Pracodawca odpowiada także za nieumyślne ujawnienie danych osobowych pracownika

Ujawnienie danych osobowych funkcjonariuszki na ogólnodostępnym serwerze naruszyło jej dobro osobiste w postaci prawa do prywatności, a pracodawca – mimo iż zdarzenie miało charakter nieumyślny – ponosi za to odpowiedzialność – tak orzekł Sąd Rejonowy Szczecin-Centrum w Szczecinie.

Naruszenie prywatności w miejscu pracy
Domniemanie bezprawności i odpowiedzialność pracodawcy
Autonomia informacyjna jako element prawa do prywatności
Szkoda niemajątkowa i krzywda
Wysokość zadośćuczynienia

Naruszenie prywatności w miejscu pracy

Do ujawnienia danych osobowych doszło podczas wewnętrznych prac komisji ds. relacji w środowisku służby i pracy, powołanej w jednostce zatrudniającej powódkę. W wyniku braku właściwych procedur oraz nadzoru nad przetwarzaniem informacji, dokument ze szczegółami dotyczącymi jej sprawy – zawierający dane osobowe – został umieszczony na ogólnodostępnym serwerze, do którego dostęp miało szerokie grono współpracowników.

Plik pozostawał dostępny ponad dwa miesiące, a pracownicy nie mieli świadomości, że dokument można zabezpieczyć hasłem.

Domniemanie bezprawności i odpowiedzialność pracodawcy

Sąd przypomniał, że w sprawach dotyczących ochrony dóbr osobistych działa zasada domniemania bezprawności. W związku z tym to pracodawca powinien wykazać, że jego działanie nie było bezprawne, czego w tej sprawie nie uczyniono.

Pozwany argumentował, że doszło jedynie do „ludzkiego błędu”. Sąd jednak ocenił, że takie tłumaczenie nie zwalnia pracodawcy z winy. W uzasadnieniu podkreślono, że pracodawca odpowiada za błędy swoich pracowników oraz za sposób organizacji procesu przetwarzania danych.

„Błąd ludzki w tym przypadku nie oznaczał umyślnego działania, natomiast niewątpliwie był wynikiem niedbalstwa lub lekkomyślności” – czytamy w uzasadnieniu sądu.

Sąd jednoznacznie uznał, że winę pozwanej należy ocenić jako nieumyślną, co jednak nie wyłącza odpowiedzialności odszkodowawczej.

Autonomia informacyjna jako element prawa do prywatności

W uzasadnieniu podkreślono, że udostępnienie dokumentów na serwerze naruszyło prawo powódki do prywatności, którego istotnym składnikiem jest autonomia informacyjna jednostki.

Jak przypomniał sąd, autonomia ta oznacza prawo osoby do samodzielnego decydowania o ujawnianiu informacji na jej temat oraz kontrolowania danych znajdujących się w posiadaniu innych podmiotów.

Naruszenie tej sfery nie wymaga, aby informacja była szczególnie wrażliwa – ochrona dotyczy wszelkich danych dotyczących jednostki.

Szkoda niemajątkowa i krzywda

W toku postępowania ustalono, że ujawnienie danych doprowadziło do naruszenia dóbr osobistych powódki i wywołania u niej krzywdy w postaci szkody niemajątkowej.

Sąd wskazał, że nie jest wymagane, by skala cierpienia była nadzwyczajna. Wystarczające są negatywne odczucia, takie jak obawa o bezpieczeństwo czy poczucie wykluczenia:

„Poczucie naruszenia bezpieczeństwa, obawa przed negatywnym odbiorem społeczności funkcjonariuszy, odczuwanie niepewności – to emocje, które w sposób oczywisty negatywnie wpływają na psychikę danego człowieka” – wskazywał sąd w uzasadnieniu.

Powódka odczuwała skutki naruszenia, pracując w małym środowisku, w którym większość pracowników znała się wzajemnie, co potęgowało poczucie wyalienowania.

Wysokość zadośćuczynienia

Choć powódka domagała się 10 tys. zł tytułem zadośćuczynienia za naruszenie dóbr osobistych, sąd przyznał jej kwotę odpowiadającą minimalnemu wynagrodzeniu – 4 666 zł.

Podkreślił, że zadośćuczynienie spełnia nie tylko funkcję kompensacyjną, ale również represyjno-wychowawczą i prewencyjną, mając skłonić pracodawcę do wprowadzenia skutecznych procedur ochrony danych.

Co znamienne, w toku procesu doszło do kolejnego naruszenia – na wspólnym serwerze ponownie umieszczono dokumenty zawierające dane powódki. Sąd ocenił to jako dowód na brak refleksji i brak wdrożenia adekwatnych procedur.