R.G. udzielił zgody na przetwarzanie danych osobowych przez swojego pracodawcę, firmę T. Sp. z o.o. Tymczasem jego dane osobowe w zakresie nazwiska, imienia i stanowiska służbowego były przetwarzane również przez Stowarzyszenie L. na stronie internetowej.
Mężczyzna na takie działanie poskarżył się najpierw do Generalnego Inspektora Ochrony Danych Osobowych, a kiedy to nie przyniosło skutku, wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zarówno GIODO, jak i WSA uznały, iż brak było podstaw do uwzględnienia skargi R. G. na przetwarzanie jego danych osobowych przez Stowarzyszenie.
W ocenie sądu, dane osobowe skarżącego były przetwarzane przez Stowarzyszenie wyłącznie w kontekście zawodowo-służbowym i w zakresie na jaki skarżący wyraził zgodę, decydując się na pracę w T. Sp. z o.o. na określonym stanowisku służbowym. Sąd zauważył, iż w niniejszej sprawie Stowarzyszenie pozyskało dane osobowe R. G. z oficjalnej strony jego pracodawcy, a przetwarzanie danych, publicznie już przetwarzanych, nie jest prawnie zakazane.
Sąd uznał, iż przetwarzane przez Stowarzyszenie, a wcześniej przez pracodawcę R. G. jego dane osobowe, niewątpliwie zakwalifikować należy, jako dane dotyczące wyłącznie życia zawodowego. - W żaden sposób nie można uznać, że dane te należą do katalogu danych wrażliwych, sensytywnych, o których mowa w art. 27 ustawy o ochronie danych osobowych. Tym samym nie zasługiwał na uwzględnienie zarzut naruszenia art. 47 Konstytucji RP, dotyczącego ochrony prywatności – stwierdził warszawski WSA.
Innego zdania był Naczelny Sąd Administracyjny (sygn. akt I OSK 258/12), który uchylił zaskarżony wyrok i przekazał sprawę do ponownego rozpoznania.
W uzasadnieniu NSA odniósł się do przesłanki legalizacyjnej w kontekście „prawnie usprawiedliwionych celów", na które powoływał się zarówno Generalny Inspektor Ochrony Danych Osobowych i Wojewódzki Sąd Administracyjny. Przesłanki te miały być zawarte w statucie Stowarzyszenia, a dokładnie w punkcie, gdzie określone zostały jego cele, tj.: ochronę leasingobiorców, ich praw i majątku w sytuacjach kryzysowych, stwarzanie warunków dla bezpiecznego rozwoju małych i średnich przedsiębiorstw, stworzenie członkom stowarzyszenia warunków do zdobywania wiedzy, pomoc w rozwiązywaniu problemów prawnych i zawodowych, wspieranie działań na rzecz uczciwej działalności gospodarczej.
Tymczasem Naczelny Sąd Administracyjny wskazał, iż żaden z tych celów, a uznanych przez WSA za uprawnione w świetle art. 23 ust. 1 pkt 5 u.o.d.o. nie usprawiedliwiał udostępnienia danych osobowych R. G. , będącego pracownikiem podmiotu gospodarczego, z którym Stowarzyszenie związane było umową.
W uzasadnieniu NSA dodał, że jeżeli nawet w wyniku zawartej umowy Stowarzyszenie uzyskało dane osobowe niektórych pracowników to nie mogło tych danych, bez ich zgody, udostępniać innym podmiotom, co także w rozumieniu art. 7 pkt 2 ustawy o ochronie danych osobowych dotyczy udostępnienia w systemach informatycznych.
- Przetwarzanie danych osobowych R. G. przez pracodawcę służyło niewątpliwie innym celom niż udostępnianie ich przez Stowarzyszenie na swej stronie internetowej, zatem tej ostatniej czynności nie można uznać za odpowiadającą prawu, gdyż nie została spełniona przesłanka niezbędności i celowości przy przetwarzaniu danych osobowych – wyjaśnił NSA.