Spis treści:
- Geneza sporu: od biurowej pomyłki do wyroku NSA
- Prawnie uzasadniony interes pracodawcy
- Rekomendacje dla pracodawców w świetle wyroku NSA
- Podsumowanie: rodo jako kompas, nie jako hamulec
Organ nadzorczy podkreślił, że przekazanie danych osobowych pracownika innym pracownikom w celu zapewnienia ciągłości pracy nie stanowiło naruszenia przepisów prawa. Opierało się na prawnie uzasadnionym interesie pracodawcy. Potwierdził to Naczelny Sąd Administracyjny, oddalając skargę pracownika.
W dynamicznym środowisku biznesowym zmiany kadrowe są nieuniknionym elementem cyklu życia każdej organizacji. Odejście pracownika, bez względu na przyczynę, inicjuje po stronie pracodawcy szereg działań: od formalnego zakończenia stosunku pracy po kluczową dla ciągłości biznesowej reorganizację zadań.
W centrum tych procesów znajduje się komunikacja, a konkretnie moment, w którym należy poinformować zespół o nowej sytuacji.
Krok ten, z pozoru czysto organizacyjny, stanowi jeden z najbardziej wrażliwych punktów na styku prawa pracy i ochrony danych osobowych.
Jak poinformować załogę, nie narażając się na zarzut naruszenia rodo? Jakie informacje można przekazać, a gdzie leży granica, której przekroczenie może skutkować odpowiedzialnością? Światło na te dylematy rzuca przełomowy wyrok Naczelnego Sądu Administracyjnego z 29 maja 2025 r. (III OSK 1018/22), który staje się kompleksowym przewodnikiem dla świadomych pracodawców i działów HR.
Geneza sporu: od biurowej pomyłki do wyroku NSA
Aby w pełni zrozumieć wagę omawianego orzeczenia, warto prześledzić jego drogę przez kolejne instancje. Sprawa wzięła swój początek od skargi byłego pracownika do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Pracodawca, po zakończeniu współpracy z pracownikiem, wysłał do pozostałych członków zespołu wiadomość e-mail. Zawierała ona imię i nazwisko odchodzącej osoby oraz informację o fakcie rozwiązania stosunku pracy. Z powodu błędu ludzkiego wiadomość ta, oprócz wewnętrznej listy dystrybucyjnej, została wysłana także na adres e-mailowy jednego z klientów firmy.
Prezes UODO, po przeprowadzeniu postępowania, doszedł do dwojakich wniosków. Po pierwsze, uznał, że samo poinformowanie pracowników o odejściu ich kolegi było działaniem legalnym. Organ nadzorczy przyjął, że pracodawca miał w tym zakresie prawnie uzasadniony interes. Po drugie – stwierdził, że przypadkowe ujawnienie tych danych podmiotowi zewnętrznemu (klientowi) stanowiło naruszenie ochrony danych. W konsekwencji na spółkę nałożono karę w formie upomnienia, zgodnie z art. 58 ust. 2 lit. b rodo.
Pracodawca, nie zgadzając się z decyzją w części dotyczącej naruszenia, odwołał się do Wojewódzkiego Sądu Administracyjnego w Warszawie. WSA w pełni podzielił jednak argumentację Prezesa UODO, oddalając skargę. Sąd podkreślił, że interes organizacyjny firmy usprawiedliwiał komunikację wewnętrzną, ale w żadnym stopniu nie legalizował ujawnienia danych na zewnątrz.
Finałem tej drogi sądowej była skarga kasacyjna do Naczelnego Sądu Administracyjnego, który ostatecznie podtrzymał stanowisko sądu niższej instancji i organu nadzorczego, kończąc tym samym spór i tworząc ważny precedens.
Prawnie uzasadniony interes pracodawcy
Fundamentem, na którym oparły się wszystkie organy i sądy w tej sprawie, jest konstrukcja prawnie uzasadnionego interesu administratora, określona w art. 6 ust. 1 lit. f rodo. Jest to jedna z najbardziej elastycznych, ale i wymagających przesłanek legalizujących przetwarzanie danych. Aby móc się na nią powołać, administrator musi przeprowadzić trzystopniowy test, zwany potocznie testem równowagi.
1. Identyfikacja interesu
Pierwszym krokiem jest precyzyjne zdefiniowanie interesu, który pracodawca chce zrealizować. Musi to być interes realny, konkretny i zgodny z prawem. W omawianej sprawie tym interesem była potrzeba zapewnienia ciągłości działania przedsiębiorstwa, płynnego podziału zadań po odejściu pracownika oraz uniknięcie chaosu organizacyjnego. Jest to interes wynikający wprost z obowiązków nałożonych na pracodawcę przez kodeks pracy (art. 94 pkt 2), który nakazuje mu organizować pracę w sposób efektywny.
2. Test niezbędności
Drugi etap to ocena, czy przetwarzanie danych (w tym przypadku – poinformowanie zespołu) jest niezbędne do osiągnięcia zidentyfikowanego celu. Niezbędność należy tu rozumieć jako istnienie racjonalnego związku między przetwarzaniem a celem. Pracodawca musi zadać sobie pytanie: czy istnieje inny, mniej inwazyjny w sferę prywatności pracownika sposób na osiągnięcie tego samego celu? W tym przypadku sądy uznały, że trudno wyobrazić sobie skuteczną reorganizację pracy bez wskazania, który konkretnie pracownik zakończył współpracę. Pozostawienie tej kwestii w sferze domysłów i plotek byłoby wprost przeciwskuteczne i generowałoby większe ryzyko dezinformacji.
