Przekazanie pracodawcy danych osobowych pracownika, który użył służbowego maila do celów prywatnych, stanowi naruszenie przepisów RODO. Istotne jest, że nie ma znaczenia, czy pracodawca już posiadał te konkretne dane; kluczowe jest sam sposób ich przetwarzania.
Zasadniczo służbowa skrzynka mailowa jest przeznaczona do celów zawodowych, a jej użycie w celach prywatnych jest zabronione, często nawet zakazane przez pracodawców. Mimo to pracownicy często korzystają z niej do załatwiania prywatnych spraw. Jednak zgłaszanie takiego „nadużycia” może prowadzić do poważnych konsekwencji. Okazuje się, że przekazanie danych osobowych pracownika, który użył służbowego maila do celów prywatnych pracodawcy, jest naruszeniem RODO, podlegającemu karom. Potwierdza to wyrok Naczelnego Sądu Administracyjnego (NSA).
Przykładem takiego przypadku jest sytuacja spółdzielni mieszkaniowej, która wszczęła kontrowersję z jednym ze swoich członków. W konkretnym przypadku chodziło o korespondencję dotyczącą rozliczeń finansowych oraz uchwał podjętych przez radę nadzorczą spółdzielni. Z dokumentów wynikało, że właściciel jednego z mieszkań korespondował w tej sprawie ze spółdzielnią, używając do tego służbowego adresu e-mail szpitala wojewódzkiego, w którym był zatrudniony. W ten sposób spółdzielnia uzyskała jego dane osobowe, takie jak imię, nazwisko i adres zamieszkania.
Problem polegał na tym, że spółdzielnia wysyłała odpowiedzi na jedno z pism właściciela mieszkania również do pracodawcy, czyli szpitala. Powodem tego było wykorzystanie służbowego adresu e-mail do celów niezwiązanych z obowiązkami zawodowymi.
Prezes spółdzielni otrzymał skargę od głównego adresata, który zażądał zaprzestania przetwarzania jego danych osobowych. Po odmowie prezesa spółdzielni, skarżący skutecznie złożył skargę do prezesa Urzędu Ochrony Danych Osobowych (UODO).
Prezes UODO zwrócił uwagę na konieczność zgodności przetwarzania danych osobowych z prawem. Oznacza to, że administrator danych musi mieć przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Dane osobowe muszą być zbierane w jasno określonych celach, nie mogą być przetwarzane w sposób niezgodny z tymi celami, oraz muszą być adekwatne, stosowne i ograniczone do niezbędnego zakresu.
Urzędnicy stwierdzili, że spółdzielnia, udostępniając dane osobowe członka spółdzielni szpitalowi, przekroczyła zakres celu, w którym te dane zostały pozyskane. Zaznaczyli, że spółdzielnia nie podała podstawy prawnej udostępnienia danych pracodawcy właściciela mieszkania. UODO uznało, że udostępnienie danych związane z „wykorzystaniem służbowego maila dla celów niezwiązanych z obowiązkami służbowymi” nie mieści się w pierwotnym celu przetwarzania, a także nie było konieczne dla udzielenia odpowiedzi przez spółdzielnię. To oznacza, że spółdzielnia złamała przepisy RODO. Na szczęście dla niej skończyło się tylko na upomnieniu, chociaż zgodnie z przepisami UODO mogła również ponieść kary finansowe, których wysokość zależy od okoliczności indywidualnej sprawy.
W kwestii żądania, aby spółdzielnia opublikowała pisemne przeprosiny w lokalnej gazecie, UODO skierował „poszkodowanego” do sądu powszechnego.
Taki rozwój sytuacji nie zadowalał spółdzielni. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie twierdziła, że to uczestnik postępowania był inicjatorem korespondencji za pośrednictwem służbowej skrzynki e-mail i to on zaangażował swojego pracodawcę w sprawę. Argumentowano, że kontekst, w jakim przetwarzano jego dane, wynikał z jego celowego działania i autonomii. Spółdzielnia stwierdziła, że chciał on podkreślić doniosłość swojego stanowiska, korzystając z autorytetu instytucji, w której pracuje. Dodatkowo, jak tłumaczyła spółdzielnia, przekazane dane były dostępne również szpitalowi, jako pracodawcy.
Jednakże ta linia obrony nie przekonała Wojewódzkiego Sądu Administracyjnego w Warszawie, a ostatecznie także sądu kasacyjnego. NSA, odrzucając skargę kasacyjną spółdzielni, zgodził się, że jej działanie było formą przetwarzania danych osobowych poprzez ich „udostępnienie”. Nie miało znaczenia, że kontrowersyjne dane już znajdowały się w dyspozycji szpitala, będąc znanymi mu jako pracodawcy i administratorowi adresu e-mail, z którego pracownik korzystał w korespondencji ze spółdzielnią.
NSA w wyroku III OSK 2816/22 podkreślił, że zgodnie z art. 4 pkt 2 RODO pojęcie przetwarzania ma znacznie szerszy zakres niż jego potoczne rozumienie. Prawne pojęcie przetwarzania obejmuje wszelkie operacje na danych, mające na celu zapewnienie ochrony w odniesieniu do różnorodnych działań na danych, począwszy od gromadzenia, aż do usuwania. W kontekście spornego przypadku przekazanie danych osobowych przez spółdzielnię szpitalowi zostało uznane za niezautomatyzowaną operację na danych osobowych, co stanowiło ich udostępnienie.
Sąd zauważył, że celem RODO, jest ochrona poufnych danych osobowych przed nieuprawnionym do nich dostępem. Zwłaszcza, że przesyłający lub udostępniający dane osobowe z reguły nie wie czy ten któremu przesyła lub udostępnia dane osobowe jest już w ich posiadaniu. Ponadto w ocenie NSA za uznaniem „udostępnienia” danych osobowych w spornym przypadku za przetwarzanie danych osobowych przemawia też orzecznictwo unijne. Wynika z niego bowiem, że „przetwarzanie” danych osobowych należy interpretować szeroko.
Wyrok jest prawomocny.