Odpowiedzialność pracownika za naruszenie ochrony danych osobowych. Co za to grozi?

21 października 2020
hello world!

W dynamicznie zmieniającym się świecie nasze dane zdają się zyskiwać na wartości. Często jednak rozdajemy je beztrosko na prawo i lewo. Algorytmy tworzą nasz profil, by jak najskuteczniej dobierać reklamy, znać nasze poglądy i zainteresowania. Coraz wyraźniej widać potrzebę chronienia tych danych. Czy każdy, kto ma z nimi styczność, będzie je chronił? Jakie obowiązki ciążą na pracowniku, który na co dzień dysponuje danymi klientów? Przyjrzyjmy się, jak wygląda odpowiedzialność pracownika za naruszenie ochrony danych osobowych.

RODO a ochrona danych

Każdy chyba słyszał o RODO, czyli o „rozporządzeniu o ochronie danych osobowych”. Właśnie ze względu na swoją popularność wydaje się pierwszą regulacją, do której możemy sięgnąć, by znaleźć zasady dysponowania danymi. Zawiera ono przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o ich swobodnym przepływie. Główny cel regulacji został określony w art. 1. Zgodnie z nim RODO chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. 

Przeczytaj więcej:
RODO, polityka cookies a polityka prywatności 

RODO – kogo dotyczą znajdujące się w nim wymogi?

Regulacja zawiera szczegółowe wymogi dla przedsiębiorstw i organizacji dotyczące gromadzenia i przechowywania danych osobowych i zarządzania nimi. RODO nie zawiera jednak żadnych regulacji odnoszących się do odpowiedzialności pracowniczej. W takiej sytuacji inicjatywa w tym zakresie przeszła w całości na ustawodawcę krajowego. Ten także nie wprowadził żadnego szczególnego reżimu odpowiedzialności pracowniczej związanej bezpośrednio z naruszeniem przepisów o ochronie danych osobowych. Czy to znaczy, że pracownik może je naruszać, a konsekwencje i tak poniesie pracodawca jako administrator danych?

Odpowiedzialność pracownika za naruszenie ochrony danych osobowych – Kodeks pracy

Sytuacja naruszenia przez pracownika zasad ochrony danych osobowych powinna być rozpatrywana w kontekście szerokiego rozumienia pojęcia odpowiedzialności pracowniczej. W Kodeksie pracy w art. 100 § 2 pkt 4 znajdziemy informację, że pracownik jest obowiązany w szczególności dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Obowiązany jest również przestrzegać tajemnicy określonej w odrębnych przepisach (art. 100 § 2 pkt 5). Chodzi tu np. o regulamin pracy w danym przedsiębiorstwie, politykę prywatności czy odpowiednie zapisy znajdujące się w umowie o pracę.

Odpowiedzialność pracownika za naruszenie ochrony danych osobowych – ochrona informacji niejawnych

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne.

Na przykład chronione bez względu na upływ czasu są: dane mogące doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb i instytucji, uprawnionych do wykonywania na podstawie ustawy czynności operacyjno-rozpoznawczych jako funkcjonariuszy, żołnierzy lub pracowników wykonujących te czynności (art. 7 ust. 1 pkt 1 Ochrona informacji niejawnych).

W przypadku informacji niejawnych możemy się spotkać z oznaczeniem ich jako "ściśle tajne". Klauzulę tę nadaje się w sytuacji, gdy nieuprawnione ujawnienie owych informacji może spowodować wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej.

Sąd Administracyjny w Warszawie zauważył:

Według art. 4 ust. 1 u.o.i.n. informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych. Wobec powyższego organ stwierdził, że przyznanie określonym informacjom klauzuli tajności pozbawia możliwości udostępnienia tych informacji w trybie ustawy o dostępie do informacji publicznej.

