Państwowa Inspekcja Pracy wykorzystała ustawowe kompetencje do sprawdzenia PIT swojego pracownika. UODO uznał, że złamała ustawę o ochronie danych osobowych i RODO
Państwowa Inspekcja Pracy chciała sprawdzić, jakie dochody (poza pensją) otrzymuje jeden z inspektorów pracy. Instytucja może współpracować m.in. z urzędami skarbowymi, więc poprosiła o dane zawarte w deklaracjach PIT-37 pracownika. Ten złożył skargę do Urzędu Ochrony Danych Osobowych na działanie swojego pracodawcy. 19 września 2019 r. prezes UODO nakazał inspekcji usunięcie danych z PIT byłego już inspektora pracy (został zwolniony 27 października 2017 r.). Jego zdaniem PIP naruszyła nie tylko ustawę o ochronie danych osobowych, ale też RODO. Nie miała prawa wykorzystywać swojej ustawowej kompetencji do weryfikowania dochodów pracownika. Może pozyskiwać informacje z PIT, ale tylko wtedy, gdy służy to kontroli pracodawców nadzorowanych przez inspekcję. PIP już odwołała się od tej decyzji.
Ile zarabia?
Wniosek o udostępnienie danych z deklaracji PIT został skierowany 26 września 2017 r. Główny inspektor pracy (GIP) wystąpił do Urzędu Skarbowego Łódź Górna (inspektor był zatrudniony w łódzkim okręgowym inspektoracie pracy). Z informacji UODO wynika, że podstawą prawną był art. 14 ust. 1 ustawy z 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (t.j. Dz.U. z 2019 r. poz. 1251). Zgodnie z nim przy realizacji swoich zadań PIP współdziała m.in. z organami Krajowej Administracji Skarbowej. GIP poprosił o dane z deklaracji PIT inspektora w latach 2015–2016, wysokości jego dochodów uzyskanych z praw autorskich oraz pozostałych źródeł, a także o informację, czy w latach 2015–2017 odnotowano wpływ o dochodach wystawionych przez konkretną firmę organizującą szkolenia m.in. z zakresu bhp (z woj. łódzkiego). Naczelnik US udostępnił dane z PIT inspektora i opatrzył je klauzulą „tajemnica skarbowa” (12 października 2017 r.). 27 października 2017 r. inspektor został zwolniony bez wypowiedzenia, nie z powodu danych pozyskanych z PIT, ale ze względu na ciężkie naruszenie obowiązków pracowniczych. Od dyscyplinarki odwołał się do sądu. Złożył też skargę do UODO w sprawie pozyskania jego danych z PIT (18 lipca 2018 r.). Urząd zwlekał z wydaniem decyzji, więc były inspektor złożył skargę na przewlekłość do wojewódzkiego sądu administracyjnego. Ostatecznie sąd pracy zdążył wydać prawomocne orzeczenie co do zasadności dyscyplinarki (uznano ją za zgodną z prawem), zanim jeszcze UODO przyznał, że PIP bezprawnie pozyskała dane z PIT pracownika. Sąd II instancji stwierdził, że samo zwracanie się do inspekcji o informację z PIT zwolnionego nie miało wpływu na ocenę materiału dowodowego w sprawie dotyczącej dyscyplinarki. Faktem jest jednak, że z powodu długiej procedury wydawania decyzji przez urząd nie miał nawet możliwości zapoznania się z jego opinią.
Prezes UODO uznał, że należy rozgraniczyć ustawowe uprawnienia PIP jako pracodawcy oraz jako organu kontrolującego innych. Te drugie są sprecyzowane w art. 10 ustawy i obejmują m.in. nadzór nad przestrzeganiem prawa pracy i kontrolę legalności zatrudnienia. Tylko w tym zakresie może ona współpracować z urzędami skarbowymi. Na podstawie art. 14 ustawy może więc pozyskiwać dane z PIT, ale tylko kontrolowanych pracodawców, a nie swoich własnych pracowników. Zdaniem UODO przepisy zezwalają inspekcji na uzyskanie takich danych tylko w ramach kontroli prowadzonej przez PIP. Co więcej, informacje o inspektorze są nadal przetwarzane przez inspekcję, więc naruszona została nie tylko ówcześnie obowiązująca ustawa o ochronie danych osobowych, ale też RODO (które weszło w życie 25 maja 2018 r.).
