Okoliczności danego przypadku zdecydują, czy zachowanie pracownika można uznać za ciężkie naruszenie obowiązków. W grę wchodzi także poniesienie przez zatrudnionego odpowiedzialności porządkowej lub materialnej.
Odpowiedzialność za zapewnienie bezpieczeństwa danych osobowych przetwarzanych przez pracodawcę na gruncie przepisów RODO ponosi on sam, działając odpowiednio jako administrator lub podmiot przetwarzający dane. Co jednak w przypadku, gdy do naruszenia bezpieczeństwa danych przyczynił się pracownik lub gdy odmawia on stosowania standardów przyjętych przez pracodawcę? Czy kodeks pracy reguluje zasady odpowiedzialności pracownika za naruszenie przepisów o ochronie danych osobowych?
Podstawowe obowiązki
Dbałość o dobro zakładu pracy, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, przestrzeganie tajemnic określonych w odrębnych przepisach oraz stosowanie się do poleceń przełożonych ‒ to kilka z podstawowych obowiązków pracownika. Za tymi ogólnymi stwierdzeniami kryją się również obowiązki związane z zapewnieniem bezpieczeństwa danych osobowych w firmie oraz przestrzeganie zasad obowiązujących w niej w tym zakresie.
W praktyce oznacza to, że pracownik ma obowiązek nie tylko zapoznać się ze standardami i procedurami przetwarzania danych osobowych wprowadzonymi u pracodawcy (jak m.in. polityka bezpieczeństwa informacji lub danych osobowych, procedury zarządzania uprawnieniami dostępu do danych osobowych, obiegu dokumentów, pracy zdalnej, korzystania z narzędzi informatycznych itp.), lecz także stosować się do nich.
Te działania mają służyć uniknięciu sytuacji, w której na skutek zaniedbania lub umyślnego działania pracownika pracodawca poniesie konsekwencje prawne (a co za tym idzie również finansowe) z tytułu naruszenia przepisów o ochronie danych osobowych.
Trzeba wykazać winę
Co prawda to pracodawca, jako administrator lub podmiot przetwarzający, ponosi odpowiedzialność wobec prezesa organu nadzoru – Urzędu Ochrony Danych Osobowych oraz podmiotu danych w razie ich niezgodnego z prawem przetwarzania. Nie znaczy to jednak, że nie może on pociągnąć z tego tytułu do odpowiedzialności obecnego lub byłego pracownika, jeśli będzie w stanie wykazać jego winę i przyczynienie się do naruszenia przepisów. Przepisy kodeksu pracy (dalej: k.p.) w sposób szczególny określają możliwość wyciągnięcia konsekwencji.
Pamiętajmy, że o ile pracodawca jako administrator danych odpowiada za prawidłowe przetwarzanie danych w relacji z organem nadzoru i podmiotem danych, w szczególności na podstawie przepisów RODO i ustawy o ochronie danych osobowych (ewentualnie innych przepisów szczególnych), o tyle odpowiedzialność pracownika względem pracodawcy w tym zakresie kształtują przepisy k.p. dotyczące odpowiedzialności porządkowej i majątkowej oraz te dotyczące rozwiązywania umów o pracę. To na ich podstawie pracodawca ma możliwość wyciągnięcia konsekwencji wobec pracownika, który dopuścił się niezgodnego z przepisami lub zasadami obowiązującymi w organizacji przetwarzania danych.
Kilka narzędzi do wyboru
Jak w przypadku każdego nieprawidłowego zachowania pracownika, w zależności od jego charakteru, pracodawca ma możliwość wyboru spośród narzędzi, jakie przyznają mu przepisy prawa pracy. W zakresie odpowiedzialności porządkowej nieprzestrzeganie zasad prawidłowego przetwarzania danych osobowych przez pracownika w konkretnym przypadku może skutkować karą upomnienia lub nagany.
Jeśli jednak pracownik swoim zachowaniem (np. poprzez nienależyte wykonywanie obowiązków doprowadził do naruszenia poufności danych osobowych) wyrządził pracodawcy szkodę (przez co pracodawca np. był zmuszony zapłacić odszkodowanie osobie, której danych dotyczyło to naruszenie lub została nałożona na niego kara pieniężna), to zgodnie z art. 114 i nast. k.p. może ponieść odpowiedzialność majątkową. Odpowiedzialność ta mieści się w granicach rzeczywistej straty pracodawcy i ogranicza się tylko do normalnych następstw postępowania pracownika, z którego wynikła. Dodatkowo, co istotne, w kontekście odpowiedzialności z tytułu ochrony danych osobowych, nie dotyczy ona ryzyka związanego z działalnością pracodawcy.
Nie zawsze też w ten sposób pracownik w całości zrekompensuje pracodawcy poniesioną szkodę. Co do zasady górną granicę odpowiedzialności majątkowej stanowi równowartość trzykrotności wynagrodzenia pracownika, jakie otrzymywał w momencie naruszenia obowiązków. Wyjątkiem pozwalającym na pełną kompensatę jest sytuacja, w której pracownik dopuścił się naruszenia w sposób umyślny.