Odpowiedzialność pracownika za naruszenie ochrony danych osobowych – ustawa o zwalczaniu nieuczciwej konkurencji

Zgodnie z art. 23 ust. 1 ustawy o zwalczaniu nieuczciwej konkurencji Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Zgodnie z ustępem 2, tej samej karze podlega osoba, która uzyskała bezprawnie informację stanowiącą tajemnicę przedsiębiorstwa i ujawniła ją innej osobie lub wykorzystuje taką informację we własnej działalności gospodarczej. Czy każda informacja wewnętrzna może być traktowana jako tajemnica przedsiębiorstwa?

Tajemnica przedsiębiorstwa 

W wyroku WSA w Rzeszowie z 30.12.2019 r. Sąd zaznaczył, że dla uznania informacji za "tajemnicę przedsiębiorstwa" muszą być spełnione 2 przesłanki: formalna oraz materialna. Pierwsza dotyczy podjętych przez przedsiębiorcę konkretnych działań w celu zachowania poufności informacji. Nie jest zatem wystarczające przekonanie podmiotu dysponującego informacją o działalności przedsiębiorcy, że dane te mają charakter poufny. Konieczne jest także wykazanie faktu zastrzeżenia przez przedsiębiorcę poufności danych. Przesłanka materialna odnosi się natomiast do treści informacji [...], których ujawnienie mogłoby negatywnie wpłynąć na sytuację przedsiębiorcy. Wspomniane treści informacji mogą dotyczyć danych technicznych, technologicznych, organizacyjnych lub innych posiadających dla przedsiębiorcy wartość gospodarczą.

W wyroku z 28.05.2020 WSA stwierdził, że: 

ochronie podlegają informacje posiadające wartość gospodarczą dla przedsiębiorstwa, a więc takie, których ujawnienie godziłoby w interes przedsiębiorcy w wymiarze technicznym, technologicznym, organizacyjnym lub innym, mającym wartość gospodarczą.

Co grozi pracownikowi za naruszenie obowiązku zachowania tajemnicy?

W zależności od okoliczności konsekwencją naruszenia może być rozwiązanie umowy za wypowiedzeniem. Naruszenie natomiast może stanowić nie tylko nieprzestrzeganie obowiązującej tajemnicy, ale również świadome uzyskiwanie informacji, do których pracodawca nie dał pracownikowi dostępu. W przypadku stwierdzenia rażącego naruszenia podstawowych obowiązków pracowniczych pracodawca może rozwiązać umowę w trybie art. 52 § 1 pkt 1 – bez wypowiedzenia z winy pracownika. Takie rozwiązanie umowy to potocznie "zwolnienie dyscyplinarne".

Jako rażące naruszenie będzie np. traktowane umyślne kopiowanie i wynoszenie z firmy swojego pracodawcy wrażliwych danych dotyczących bazy klientów. W takiej sytuacji złamanie art. 100 § 2 pkt 4 Kodeksu pracy prowadzi do odpowiedzialności również z art. 266 § 1 Kodeksu karnego.

Nawet jeśli pracodawca nie poniósł żadnej szkody, wobec pracownika może być orzeczona grzywna czy kara ograniczenia wolności. Może to wynikać z samego faktu ujawnienia tajemnicy.

Co w sytuacji, gdy pracodawca poniósł szkodę w wyniku ujawnienia tajemnicy przedsiębiorstwa?

Zgodnie z art. 46 § 1 k.k. § 1 W razie skazania sąd może orzec, a na wniosek pokrzywdzonego lub innej osoby uprawnionej orzeka, stosując przepisy prawa cywilnego, obowiązek naprawienia, w całości albo w części, wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.

Jako przedsiębiorcy dochodzący swoich praw w postępowaniu karnym uzyskujemy prostszą drogę do zaspokojenia roszczeń z tytułu odpowiedzialności odszkodowawczej. Wyrok skazujący, poza karą, może zawierać obowiązek naprawienia szkody lub obowiązek uiszczenia nawiązki na rzecz pokrzywdzonego przedsiębiorcy. 

Źródła:

  • Wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 28 maja 2020 r., II SA/Go 207/20.
  • Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 stycznia 2020 r., VIII SAB/Wa 41/19.

chevron-down
Copy link