>Decyzje Giodo>2010 >

DIS/DEC- 902/27600/10 dot. DIS-K-421/146/07

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 8 lipca 2010 r.

D E C Y Z J A
 

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), w związku z art. 154 § 1 Kpa, po przeprowadzeniu postępowania w sprawie uchylenia decyzji administracyjnej z dnia 22 lutego 2008 r. (sygn. DIS/DEC-134/4605/08) wydanej wobec Spółki,

umarzam postępowanie w niniejszej sprawie

Uzasadnienie

W dniu 18 maja 2010 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Spółki (dalej: Spółka), reprezentowanej przez radcę prawnego Pana C, o uchylenie decyzji z dnia 22 lutego 2008 r. sygn. DIS/DEC-134/4605/08.
Zdaniem wnioskodawcy wystąpiły przesłanki przemawiające za uchyleniem decyzji z dnia 22 lutego 2008 r. sygn. DIS/DEC-134/4605/08, gdyż organ może uchylić decyzję, gdy przemawia za tym interes społeczny lub słuszny interes strony. W dacie orzekania w przedmiotowej sprawie przez Generalnego Inspektora, poza zgodą pracowników na przetwarzanie danych biometrycznych nie występowała kolejna przesłanka legalizacyjna, która występuje obecnie. W dniu 25 lutego 2009 r. został bowiem wprowadzony w Spółce nowy regulamin pracy. W § 9 tego regulaminu postanowiono, iż pracownik potwierdza przybycie do pracy za pomocą karty magnetycznej lub poprzez zeskanowanie punktów charakterystycznych linii papilarnych na specjalnie do tego przeznaczonych czytnikach. Regulamin pracy – jak wskazano w ww. wniosku - ustanowiony przez
pracodawcę zgodnie z art. 104³ Kodeksu pracy, stanowi źródło prawa pracy, w świetle art. 9 § 1 Kodeksu pracy. Art. 104 § 1 pkt 9 Kodeksu pracy przewiduje konieczność ustalenia w regulaminie pracy przyjętego u danego pracodawcy sposobu potwierdzania przez pracowników przybycia i obecności w pracy. Obowiązek przestrzegania regulaminu pracy przez pracownika wynika wprost z art. 100 § 2 pkt 2 Kodeksu pracy. Konieczność udostępnienia przez pracownika jego danych osobowych (danych biometrycznych) wynika więc wprost z przepisu prawa. Stosownie bowiem do art. 22¹ § 4 Kodeksu pracy, pracodawca może żądać od pracownika innych danych , niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów, zaś treść art. 22¹ § 4 Kodeksu pracy koresponduje z treścią art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Pełnomocnik Spółki wskazał również na kolejną okoliczność przemawiającą - w jego opinii - za uchyleniem ww. decyzji: w momencie instalowania systemu rejestracji czasu pracy opartego o dane biometryczne nie istniały żadne wyroki sądów administracyjnych, które mogłyby stanowić dla Spółki wskazówkę, że korzystanie z tego systemu jest niedopuszczalne. Jednocześnie podkreślił, iż dane biometryczne pracowników zostały już pobrane i nie zgłaszali oni żadnych skarg na naruszenie ich praw wynikających z ochrony danych osobowych.
Ponadto, pełnomocnik Spółki wyjaśnił, iż wszyscy pracownicy, od których pobrano dane biometryczne, wyrazili na to pisemną zgodę. Pracodawca uprzednio pouczył pracowników, że pobranie danych ma charakter dobrowolny. Przesłankę przetwarzania tych danych stanowi zatem zgoda, o której mowa w art. 23 ust. 1 pkt 1 ustawy. Pracownicy, którzy nie wyrazili takiej zgody korzystają z innych sposobów rejestracji wejść i wyjść.
Pismem z dnia 25 maja 2010 r. (sygn. DIS-K-421/146/07/21522/10) Generalny Inspektor poinformował pełnomocnika Spółki o wszczęciu postępowania administracyjnego w sprawie uchylenia decyzji z dnia 22 lutego 2008 r. sygn. DIS/DEC-134/4605/08. W odpowiedzi, pełnomocnik Spółki w piśmie z dnia 1 czerwca 2010 r. podtrzymał stanowisko w sprawie i podkreślił, że obowiązujące przepisy prawa nie dają podstaw do kwestionowania zgody pracownika na przetwarzanie jego danych biometrycznych. Jednocześnie wskazał, iż dokonywanie interpretacji przepisów o charakterze powszechnym w taki sposób, że wyłącza się spod ich działania określone kategorie podmiotów, wykracza poza kompetencje organu administracji i stanowi działanie bez podstawy prawnej, względnie – z rażącym naruszeniem prawa. Do ww. pisma pełnomocnik Spółki załączył kopię obowiązującego w Spółce Regulaminu pracy. Pełnomocnik wskazał również, iż z regulaminu wynika, że możliwość wyboru przez pracowników sposobu potwierdzania obecności w pracy. Wobec powyższego, pracownik, który zdecyduje się na korzystanie z określonego w Regulaminie pracy systemu rejestracji czasu pracy, zobowiązany jest do udostępnienia swoich danych osobowych (biometrycznych). Umieszczenie takiego zapisu w Regulaminie pracy powoduje, że konieczność udostępnienia danych osobowych (danych biometrycznych) wynika z przepisu prawa.
