Przekazujemy w Państwa ręce newsletter, za pośrednictwem którego pragniemy poinformować o istotnych, w naszej ocenie, decyzjach Urzędu Ochrony Danych Osobowych i wydanych na ich podstawie orzeczeniach WSA i NSA, dotyczących kwestii przetwarzania przez pracodawcę danych osobowych byłych pracowników.
- Czy pracodawca może poinformować współpracowników i klientów o zakończeniu zatrudnienia z pracownikiem?
W dniu 29 maja 2025 roku Naczelny Sąd Administracyjny wydał wyrok, w którym stwierdził, że:
- Informowanie przez pracodawcę klientów o zakończeniu zatrudnienia przez pracownika, stanowi naruszenie art 5 ust. 1 lit c i art. 6 RODO, jako udostępnienie tych danych osobie nieuprawnionej, niebędącej pracownikiem spółki.
- Informowanie przez pracodawcę współpracowników o zakończeniu zatrudnienia przez pracownika znajduje uzasadnienie w art. 6 ust. 1 lit. f RODO i jest zasadne oraz dopuszczalne.
W stanie faktycznym sprawy, w dniu 26 lutego 2019 r. bezpośredni przełożony skarżącego, w wiadomości skierowanej do podlegających mu pracowników z tej samej komórki organizacyjnej spółki poinformował, że „w związku z rezygnacją z pracy na stanowisku M.S. na rzecz własnego pomysłu na życie, proszę o uwzględnienie powyższego w grafiku na marzec 2019”. Informacja ta, zawierająca jedynie dane osobowe skarżącego w postaci wyłącznie jego imienia i nazwiska, miała na celu zabezpieczenie ciągłości pracy spółki (ustalenie grafiku). Wśród adresatów tej wiadomości znalazł się omyłkowo klient spółki. Spółka niezwłocznie po wykryciu tej omyłki, wysłała do tego klienta kolejną wiadomość z prośbą o usunięcie poprzedniej, jako skierowanej omyłkowo, a adresat potwierdził usunięcie wiadomości email. Pracownik, którego dotyczyła ta wiadomość e-mail wniósł skargę do PUODO twierdząc, że spółka w sposób nieuprawniony przekazała jego dane osobowe współpracownikom i klientowi.
Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie w zakresie przekazania ww. danych klientowi spółki i nałożył za to na spółkę karę upomnienia. Zaś co do przekazania danych współpracownikom, PUODO nie znalazło podstaw do ukarania spółki. Skarżący odwołał się od tej decyzji do WSA, które podtrzymało decyzję i argumentację PUODO. Skarżący wniósł od takiego rozstrzygnięcia skargę kasacyjną do Naczelnego Sądu Administracyjnego.
W dniu 29 maja 2025 roku NSA wydało wyrok (sygn. akt: III OSK 1018/22), w którym NSA podzielił wywody z uzasadnienia zaskarżonego wyroku, że udostępnienie danych osobowych skarżącego w mailu skierowanym do pracowników Spółki znajduje uzasadnienie w art. 6 ust. 1 lit. f RODO. Natomiast udostępnienie tych danych osobie spoza Spółki, zasadnie należało uznać za naruszenie przez spółkę art. 5 ust. 1 lit. c (zasada adekwatności i minimalizacji danych) oraz art. 6 ust. 1 RODO (brak podstaw/przesłanek do dokonania takiej czynności przetwarzania).
W naszej ocenie, w świetle powyższego wyroku NSA (dość świeżego, więc należy również śledzić ewentualne komentarze do niego) bezpiecznym i rekomendowanym z punktu widzenia danych osobowych sposobem postępowania, jest – w przypadku zakończenia współpracy z pracownikiem, który np. odpowiadał za kontakt z danym klientem – nie informowanie tego klienta o tym, że z pracownikiem tym została zakończona współpraca, ale informowanie, że od określonego dnia nową osobą odpowiedzialną za kontakt będzie Pan/Pani X (czyli poprzestanie na poinformowaniu o nowej osobie do kontaktu, a nie informowaniu o tym, co stało się z poprzednikiem).
