Czy pracownik naruszający zasady przetwarzania danych osobowych u pracodawcy powinien liczyć się z dyscyplinarką? Rzecz wydaje się prosta jeśli dopuścił do wycieku danych lub je wykradł — ale co w sytuacji gdy pracownik działa w granicach swojego upoważnienia, ale nie do końca w celu, w jakim dane osobowe są przetwarzane przez jego pracodawcę?
I przy okazji: czy świadczenie usług na rzecz innego podmiotu — w czasie i miejscu pracy — może być kwalifikowane jako naruszenie podstawowych obowiązków pracowniczych?
wyrok Sądu Najwyższego z 4 kwietnia 2017 r. (II PK 37/16)
1. W świetle art. 7 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych oznacza jakiekolwiek operacje wykonywane na danych osobowych od ich pozyskania do usunięcia ze zbioru, zwłaszcza te, które wykonywane są w systemach komputerowych. Wystarczy zatem, że wykonywana jest którakolwiek z podanych w tym przepisie operacji, a nawet operacja inna niż tam wymieniona, mająca za przedmiot dane osobowe (np. czytanie danych osobowych przez administratora lub pracownika), aby uznać, iż dochodzi do przetwarzania tychże danych.
2. Przepis art. 37 uoodo, ustanawiający zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora do przetwarzania danych osobowych, statuuje nie tyle obowiązek przestrzegania tajemnicy danych, ile pewien rodzaj ogólnego obowiązku posłuszeństwa wobec administratora, zobowiązanego do ochrony danych osobowych i ponoszącego z tego tytułu odpowiedzialność prawną. Obowiązek ten byłby naruszony w każdym przypadku przetwarzania danych wykraczającym poza zakres udzielonego przez administratora upoważnienia do przetwarzania danych osobowych, nawet przy zachowaniu ich poufności. W niedopełnieniu powyższego obowiązku przez pracownika upoważnionego do przetwarzania danych osobowych trzeba upatrywać znamion ciężkiego naruszenia podstawowych obowiązków pracowniczych w rozumieniu art. 52 kp.
Sprawa dotyczyła wieloletniej pracownicy ZUS (kierowniczki referatu zasiłków), która wbrew uprawnieniom uzyskała dostęp do danych osobowych i pobrała część danych personalnych osób ubezpieczonych. W toku wewnętrznej weryfikacji pracownica wyjaśniła, że dodatkowo pracuje jako kadrowa w innej firmie, więc chciała sprawdzić czy złożona dokumentacja jest prawidłowa.
Zdaniem ZUS doszło do świadomego naruszenia przepisów o ochronie danych osobowych, przez co pracownica nie daje rękojmi bezpieczeństwa i poufności przetwarzanych danych, ponadto czynności na rzecz innego podmiotu były świadczone w czasie pracy — zatem umowa o pracę została rozwiązana bez wypowiedzenia z winy pracownika ze względu na ciężkie naruszenie podstawowych obowiązków pracowniczych (art. 52 par. 1 pkt 1 kp).
Sprawa o odszkodowanie trafiła do sądu, który w I instancji oddalił powództwo: wskazana przez ZUS okoliczność była rzeczywista, zaś naruszenie zasad ochrony danych osobowych może stanowić podstawę do dyscyplinarnego zwolnienia pracownika, choćby przez to, że stanowi przestępstwo z art. 49 ust. 1 uoodo.
art. 52 par. 1 kp
Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie:
1) ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych,
2) popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem,
3) zawinionej przez pracownika utraty uprawnień koniecznych do wykonywania pracy na zajmowanym stanowisku.
Jednak w II instancji odmiennie oceniono spór — skoro powódka była upoważniona także do „przetwarzanie danych osobowych w celach ustalania uprawnień do świadczeń z ubezpieczenia społecznego objętych działaniem oddziału, łącznie z inspektoratami”, to mogła zalogować się do systemu i uzyskać dostęp do danych przedsiębiorcy, na rzecz którego świadczyła usługi, zwłaszcza, że nie zgłaszał on pretensji związanych z naruszeniem jego danych osobowych. Co do kwalifikacji czynu jako przestępstwa, sąd I instancji miał ustawowy obowiązek zawiadomienia organów ścigania (art. 304 par. 2 kpk) — obowiązek społeczny spoczywał na ZUS — zatem skoro tego nie uczyniono i kompetentne organy się nie wypowiedziały, to nie można polegać na dywagacjach — zwłaszcza, że są rozbieżne interpretacje czy samo „czytanie” danych osobowych jest ich „przetwarzaniem”.
Sąd Najwyższy uwzględnił skargę kasacyjną wniesioną przez ZUS i uchylił zaskarżone orzeczenie: warunkiem zastosowania dyscyplinarki może być m.in. (i) ciężkie naruszenie przez pracownika jego podstawowych obowiązków (art. 100 kp), które w sposób zawiniony i bezprawny zagraża podstawowym interesom pracownika lub (ii) popełnienie przez pracownika przestępstwa; zaś przyczyna podana pracownikowi musi być taka sama jak okoliczności wskazywane przez pracownika w toku postępowania sądowego (pracodawca nie może powoływać się na inne argumenty). Skoro zatem pracodawca powołał się na ciężkie naruszenie obowiązków, a nie na przestępstwo przeciwko ochronie danych osobowych, to rozważania odnoszące się do tej kwestii są bezzasadne.
Ciężkim i zawinionym naruszeniem obowiązków pracowniczych jest wykonywanie bez wiedzy i zgody pracodawcy, w miejscu i czasie pracy, przy wykorzystaniu sprzętu i systemu pracodawcy, czynności na rzecz innego podmiotu. Usprawiedliwieniem takiego zachowania nie może być wykonywanie czynności podczas przerwy śniadaniowej, która wliczana jest do czasu pracy (i pracownik otrzymuje za nią wynagrodzenie, art. 134 kp) — celem przerwy śniadaniowej jest wypoczynek, a nie świadczenie pracy na rzecz innej firmy.
Naruszenie zasad dostępu do danych osobowych zgromadzonych w systemie ZUS naruszyło także obowiązek zachowania w tajemnicy o klientach pracodawcy (art. 100 par. 2 pkt 4-5 kp) — wszakże powódka była upoważniona do dostępu do zbioru, ale wyłącznie w zakresie związanym z pracą wykonywaną na rzecz administratora danych osobowych. Jednak pracownik dopuszczony do przetwarzania danych osobowych (art. 37 uoodo) nie może samodzielnie decydować o celach i sposobach przetwarzania danych, w tym wykorzystywać danych w inny sposób, niż przewidział to pracodawca.
W sporze nie ma znaczenia czy ów pracodawca upoważnił powódkę (zatrudnioną jako kadrową) do przetwarzania danych osobowych swoich pracowników — naruszenie zasad bezpieczeństwa danych osobowych w ZUS miało związek ze świadczeniem pracy na rzecz ZUS.