Niezależnie od odpowiedzialności porządkowej lub materialnej konkretny przypadek naruszenia zasad bezpieczeństwa danych osobowych może skutkować decyzją o wypowiedzeniu umowy o pracę lub nawet zwolnieniu dyscyplinarnym. Jednak wybór odpowiedniego trybu rozwiązania umowy w konkretnym przypadku powinien zostać poprzedzony dogłębnym zbadaniem i oceną wszystkich okoliczności sprawy. Jak ocenił bowiem w jednym z orzeczeń Sąd Najwyższy (wyrok z 10 maja 2018 r., sygn. akt II PK 76/17, Legalis): „Stworzenie przez pracownika stanu, w którym istnieje potencjalna możliwość dostępu osób trzecich do podlegających ochronie danych osobowych, stanowi zagrożenie interesów pracodawcy. Uzasadnioną przyczyną rozwiązania z pracownikiem umowy o pracę w trybie art. 52 par. 1 pkt 1 k.p. może być także zawinione działanie pracownika powodujące samo zagrożenie interesów pracodawcy. Tak więc uznanie, że zachowanie pracownika nie wypełnia znamion czynu niedozwolonego (…) z art. 51 ust. 1 ustawy o ochronie danych osobowych, nie przekreśla zakwalifikowania go jako ciężkie naruszenie podstawowych obowiązków pracowniczych. Jeśli zaś chodzi o tajemnicę przedsiębiorstwa, w tym przypadku również ocena zagrożenia interesów pracodawcy nie może być rozpatrywana wyłącznie na gruncie prawnokarnym (...), ale też w ujęciu cywilistycznym rozumianym jako narażenie pracodawcy na szkodę w związku z potencjalną możliwością wykorzystania tajemnicy przedsiębiorstwa przez osobę trzecią”.
Dodatkowo w wyroku z 4 kwietnia 2017 r. (sygn. akt II PK 37/16, Legalis), wydanym jeszcze pod rządami poprzednich przepisów o ochronie danych, a więc przed rozpoczęciem stosowania RODO, SN ocenił, że „pracownik, który przetwarza dane osobowe poza zakresem upoważnienia udzielonego przez administratora, dopuszcza się ciężkiego naruszenia podstawowych obowiązków pracowniczych, nawet gdy zachowuje poufność danych (art. 52 par. 1 pkt 1 k.p. w związku z art. 37 ustawy o ochronie danych osobowych)”.
Z przywołanych orzeczeń wynika, że jeśli pracownik nie spowodował jeszcze realnej szkody pracodawcy, a jedynie swoim zachowaniem naraził go na nią (np. permanentnie nie zabezpieczał przekazywanych na zewnątrz danych, ignorował obowiązkowe zabezpieczenia w obszarze IT, nie dbał o zabezpieczenie poufności i integralności danych), bezpieczniejszym dla pracodawcy pod kątem wykazania słuszności swojej decyzji przed sądem pracy może okazać się wypowiedzenie umowy o pracę z uwagi na zachowanie powodujące utratę zaufania do pracownika.
Nie każde naruszenie
Sąd Rejonowy w Toruniu (wyrok z 28 grudnia 2018 r., sygn. akt IV P 364/18, Legalis) stwierdził, że „odmowa zgody na wdrożenie procedur związanych z wejściem w życie rozporządzenia RODO nie może skutkować dyscyplinarnym rozwiązaniem umowy o pracę. Możliwe jest w tej sytuacji wypowiedzenie umowy o pracę”. Sąd stwierdził również, że odmowa podpisania przez pracownika oświadczenia o zapoznaniu się z obowiązującymi u pracodawcy zasadami bezpieczeństwa danych osobowych oraz zobowiązania do ich przestrzegania oznacza, iż istnieje zagrożenie, że nie ma stosownej wiedzy w tym przedmiocie lub że mimo że taką ma, to nie będzie wykorzystywał jej w praktyce. To zaś, zdaniem sądu, uzasadnia niezwłoczne odsunięcie takiego pracownika od pracy (bez zachowania prawa do wynagrodzenia), a nawet wypowiedzenie umowy, ponieważ rodzi obawę, czy pracownik będzie postępował zgodnie z zasadą dbałości o dobro zakładu pracy.
Z pewnością podejmując decyzję o pociągnięciu do odpowiedzialności pracownika z tytułu naruszenia standardów bezpieczeństwa danych osobowych oraz o tym, na jakie kroki zdecyduje się pracodawca, konieczne jest ustalenie, że można przypisać pracownikowi winę w tym zakresie.
WAŻNE! Nie każde naruszenie bezpieczeństwa danych osobowych w firmie, nawet takie, które będzie skutkować koniecznością poinformowania o nim prezesa UODO oraz samego podmiotu danych, daje podstawy do pociągnięcia do odpowiedzialności pracownika, który je spowodował.
Jeśli bowiem np. pracownik omyłkowo ujawnił dane osobowe na zewnątrz osobie do tego nieupoważnionej, utracił dane mimo stosowania się do obowiązujących w firmie procedur i stosowania odpowiednich środków bezpieczeństwa, a zwłaszcza jeśli do naruszenia doszło na skutek zaniedbań leżących po stronie organizacji (np. w obszarze infrastruktury IT lub nawet zbytniego obciążenia obowiązkami lub narzuceniem zbyt dużej presji czasu, które sprzyjają popełnianiu pomyłek i błędów), to trudno będzie mówić o jego zawinieniu, które zawsze jest podstawowym warunkiem pociągnięcia go do odpowiedzialności porządkowej, materialnej lub zwolnienia dyscyplinarnego. ©℗
Podstawa prawna
Podstawa prawna
• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)
• art. 37, art. 51 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781)
• art. 52 par. 1 pkt 1, art. 114 i nast. ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2023 r. poz. 1465)