Poradnik Pracownika

Naruszenie danych osobowych przez pracodawcę - co może zrobić pracownik?

Pracodawca posiada szereg danych osobowych zatrudnianych pracowników – od ich numerów PESEL aż po dane dotyczące członków najbliższej rodziny. Przepisy i zasady wprowadzone przez rozporządzenie RODO wskazują dokładnie, w jaki sposób przedsiębiorcy mogą przechowywać i przetwarzać dane osobowe. Naruszenie danych osobowych przez pracodawcę będzie skutkowało dla niego powstaniem odpowiedzialności względem osób, których dane osobowe przetwarza.

Pracodawca jest administratorem danych osobowych

Przepisy i publikacje dotyczące RODO posługują się wieloma skomplikowanymi terminami, które trudno jest właściwie zinterpretować. Przepisy RODO zawierają definicję danych osobowych i nazywają podmiot przetwarzający dane osobowe administratorem danych.

Dane osobowe w rozumieniu RODO to wszystkie dane, które umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej. W przypadku pracowników będzie to szereg informacji – na przykład imię i nazwisko, adres zamieszkania, dane dotyczące wykształcenia i przebiegu zatrudnienia, wizerunek, a nawet dane biometryczne (np. odciski linii papilarnych).

Przedsiębiorcy przetwarzają szereg różnych danych osobowych, zarówno należących do ich kontrahentów, jak i pracowników (w tym również osób wykonujących czynności na podstawie umów innych niż umowa o pracę, np. w formie umowy o dzieło czy umowy zlecenia). Nie ulega żadnej wątpliwości, że pracodawca jest administratorem danych osobowych i z tego względu ciąży na nim wiele obowiązków związanych z koniecznością zapewnienia posiadanym danym osobowym osób fizycznych odpowiedniego stopnia bezpieczeństwa.

Naruszenie danych osobowych przez pracodawcę może się odbyć w rozmaity sposób – na przykład poprzez żądanie od pracownika podania danych, których ten nie ma obowiązku udostępniać czy przekazanie danych osobowych bez zgody pracownika podmiotowi trzeciemu.

Skarga do UODO

Urząd Ochrony Danych Osobowych (potocznie nazywany UODO) to organ powołany do przestrzegania kontroli przepisów przez wszystkie podmioty przetwarzające dane osobowe na terytorium Polski. UODO przysługują szerokie kompetencje, m.in. dotyczące przeprowadzania kontroli oraz nakładania kar finansowych na podmioty, które naruszyły zasady RODO.

W przypadku gdy naruszenie danych osobowych przez pracodawcę miało miejsce, pokrzywdzony pracownik może złożyć do Prezesa UODO skargę.

Skarga może zostać złożona w formie tradycyjnej (papierowej) albo w formie elektronicznej. Złożenie w formie elektronicznej, poprzez Elektroniczną Skrzynkę Podawczą Prezesa UODO, wymaga posiadania kwalifikowanego podpisu elektronicznego.

Poszkodowany pracownik może wnieść skargę w formie tradycyjnej, wysyłając dokument zawierający skargę na adres siedziby urzędu (ul. Stawki 2, 00-193 Warszawa).

Każda skarga, niezależnie od sposobu jej złożenia, musi zawierać:

  • dane pracownika składającego skargę (imię, nazwisko, adres zamieszkania);

  • dane pracodawcy, tj. podmiotu, którego skarga dotyczy (imię i nazwisko lub nazwa, adres siedziby);

  • dokładny opis czynu, którego dopuścił się podmiot przetwarzający dane;

  • żądanie podjęcia czynności przez Prezesa Urzędu (np. żądanie nakazania pracodawcy usunięcia z jego bazy danych określonych informacji dotyczących pracownika);

  • podpis osoby wnoszącej skargę.

Skarga wniesiona przez pracownika powinna zostać rozpatrzona niezwłocznie. Jeżeli sprawa wymaga przeprowadzenia dodatkowego postępowania (np. uzyskania dostępu do baz danych lub przesłuchania świadków), maksymalny czas rozpoznania skargi nie powinien przekroczyć dwóch miesięcy. 

Wniesienie skargi jest wolne od jakichkolwiek opłat.

