Ujawnienie danych osobowych pracownika nie musi oznaczać naruszenia dóbr osobistych

Czy ujawnienie danych osobowych pracownika oznacza naruszenie jego dóbr osobistych? Czy wystąpienie GIODO, w którym wskazuje się na naruszenie zasad ochrony danych osobowych, jest wystarczające dla oceny, iż doszło do pogwałcenia prywatności jednostki? Czy pracodawca może ponosić odpowiedzialność za delikt, którego dopuścił się wynajęty szkoleniowiec? (wyrok Sądu Apelacyjnego w Białymstoku z 17 stycznia 2018 r., sygn. akt I ACa 708/17).

Pracownik wystąpił przeciwko pracodawcy z powództwem o ochronę dóbr osobistych. Podczas pracowniczego szkolenia BHP ujawniono jego dane osobowe, w tym te o charakterze wrażliwym, związane z wypadkiem w drodze do pracy (m.in. imię i nazwisko, datę wypadku, numer PESEL, imię ojca, adres zamieszkania, opis zdarzenia, okres niezdolności do pracy — oraz dokumentację medyczną: zaświadczenie z poradni neurologicznej, z ratownictwa medycznego, inne dane dotyczące stanu zdrowia).

Sprawa została zgłoszona do GIODO, który podzielił ocenę o naruszeniu przepisów o ochronie danych osobowych. Chociaż tożsamość mężczyzny nie została wprost ujawniona, podzielenie się tak dokładnymi informacjami o wypadku pozwoliło innym pracownikom na zidentyfikowanie powoda, zatem wykraczało poza zakres i cel określony w umowie o powierzenie przetwarzania danych osobowych.

Zdaniem poszkodowanego oznaczało pracodawca naruszył prawo do ochrony danych osobowych, a także prywatność, godność oraz prawo do zachowania w tajemnicy danych o stanie zdrowia, zatem wystąpił z powództwem żądając przeprosin i 20 tys. złotych zadośćuczynienia.

Pozwany pracodawca wniósł o oddalenie roszczenia: pracodawca ma prawo przetwarzać dane dotyczące stanu zdrowia pracownika związane ze zgłoszonym wypadkiem w drodze do pracy. Jeśli jednak wykorzystanie zanonimizowanych danych naruszyło dobra osobiste pracownika, to odpowiedzialność powinien ponosić przedsiębiorca profesjonalnie zajmujący się prowadzeniem szkoleń BHP.

Sąd prawomocnie oddalił powództwo: prowadzący szkolenie użył danych zanonimizowanych, zaś wiedza o wypadku i stanie zdrowia powoda była powszechnie znana wśród pracowników już wcześniej. Jeśli nawet można oceniać przebieg szkolenia BHP jako naruszenie dóbr osobistych powoda, to dopuścił się go szkolący, który nie był podwładnym pracodawcy (art. 430 kc), zaś spółdzielni nie można zarzucać winy w wyborze (art. 429 kc).
Odpowiedzialności pracodawcy za naruszenie dóbr osobistych nie można wywodzić z przepisu o odpowiedzialności administratora danych za działania procesora danych (w tym przypadku szkoleniowca, art. 31 ust. 4 uoodo), bo odpowiedzialność administracyjna nie przekłada się na odpowiedzialność cywilnoprawną. Sam pracodawca miał prawo przetwarzać dane osobowe dotyczące wypadku i stanu zdrowia pracownika (art. 27 ust. 2 uoodo), co wyłącza bezprawność ewentualnego naruszenia dóbr osobistych.

Co więcej pracownik nie wykazał, iżby ujawnienie jego danych osobowych naruszyło jego dobra osobiste, a zwłaszcza stało się przyczyną krzywdy w postaci rozstroju zdrowia — z obowiązku tego nie zwalniają go nawet ustalenia GIODO dotyczące naruszenia przepisów o ochronie danych osobowych.

Q.E.D.

6 comments for “Ujawnienie danych osobowych pracownika nie musi oznaczać naruszenia dóbr osobistych

  1. JAcek
    20 marca 2018 at 08:20

    Pracodawca miał prawo przetwarzać dane osobowe dotyczące wypadku i stanu zdrowia pracownika – czy to oznacza, że może te dane udostępniać stronom trzecim, w tym wypadku szkoleniowcowi BHP?

    • Olgierd Rudak
      20 marca 2018 at 09:33

      W gruncie rzeczy to był zewnętrzny BHP-owiec, zajmował się także samym wypadkiem (który skądinąd nie był wypadkiem w drodze do pracy). Więc on miał te dane sam z siebie.

      Natomiast z definicja przetwarzania danych osobowych obejmuje także ich udostępnianie (art. 7 pkt 2 ustawy), zaś wiadomo, że dane nie muszą być zawsze pozyskiwane bezpośrednio od zainteresowanej osoby (art. 25 ustawy) — więc tak, abstrahując od tego, że mogły nie zgadzać się cele przetwarzania, dane osobowe można udostępniać.

  2. RYBY
    20 marca 2018 at 10:45

    Przy czym o udostępnieniu danych powinno się powiadomić osobę, której dane dotyczą.
    Poza tym jeżeli zmienia się cel przetwarzania, to powinna być zgoda tej osoby.
    A wystarczyło pominąć kilka szczegółów, zmienić płeć, miejsce zdarzenia lub cokolwiek.

    • Olgierd Rudak
      20 marca 2018 at 10:51

      Z uzasadnienia wynika, że dane były zanonimizowane, natomiast ludzie i tak wiedzieli o wypadku, któremu uległ wiceprezes spółdzielni.

      • RYBY
        20 marca 2018 at 11:04

        Czyli nie były zanonimizowane ;-)
        Co innego wiedzieć ogólnie, a co innego dopasować do konkretnie opisanej sytuacji i to jeszcze ze szczegółami medycznymi.

        • Olgierd Rudak
          20 marca 2018 at 11:27

          No wiesz, to tak jak czytam uzasadnienie orzeczenia WSA/NSA dot. GIODO, gdzie są tylko inicjały. Dla 99,999% wystarczy, ale ja, chociaż nie jest to moja sprawa, biorę teczkę, wyciągam papier i mówię — „mam Cię diabełku, widzę, że próbujesz swoich sztuczek ze wszystkimi”.

          A jeśli sprawa była omawiana przez media, to w ogóle da się po nitce do kłębka (vide sprawy sprzed wielu lat o archiwalne zdjęcia na Naszej Klasie).

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.