Po zapoznaniu się z przedstawioną przez Spółkę argumentacją i przeanalizowaniu okoliczności sprawy Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: W dniu 24 kwietnia 2008 r. Generalny Inspektor Ochrony danych Osobowych wydał decyzję sygn. DIS/DEC-254/10616/08 utrzymującą w mocy decyzję z dnia 22 lutego 2008 r. sygn. DIS/DEC-134/4605/08 (punkt I.1 oraz I.2) nakazującą Spółce usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1) usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki w terminie 14 dni od dnia, w którym decyzja stanie się ostateczna, 2) zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki w terminie od dnia, w którym decyzja stanie się ostateczna.
W związku ze skargą na decyzję Generalnego Inspektora Ochrony Danych z dnia 24 kwietnia 2008 r. sygn. DIS/DEC-254/10616/08 wniesioną przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wyrokiem z dnia 27 listopada 2008 r. (sygn. akt II SA /Wa
903/08) wskazana decyzja została uchylona. Na skutek skargi kasacyjnej złożonej przez Generalnego Inspektora, Naczelny Sąd Administracyjny uchylił w dniu 2 grudnia 2009 r. zaskarżony wyrok i oddalił skargę Spółki. Tym samym decyzja z dnia 24 kwietnia 2008 r. sygn. DIS/DEC-254/10616/08 i poprzedzająca ją decyzja z dnia 22 lutego 2008 r. sygn. DIS/DEC- 134/4605/08 zostały utrzymane w mocy.
Na skutek wniosku złożonego przez pełnomocnika Spółki o uchylenie decyzji z dnia 22 lutego 2008 r. sygn. DIS/DEC-134/4605/08 zostało przeprowadzone postępowanie w sprawie,
które wykazało, iż nie zachodzą przesłanki do uchylenia tej decyzji.
Organ administracji orzekający w trybie art. 154 Kpa przeprowadza kontrolę wydanej decyzji ostatecznej, badając jedynie, czy za uchyleniem przemawia interes społeczny lub słuszny interes strony (wyrok NSA z 13 sierpnia 1997 r., III SA 854/96). Organ nie jest uprawniony do ponownego merytorycznego rozpatrywania sprawy (wyrok NSA z 24 października 2000 r., III SA 2468/99). Badanie interesu społecznego i słusznego interesu strony nie może polegać na ocenie prawidłowości zastosowania przepisów prawa przy wydawaniu decyzji ostatecznej. W przeciwnym wypadku wszczęcie postępowania z art. 155 kpa stawałoby się konkurencyjne dla zwykłego trybu postępowanie. Tymczasem tryb postępowania przewidziany w art. 154 i 155 kpa, służy generalnie organom administracji do usuwania takich decyzji ostatecznych, które organy te uważają za niecelowe bądź sprzeczne z zakreśloną linią postępowania w sprawach danego rodzaju (wyrok NSA z 13 grudnia 1996 r., III SA 1214/95).
Zaprezentowana przez pełnomocnika Spółki argumentacja dotycząca podstaw prawnych przetwarzania danych biometrycznych pracowników Spółki nie może zatem zostać uwzględniona przy rozpatrywaniu niniejszej sprawy. Prowadziłoby to bowiem do ponownej oceny ww. decyzji w zakresie jej merytorycznego rozstrzygnięcia i oceny prawidłowości zastosowania przepisów prawa przy jej wydawaniu. Ponadto, należy wskazać, iż zmiana okoliczności polegająca na wprowadzeniu nowego regulaminu pracy zawierającego przepisy dotyczące przetwarzania danych biometrycznych pracowników nie ma wypływu na ocenę decyzji wydanej w innym stanie faktycznym.
Należy również podkreślić, ze uchyleniu mogą ulec jedynie takie decyzje niewadliwe, które mają charakter uznaniowy lub przy wydaniu których organ administracji ma do wyboru pewną gamę rozstrzygnięć, z których każde jest zgodne z prawem (teza pierwsza wyroku NSA z 4 października 1999 r., IV SA 1459/97).
Stosowanie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. S.A./Sz 1029/97).
W orzecznictwie podkreśla się, że w przypadku braku przesłanek do uchylenia lub zmiany decyzji
w trybie art. 154 lub 155 Kpa organ administracji powinien wydać decyzję o umorzeniu postępowania jako bezprzedmiotowego (wyrok NSA z 15 lutego 1995 r., IV SA 1818/93 Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.