- Czy po zakończeniu zatrudnienia pracownika, należy usunąć jego służbowy adres e-mail?
Kwestią tą zajmował się Wojewódzki Sąd Administracyjny w wyroku z dnia 21 lutego 2024 r., sygn. akt: II SA/Wa 1007/23 (który to wyrok jest już prawomocny).
WSA stwierdził, że adres e-mail byłego pracownika zawierający pierwszą literę imienia i nazwisko, stanowi danę osobową. Adres e-mail miał charakter służbowy i był przez pracownika wykorzystywany w ramach działalności spółki, a przez to skrzynka pocztowa zawierała ważną dla relacji biznesowych pracodawcy korespondencję z kontrahentami, klientami czy też innymi podmiotami zainteresowanymi podjęciem współpracy handlowej. Jednak w ocenie WSA powyższe okoliczności nie uzasadniają dalszego (nieustającego / w nieskończoność) przetwarzania ww. adresu e-mail w szerszym zakresie niż jest to niezbędne dla zachowania dotychczasowych kontaktów handlowych.
W uzasadnieniu wyroku czytamy, że „Spółka jako administrator adresu poczty elektronicznej związanego z jej działalnością gospodarczą ma dostęp do jej zawartości. Jednakże imienne oznaczenie elektronicznej skrzynki pocztowej przypisanej do uczestnika postępowania (pierwszą literą jego imienia i nazwiskiem), stanowiące dane osobowe podlegające przepisom RODO, implikuje – w sytuacji zakończenia stosunku pracy uczestnika postępowania – konieczność usunięcia takiego adresu skrzynki, np. poprzez zastąpienie go innym oznaczeniem. Zachowanie ww. adresu e-mail (nawet zdezaktywowanego) nie jest niezbędne do kontynuacji prowadzonych uprzednio przez uczestnika postępowania działań na rzecz podtrzymania więzi handlowych lub pozyskania nowych kontrahentów / klientów spółki. Co więcej, może ono wprowadzać w błąd, że uczestnik postępowania nadal jest zatrudniony w spółce. Zatem sama dezaktywacja spornego adresu nie jest wystarczająca. Trafnie zauważył PUODO, iż skarżąca powinna wdrożyć rozwiązanie automatycznie informujące nadawców wiadomości, że (…) nie jest już aktualnym adresem do prowadzenia z nią korespondencji. Natomiast chybiony jest wywód spółki, iż wykorzystanie ww. oznaczenia uniemożliwi założenie elektronicznej skrzynki pocztowej o tym samym adresie w sytuacji, gdy skarżąca zatrudni osobę o takim samym imieniu i nazwisku jak uczestnik postępowania, co z kolei zapobiegnie ewentualnemu i nieuprawnionemu dostępowi nowego pracownika do korespondencji byłego pracownika. Taka argumentacja, oparta na wysoce hipotetycznym założeniu, nie tylko nie przemawia za spełnieniem warunku „niezbędności do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora” z art. 6 ust. 1 lit. f RODO, ale wręcz sugeruje możliwość pomylenia przez spółkę danych osobowych w przypadku zatrudnienia osób o takich samych imionach i nazwiskach.”
WSA podtrzymał więc argumentację i decyzję PUODO, stwierdzającą, że naruszenie, jakiego dopuściła się spółka, polegało na wykorzystywaniu służbowego adresu e-mail uczestnika postępowania (byłego już pracownika) przez okres dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane przez spółkę. Takie zaś działanie skarżącej godziło w następujące zasady przetwarzania danych osobowych: zgodności z prawem, rzetelności i przejrzystości; minimalizacji danych oraz ograniczenia przechowywania i słusznie – w ocenie WSA – spotkało się z zastosowaniem przez PUODO uprawnienia naprawczego, polegającego na nakazaniu spółce usunięcie danych osobowych uczestnika postępowania w zakresie adresu e-mail.
Wnioski płynące z powyższego orzeczenia mają więc również istotne znaczenie praktyczne, w sytuacji zakończenia zatrudnienia przez pracownika.
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.