Wstęp
Table of contents
W naszym przedsiębiorstwie nieumyślnie została zniszczona część dokumentacji pracowniczej przechowywana w formie papierowej. Nie została ona wcześniej zdigitalizowana. Czy w tej sytuacji doszło do naruszenia ochrony danych osobowych, a jeżeli tak, to czy można wyciągnąć konsekwencje wobec inspektora ochrony danych osobowych, który jest jednocześnie szefem związku zawodowego w firmie? Czy podlega on ochronie?
Odpowiedź:
Na pierwsze z pytań należy odpowiedzieć twierdząco – we wskazanej sytuacji doszło do naruszenia ochrony danych osobowych. Zgodnie z treścią art. 4 pkt 12) RODO jest nim bowiem „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Nie ulega zatem wątpliwości, że jeżeli doszło do zdarzenia lub zdarzeń (np. pożar lub zalanie archiwum firmowego, fizyczne pocięcie dokumentacji przy użyciu niszczarki itd.), w wyniku których dane osobowe przestały istnieć w formie umożliwiającej wykonywanie administratorowi (w tym wypadku przedsiębiorstwu) operacji na tych danych, to należy to uznać za naruszenie.
Jeżeli chodzi o kwestię odpowiedzialności za naruszenie ochrony danych, to trzeba zauważyć, że jest ona ponoszona przez administratora (czyli przez przedsiębiorstwo), a nie przez inspektora ochrony danych (IOD). Odwołując się do art. 4 pkt 7) RODO warto przypomnieć, że to administrator jest podmiotem, który ustala cele i sposoby przetwarzania danych osobowych. To również na nim spoczywa szereg obowiązków związanych z przetwarzaniem danych osobowych, w tym m. in. wdrożenie odpowiednich środków technicznych i organizacyjnych, dzięki którym przetwarzanie będzie odbywało się zgodnie z przepisami RODO i innych aktów prawa unijnego i krajowego, w tym zostanie zapewniony odpowiedni poziom bezpieczeństwa przetwarzanych danych (art. 24 i art. 32).
Rola IOD w systemie ochrony danych osobowych jest inna niż administratora. Zgodnie z art. 39 ust. 1 RODO do zadań inspektora należy:
- a) informowanie i doradzanie administratorowi i jego pracownikom, w jaki sposób wypełniać obowiązki wynikające z RODO i innych przepisów dotyczących ochrony danych osobowych;
- b) monitorowanie przestrzegania przepisów (w tym wewnętrznych regulacji administratora) w dziedzinie ochrony danych osobowych;
- c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- d) współpraca z organem nadzorczym;
- e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem.
Nie ma zatem wątpliwości, że na gruncie RODO prawodawca unijny nie przewidział jakiejkolwiek formy odpowiedzialności lub współodpowiedzialności IOD za prawidłowe przetwarzanie danych osobowych. Jego działalność ma bowiem charakter doradczy, informacyjny i kontrolny, a nie decyzyjny czy wykonawczy.
Nie oznacza to oczywiście braku jakiejkolwiek odpowiedzialności IOD wobec administratora. W sytuacji w której inspektor jest pracownikiem administratora zatrudnionym na podstawie umowy o pracę, to jego odpowiedzialność kształtuje się na podstawie przepisów ustawy Kodeks pracy. Zgodnie z art. 114 tego aktu prawnego pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną. Może chodzić np. o niepoinformowanie administratora o obowiązku, który wynika bezpośrednio z przepisów prawa, ukrycie istotnego faktu dotyczącego systemu ochrony danych osobowych, celowe wprowadzenie administratora lub jego pracowników w błąd itd. Inspektor nie może natomiast zostać w jakikolwiek sposób ukarany za wypełnianie swoich zadań.
Warto w tym miejscu odwołać się także do wyroku WSA w Warszawie, w którym skład orzekający rozstrzygał m. in. o kwestii możliwości uznania za odrębnego administratora pracownika zatrudnionego przez podmiot, w którym doszło do naruszenia bezpieczeństwa danych osobowych. Sąd zauważył, iż „z istoty stosunku pracy wynika, że w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa (…). Z punktu widzenia prawa jego działania są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej”. Sąd stwierdził także, że tej sytuacji prawnej nie zmienia „działanie naruszające czy wykraczające poza zakres powierzonych przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia). Wówczas dalej mamy do czynienia z działaniem pracownika (naruszającego swoje obowiązki pracownicze), podlegającym jednak zarachowaniu na rzecz pracodawcy, a nie z samodzielnym działaniem osoby, która wykracza w ten sposób poza swój status pracowniczy”. (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 maja 2021 r. II SA/Wa 2129/20). Jeżeli zatem w opisanym w pytaniu przypadku doszło do przekroczenia uprawnień przez IOD i to jego działanie spowodowało naruszenie bezpieczeństwa, to należy stwierdzić, że odpowiedzialność za tę sytuację ponosi przedsiębiorstwo, które w dalszych krokach może oczywiście dochodzić wobec pracownika swoich racji przed sądem.
Ostatnią kwestią jest powierzenie pełnienia funkcji inspektora ochrony danych przewodniczącemu zakładowej organizacji związkowej – nie rekomendujemy takiego rozwiązania. Bo chociaż unijny prawodawca dopuścił możliwość łączenia wykonywania zadań IOD z innymi obowiązkami, to zastrzegł, że nie może to powodować konfliktu interesów (art. 38 ust. 6 RODO). Nie powinno zatem dojść do sytuacji, w której prawidłowa realizacja zadań IOD będzie zagrożona przez wypełnianie innej funkcji. W przypadku szefa organizacji związkowej potencjalny konflikt interesów z pracodawcą-administratorem jest jak najbardziej realny, a niezależność inspektora podważalna.
Podstawa prawna:
- Art. 114 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy
- Art. 4 pkt 7) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Art. 4 pkt 12) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Art. 24 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Art. 32 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Art. 38 ust. 6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Art. 39 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych
RODO w firmie – zobacz odpowiedzi na pozostałe najczęściej zadawane pytania