3. Test równowagi
To kluczowy i najtrudniejszy etap. Pracodawca musi zważyć swój prawnie uzasadniony interes z interesami oraz podstawowymi prawami i wolnościami osoby, której dane dotyczą (byłego pracownika). Należy ocenić, czy prawa pracownika do ochrony jego danych i prywatności nie przeważają nad interesem firmy. W analizowanej sprawie szala przechyliła się na korzyść pracodawcy z kilku powodów. Po pierwsze, zakres ujawnionych danych był minimalny (imię, nazwisko, fakt odejścia). Po drugie, krąg odbiorców był ograniczony i ściśle związany z celem (inni pracownicy firmy, którzy potrzebowali tej wiedzy do dalszej pracy). Po trzecie, kontekst był czysto zawodowy. Uznano, że takie działanie nie narusza w sposób nadmierny prawa do prywatności pracownika, podczas gdy jego zaniechanie mogłoby realnie zaszkodzić organizacji.
Gdyby jednak komunikat zawierał np. informację o przyczynach zwolnienia, wynik testu równowagi byłby diametralnie inny. Interes pracodawcy w poinformowaniu zespołu o słabych wynikach kolegi czy o popełnionym przez niego naruszeniu praktycznie nigdy nie przeważy nad prawem pracownika do ochrony jego dobrego imienia, czci i prywatności.
Rekomendacje dla pracodawców w świetle wyroku NSA
Analiza orzeczenia NSA z 29 maja 2025 r. (III OSK 1018/22) pozwala sformułować kilka kluczowych rekomendacji dla pracodawców w zakresie komunikowania zmian kadrowych w zespole.
1. Fundamentalne znaczenie celu komunikatu.
Każdy komunikat o odejściu pracownika powinien być motywowany wyłącznie obiektywną i weryfikowalną potrzebą zapewnienia ciągłości pracy oraz reorganizacji zadań. Jego celem nie może być stygmatyzacja byłego pracownika czy publiczne analizowanie przyczyn zakończenia współpracy.
2. Rygorystyczne przestrzeganie zasady minimalizacji danych.
Treść komunikatu należy ograniczyć do zakresu informacji, który jest absolutnie niezbędny do osiągnięcia celu organizacyjnego. Oznacza to podanie imienia i nazwiska pracownika, zajmowanego przez niego stanowiska oraz daty, z którą zakończył on pracę. Kluczowe jest także wskazanie osoby przejmującej dotychczasowe obowiązki lub pełniącej funkcję punktu kontaktowego w danym zakresie.
3. Wyłączenie z komunikacji informacji wrażliwych i nieistotnych.
Należy kategorycznie powstrzymać się od przekazywania zarówno informacji dotyczących przyczyn i trybu rozwiązania umowy o pracę (np. zwolnienie dyscyplinarne), jak i subiektywnych ocen, opinii bądź jakichkolwiek innych szczegółów niezwiązanych bezpośrednio z celem komunikatu.
4. Zapewnienie bezpieczeństwa i poufności kanałów komunikacji.
Kluczową kwestią jest zagwarantowanie, że informacja zostanie przekazana wyłącznie uprawnionemu gronu odbiorców. Wymaga to wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak staranna weryfikacja list dystrybucyjnych i korzystanie z bezpiecznych, wewnętrznych platform komunikacyjnych, a także regularne szkolenia pracowników z zakresu ochrony danych.
5. Dokumentacja prawnie uzasadnionego interesu.
Dobrą praktyką jest posiadanie udokumentowanych podstaw dla podejmowanych działań. Przeprowadzenie i zarchiwizowanie uproszczonego testu równowagi dla tego typu komunikacji może okazać się nieocenione. W przypadku ewentualnej kontroli UODO administrator powinien być w stanie wykazać, że poinformowanie zespołu było przemyślanym i koniecznym działaniem z perspektywy organizacji pracy.
Podsumowanie: rodo jako kompas, nie jako hamulec
Wyrok NSA w sprawie III OSK 1018/22 jest orzeczeniem o ogromnym znaczeniu praktycznym. Wnosi on zdroworozsądkowy i wyważony głos do dyskusji, która od lat budziła wątpliwości pracodawców.
Sąd potwierdził, że rodo nie jest zbiorem abstrakcyjnych zakazów, które mają paraliżować codzienne funkcjonowanie firm.
Wręcz przeciwnie, jest regulacją, która dostarcza narzędzi (jak przesłanka prawnie uzasadnionego interesu) do legalnego i bezpiecznego działania, wymagając od administratorów świadomego i odpowiedzialnego podejścia.
Pracodawcy otrzymali zielone światło dla transparentnej komunikacji w zespole, ale jednocześnie wyraźne przypomnienie, że światło to jest warunkowe i gaśnie tam, gdzie zaczyna się naruszanie prywatności, godności i fundamentalnej zasady minimalizacji danych. Ostatecznym celem powinno być zbudowanie w organizacji kultury ochrony danych, w której tego typu komunikaty są standardowym, bezpiecznym i profesjonalnie zarządzanym procesem.
Autor
Krzysztof Grabowski
specjalista z zakresu prawa pracy, doświadczony praktyk, trener i szkoleniowiec
