruszenia tajemnicy bankowej, „cenzurowania” pracowników-klientów przez pracodawców, ograniczania prawa do publicznego wyrażania krytycznych opinii — jak też kwestii naruszenia dóbr osobistych pracodawcy przez pracownika. Kompetencje organu nadzorczego sięgają wyłącznie oceny przestrzegania przepisów o ochronie danych osobowych, zatem urząd miał wyłącznie prawo badać, czy wykorzystanie przez bank danych pracownika będącego klientem nie jest sprzeczne z RODO, zaś wyjście poza tę materię jest niedopuszczalne.