Poradnik Pracownika

Wyciek danych u pracodawcy a prawa pracownika – co może zrobić pracownik?

W dobie powszechnej informatyzacji dane osobowe pracownika są narażone na nieuprawnione ujawnienie. Oczywiście w przypadku dokumentacji prowadzonej i przechowywanej w postaci papierowej jest to także możliwe, jednak niezgodne z prawem udostępnienie informacji z niewłaściwie zabezpieczonego systemu teleinformatycznego jest o wiele bardziej prawdopodobne. Jakie możliwości ma pracownik gdy wystąpił wyciek danych u pracodawcy? Poruszamy ten temat poniżej. 

Ochrona danych osobowych – podstawy prawne

Aktem prawnym właściwym w zakresie ochrony danych osobowych podmiotów indywidualnych jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej ogólnym rozporządzeniem o ochronie danych.

W odniesieniu do pracowników zastosowanie znajdują odpowiednie zapisy Ustawy z dnia 26 czerwca 1974 roku – Kodeks pracy, zwanej dalej kp. Należy podkreślić, że w kwestii przetwarzania danych personalnych osoby ubiegającej się o zatrudnienie oraz pracownika przepisy Kodeksu pracy odwołują się do postanowień ogólnego rozporządzenia o ochronie danych.

Podstawowe definicje ogólnego rozporządzenia o ochronie danych

Dla prawidłowego zobrazowania omawianego zagadnienia zasadne będzie zapoznanie się z podstawowymi definicjami sformułowanymi odpowiednio w art. 4 pkt 1, 7 i 12 ogólnego rozporządzenia o ochronie danych. Oznacza to, że w rozumieniu powołanego rozporządzenia:  

  • danymi osobowymi – są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii Europejskiej (UE) lub w prawie państwa członkowskiego, to również w regulacjach UE lub w przepisach państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
  • naruszenie ochrony danych osobowych – to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Dane osobowe osoby ubiegającej się o pracę i pracownika – regulacje Kodeksu pracy

Dane osobowe objęte ochroną, jakie pracodawca może pozyskiwać od osób ubiegających się o zatrudnienie oraz od pracowników, zostały wyszczególnione w przepisach Kodeksu pracy. Zgodnie z art. 22(1) § 1 kp pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia; 
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. kwalifikacje zawodowe;
  6. przebieg dotychczasowego zatrudnienia.

Pracodawca żąda podania danych osobowych, o których mowa w art. 22(1) § 1 pkt 4–6 kp, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Od pracownika pracodawca może żądać podania dodatkowo danych osobowych obejmujących:

  • adres zamieszkania;
  • numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  • inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
  • wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
  • numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Pracodawca może żądać podania innych danych osobowych niż określone w art. 22(1) § 1 i 3 kp jedynie wówczas, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą, przy czym pracodawca może żądać udokumentowania danych osobowych tych osób.

Stosownie do brzmienia art. 22(1a) § 1 kp zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) § 1 i 3, z wyjątkiem danych osobowych wskazanych w art. 10 ogólnego rozporządzenia o ochronie danych. Powołany w cytowanym przepisie art. 10 odnosi się do ograniczeń w zakresie przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych. 

Zgłoszenie naruszenia ochrony danych osobowych

Pracodawca jako administrator danych osobowych osób zatrudnionych u niego musi podjąć określone działania w razie powzięcia informacji o wycieku danych osobowych. Zakres tych działań wskazano w art. 33 ogólnego rozporządzenia o ochronie danych. W przypadku zatem naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Decyzja w sprawie zgłoszenia faktu naruszenia (wycieku) danych osobowych należy do pracodawcy, który dokonuje weryfikacji stopnia zagrożenia oraz zakresu tego naruszenia. 

Zawiadomienie pracownika o wycieku jego danych osobowych

W sytuacji, gdy doszło do wycieku danych osobowych pracownika, pracodawca powinien wdrożyć postępowanie przewidziane w art. 34 ust. 1 ogólnego rozporządzenia o ochronie danych.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powiadamia o nim osobę, której dane dotyczą.

Jednocześnie wskazane zawiadomienie nie jest wymagane w następujących przypadkach:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki, takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Odszkodowanie w związku z wyciekiem danych osobowych

Pracownik, poza zawiadomieniem pracodawcy o wycieku swoich danych osobowych, może podjąć jeszcze inne działania mające na celu uzyskanie zadośćuczynienia za poniesione szkody. Szczegółowe rozwiązania w tym zakresie zostały zawarte w art. 82 ogólnego rozporządzenia o ochronie danych. 

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 ust. 1 ogólnego rozporządzenia o ochronie danych).

Wysokość odszkodowania nie została określona – ustalenie kwoty należy do pracownika, który wskutek wycieku danych poniósł szkodę. Na ogół przyjmuje się zasadę, zgodnie z którą im większa liczba informacji uległa upublicznieniu, tym wyższe odszkodowanie. Nie bez znaczenia jest ponadto rodzaj udostępnionych danych. Pracownik powinien zatem przedłożyć pracodawcy dokument wskazujący rodzaj naruszenia wraz ze szczegółowym opisem tego zdarzenia oraz wysokość żądanego odszkodowania. W takim piśmie warto także uprawdopodobnić, że do poniesienia szkody doszło wskutek wycieku danych, których administratorem był pracodawca. 

W przypadku, gdy pracodawca odrzucił żądanie określone w zawiadomieniu przedłożonym przez poszkodowanego, pracownik ma możliwość dochodzenia swoich roszczeń na drodze sądowej. Wówczas należy skierować pozew o zapłatę odszkodowania z tytułu naruszenia dóbr osobistych (art. 23 Ustawy z dnia 23 kwietnia 1964 roku – Kodeks cywilny, dalej jako kc) w związku z poniesioną szkodą w wyniku naruszenia danych osobowych (art. 82 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych). Jeżeli sąd przychyli się do argumentacji pracownika, może zasądzić – oprócz odszkodowania na podstawie art. 82 ust. 1 ogólnego rozporządzenia o ochronie danych – także zadośćuczynienie na podstawie art. 24 § 1 kc w związku z naruszeniem dóbr osobistych powoda. 

Wyciek danych u pracodawcy a prawa pracownika – co może zrobić pracownik? Podsumowanie

Zawinione przez administratora (pracodawcę) naruszenie danych osobowych pracownika powoduje poważne konsekwencje dla stron stosunku pracy. Wskutek wycieku danych osoba zatrudniona może ponieść szkodę majątkową lub niemajątkową (np. naruszenie godności, wizerunku), pracodawca natomiast jest narażony na konsekwencje finansowe. Pracownik może wystąpić do pracodawcy z wezwaniem do zapłaty odszkodowania. Jeżeli okaże się to nieskuteczne, może wejść na drogę sądową. W takich okolicznościach może żądać zapłaty odszkodowania oraz zadośćuczynienia na podstawie przepisów Kodeksu cywilnego dotyczących ochrony dóbr osobistych człowieka.