Po rozpatrzeniu skargi Prezes UODO może podjąć konieczne działania naprawcze, w tym – w zależności od okoliczności sprawy – na przykład nakazać pracodawcy usunięcie określonych danych z bazy danych pracodawcy czy udostępnienie pracownikowi listy informacji przetwarzanych przez przedsiębiorcę. Pracownik nie może domagać się w skardze nałożenia na pracodawcę kary finansowej. O karze rozstrzyga Prezes UODO w odrębnym postępowaniu, które może zostać wszczęte w wyniku postępowania skargowego.

Pozew za naruszenie danych osobowych przez pracodawcę

Odpowiedzialność administracyjna nie jest jedynym rodzajem odpowiedzialności, jaką może ponieść pracodawca – administrator danych nieprawidłowo przetwarzający dane osobowe swoich podwładnych.

Przepis art. 82 ust. 1 RODO
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

Przepisy dotyczące ochrony danych osobowych zakładają, że jeżeli osoba fizyczna, której dane były nieprawidłowo przetwarzane, poniesie szkodę, ma prawo do uzyskania odszkodowania. Podstawą żądania będzie przywołany powyżej przepis art. 82 ust. 1 RODO.

Odszkodowanie obejmuje zarówno szkodę majątkową (uszczerbek w majątku osoby poszkodowanej), jak i szkodę niemajątkową (doznaną wskutek czynu krzywdę).

Odpowiedzialność za naruszenie danych osobowych przez pracodawcę ponosi sam przedsiębiorca jako administrator danych – zgodnie z przepisami RODO będzie to każdy administrator uczestniczący w przetwarzaniu danych oraz tzw. podmiot przetwarzający. Jeżeli pracodawca korzysta z usług innego podmiotu w zakresie przetwarzania danych (np. zewnętrznego podmiotu odpowiadającego za bezpieczeństwo danych albo) albo z podmiotu mającego dostęp do tych danych (np. przedsiębiorstwa zapewniającego obsługę księgową) i szkoda będzie wynikiem działania również podmiotu zewnętrznego, wówczas odpowiedzialność poniosą pracodawca oraz podmiot zewnętrzny. Istnieje jedno ograniczenie dotyczące wspomnianego podmiotu zewnętrznego – zgodnie z przepisami podmiot ten jest odpowiedzialny za szkody tylko wówczas, gdy nie dopełnił swoich obowiązków wynikających z przepisów prawa lub gdy działał wbrew instrukcjom administratora danych.

Pracodawca jest zwolniony od odpowiedzialności za wyrządzoną pracownikowi szkodę wówczas, gdy wykaże, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody (np. jeżeli pomimo prawidłowych zabezpieczeń dane pracownika zostały wykradzione wskutek ataku hakerskiego i bezprawnie wykorzystane w konsekwencji tego zdarzenia).

W toku postępowania stosuje się przepisy Kodeksu cywilnego – opierając się zatem na tych przepisach, pracownik będzie musiał uzasadnić swoje żądanie, przede wszystkim w zakresie doznanej szkody. Przykładem szkody majątkowej są koszty związane z wymianą dokumentów czy środki utracone w wyniku kradzieży tożsamości. Szkoda niemajątkowa (zadośćuczynienie) może zostać przyznana za doznaną przez pracownika krzywdę (np. stres) – udowodnienie tej szkody będzie oczywiście znacznie trudniejsze.

Sądem właściwym do rozpoznania sprawy o naruszenie danych osobowych przez pracodawcę jest sąd okręgowy.

Naruszenie danych osobowych przez pracodawcę może skutkować zgłoszeniem sprawy do sądu. Tego typu sprawy będą toczyły się zawsze przed sądem okręgowym właściwym ze względu na siedzibę pozwanego pracodawcy. W postępowaniu może wziąć udział Prezes Urzędu Ochrony Danych Osobowych. Sąd ma obowiązek poinformowania Prezesa UODO o wniesieniu pozwu oraz każdym prawomocnym orzeczeniu kończącym postępowanie w sprawie.

Niezależnie od powyższego, nieprawidłowości w przetwarzaniu danych osobowych (np. przetwarzanie przez pracodawcę danych biometrycznych pracownika bez podstawy prawnej) mogą wiązać się z odpowiedzialnością karną, zagrożoną karą grzywny, karą ograniczenia wolności lub nawet karą pozbawienia wolności.