Bulwersująca sprawa
– Jak wskazuje prezes UODO, dane z PIT inspektora w ogóle nie powinny być pozyskane przez PIP. Co więcej, z decyzji wynika, że nie tylko główny inspektor pracy przekroczył ustawowe kompetencje, ale również przekazał dane i dopuścił do ich przetwarzania przez kolejne jednostki organizacyjne PIP, które nie miały do tego upoważnienia – wskazała Izabela Mrzygłocka, posłanka PO-KO.
W trakcie ostatniego posiedzenia Rady Ochrony Pracy przy Sejmie RP (nadzoruje ona działalność PIP) zadała serię pytań w omawianej kwestii do GIP.
– Czy za tak skandaliczną sprawę odpowiedzialność ponosi sam główny inspektor czy także osoby, które prowadziły to postępowanie ze strony inspekcji? – pytała w Sejmie.
PIP częściowo udzieliła odpowiedzi już na posiedzeniu ROP.
– Decyzja prezesa UODO zostanie zaskarżona. Uważam, że jest niesłuszna, nie naruszyliśmy żadnych przepisów. Nie wykorzystywaliśmy pozyskanych danych do zwolnienia pracownika – tłumaczył Wiesław Łyszczek, GIP.
Pytania do PIP w tej sprawie już wcześniej (9 października 2019 r.) skierował DGP. W odpowiedzi inspekcja wskazała, że decyzja prezesa UODO nie została wykonana, bo PIP zaskarżyła ją do WSA w Warszawie (wniesiono jednocześnie wniosek o wstrzymanie jej wykonania). Pozyskanie danych z US inspekcja uzasadnia tym, że jest uprawniona m.in. do kontroli legalności zatrudnienia w zakresie zawierania umów cywilnoprawnych (a w piśmie do US wskazywała nazwę firmy). Zdaniem PIP uprawnienie to nie wyklucza podejmowania działań przez głównego inspektora wobec osób zatrudnionych w inspekcji, nadzorujących lub wykonujących czynności kontrolne (chodzi o podejmowanie nielegalnego zatrudnienia u kontrolowanego pracodawcy). Nie odpowiedziała za to – choć jest do tego zobowiązana – na jedno z najistotniejszych pytań: czy GIP występował do urzędów skarbowych o udostępnienie danych z deklaracji PIT także innych inspektorów pracy (pytała o to także Izabela Mrzygłocka). Nadal nie wiemy więc oficjalnie, czy sprawdzono PIT-y także innych inspektorów pracy (a jeśli tak, to w ilu przypadkach). Na tę odpowiedź ze strony inspekcji wciąż czekamy.
Z drugiej strony
W tej sprawie DGP zadał też pytania UODO. Urząd nie nałożył kary na PIP, choć z jego decyzji wynika, że w omawianej sprawie doszło do naruszenia RODO, które przewiduje surowe sankcje.
– W sprawie, w której wydano decyzję, do naruszenia doszło przed okresem obowiązywania RODO. Zgodnie z powszechnie obowiązującą zasadą nieretroaktywności prawa, wywodzoną z zasady demokratycznego państwa prawa, nie można zastosować sankcji przewidzianych w nowych przepisach do zdarzeń, które miały miejsce przed rozpoczęciem ich stosowania. Oznacza to, że do oceny zdarzeń, które miały miejsce przed 25 maja 2018 r., prezes Urzędu zobligowany jest stosować przepisy ustawy z 1997 r. o ochronie danych osobowych – wskazał Adam Sanocki, rzecznik prasowy UODO.
To prawda, że do pozyskania danych z PIT doszło przed wejściem w życie RODO, ale sam prezes UODO w decyzji z 19 września 2019 r. podkreślił, że już w trakcie obowiązywania unijnego rozporządzenia doszło do niezgodnego z prawem przetwarzania danych. Rodzi to wątpliwości o to, czy urząd równie łagodnie postąpiłby z pracodawcą prywatnym, który pozyskałby nielegalnie – zdaniem UODO – dane z PIT swojego pracownika. W odpowiedzi na takie pytanie urząd podkreślił, że nie każde naruszenie przepisów o ochronie danych osobowych, zarówno przez podmiot prywatny, jak i publiczny, wiąże się ze skorzystaniem przez organ nadzorczy z uprawnienia do nałożenia kary pieniężnej.
– Przy podejmowaniu przez prezesa urzędu decyzji o zasadności nałożenia administracyjnej kary pieniężnej charakter prawny skarżonego podmiotu nie jest brany pod uwagę. Nie ma przesłanek, które pozwalałyby na odmienne traktowanie podmiotów publicznych od prywatnych na etapie decydowania o nałożeniu sankcji – podkreślił rzecznik UODO.
Autor: Łukasz Guza
Źródło: Dziennik Gazeta Prawna