Poniedziałek, jutro niektórzy wracają do pracy, choćby zgrywać zdjęcia cyknięte w czasie świąt — dobry moment, by zadać sobie sakramentalne pytanie: czy możliwa jest dyscyplinarka już za samo podpięcie prywatnego pendrive do służbowego komputera? Czy sankcja tego rodzaju będzie uzasadniona dopiero po stwierdzeniu, że pracownik skopiował sobie istotne dane należące do pracodawcy? (wyrok SN z 13 lutego 2019 r., III PK 13/18).
Orzeczenie dotyczyło pracownika (funkcjonariusza Straży Ochrony Kolei) zwolnionego z pracy w trybie dyscyplinarnym za podłączenie — wbrew zakazowi wynikającemu z regulacji obowiązujących u pracodawcy — do służbowego komputera prywatnego pendrive i skopiowanie informacji będących danymi osobowymi i tajemnicą przedsiębiorcy (zdaniem pracownika były to tylko zdjęcia, ale w sporządzonym przez pracodawcę protokole napisano, że były to „fotografie z pokazu psa służbowego, akcji bezpieczny przejazd oraz wzory dokumentów wykorzystywanych w służbie”, a także różne dane osobowe, zbiorczo określono to jako „zawartość dysku D”).
Afera zaczęła się od gapiostwa pracownika, który po pracy pozostawił trzy pendraki w służbowym komputerze; sprzęt znaleźli jego koledzy, przejrzeli go (spytani przez zainteresowanego, zaprzeczyli, że znaleźli zgubę); po przeskanowaniu okazało się, że są zawirusowane.
Wychodząc z założenia, iż doszło do naruszenia podstawowych obowiązków pracowniczych (art. 100 par. 2 pkt 2, 4, 5 kp), pracodawca rozwiązał umowę o pracę bez zachowania okresu wypowiedzenia z winy pracownika (art. 52 par. 1 pkt 1 kp) — ten zaś odwołał się od dyscyplinarki do sądu pracy.
Sąd uwzględnił odwołanie zwolnionego pracownika i zasądził na jego rzecz 10 tys. złotych odszkodowania: nie budzi wątpliwości, że skopiowanie danych osobowych lub informacji poufnych jest ciężkim naruszeniem podstawowych obowiązków pracowniczych (por. „Przesłanie poufnych dokumentów na własną skrzynkę email a tajemnica pracodawcy”) — jednak zebrane w sprawie dowody, w tym opinia biegłego informatyka nie pozwala na postawienie pracownikowi takiego zarzutu. Niezależnie od tego, że pracownik podpiął do komputera własny nośnik danych i skopiował część zasobów ze służbowego komputera (na pewno były to zdjęcia z prelekcji) — formatując dysk twardy komputera, skanując pamięć programem antywirusowym i pozwalając na wpięcie znalezionych paluchów w inny komputer, pracodawca sprawił, iż nie można zagwarantować, że dane nie były modyfikowane na późniejszym etapie (biegły dostał komputer do analizy po roku, a przez cały ten czas pracowała na nim inna osoba — nie umiał zatem odpowiedzieć na 8 z 14 zadanych pytań, nie sposób zatem ustalić co skopiował powód, ale na pewno nie mógł skopiować całego dysku twardego).
Oznacza to, że jednorazowe użycie prywatnego pendrive stanowiło naruszenie obowiązków pracowniczych wynikających z polityki bezpieczeństwa teleinformatycznego — ale nie było ciężkim naruszeniem podstawowych obowiązków pracowniczych, przeto nie uzasadnia zastosowania dyscyplinarki.
Badając skargę kasacyjną pracodawcy Sąd Najwyższy stwierdził, iż niezależnie od wątpliwości dowodowych i kwestii opinii biegłego, sąd zawsze musi wziąć pod uwagę fakty, które zostały niezbicie ustalone — że nośnik został podpięty do służbowego komputera, a następnie skopiowano nań jakieś dane (pracownik twierdzi, że nieistotne zdjęcia) — a także postarać się odpowiedzieć na wynikające z tego pytanie: czy można pracownika zwolnić w trybie dyscyplinarnym już za samo podpięcie prywatnego penderive do służbowego komputera? Nawet jeśli bowiem zarzut polega na koniunkcji („użycie prywatnego pendriva i skopiowanie plików”), to przecież można rozpatrywać jako odrębne zachowania — zaś każde z nich, jako naruszające zasady bezpieczeństwa danych, może być traktowane jako podstawa do zastosowania sankcji określonej w art. 52 par. 1 pkt 1 kp (choć oczywiście w sprawie istotnej jest to jak dokładnie pracodawca opisał przyczynę rozwiązania stosunku pracy, art. 30 par. 4 kp).
Niezależnie od tego zdaniem SN w sprawie popełniono istotne błędy proceduralne, które uniemożliwiły rozstrzygnięcie sporu: zebrane w sprawie dowody nie do końca wyjaśniły czy i jakie pliki zostały skopiowane na pendrive (pracownik przyznał się do zdjęć, pracodawca mówił o istotnych informacjach — a przecież część danych mogła zostać zapisana już po tym jak pracownik utracił kontrolę nad urządzeniem — biegły zaś stwierdził, że wskutek własnoręcznego sprawdzenia zawartości nośników przez pracowników pozwanego oraz „zaorania” komputera nie jest w stanie nic stwierdzić). Na te niedociągnięcia powinien był zwrócić uwagę sąd II instancji, który nie jest wyłącznie sądem kontrolnym, ale powinien też ocenić sprawę w granicach zaskarżenia (art. 386 par. 4 kpc), zatem powinien też ustalić stan faktyczny (art. 382 kpc) — tymczasem zamiast tego „przedstawił rozważania o znaczeniu ogólnym”, nie odnosząc się do meritum sporu, w tym do istoty szkody doznanej przez pracodawcę.
Skoro zatem rozpatrujący apelację sąd nie rozpoznał istoty sprawy (art. 378 par. 1 kpc) i pominął zebrany materiał, w tym zeznania świadków, a przez to nie dokonał wszechstronnego rozważenia i oceny zebranego materiału dowodowego, skarga kasacyjna okazała się uzasadniona — zaś wszelka ocena istoty sporu byłaby w tej sytuacji przedwczesna.
Zamiast komentarza: uwielbiam uzasadnienia wyroków, w których sędziowie wykazują się erudycją (szkoda, że 90% takich wywodów ogranicza się do copy-paste, często na poziomie podręcznikowym) — gorzej, że czasem te wciśnięte na marginesie uwagi, kompletnie oderwane od meritum sporu, nie mają najmniejszej wartości (co najwyżej mogą służyć jako dowód na to, że wcale nie tak rzadko sądy wypowiadają poglądy oderwane od istoty sprawy).
Bo przecież jednoznacznej odpowiedzi na pytanie czy grozi dyscyplinarka za podpięcie prywatnego pendrive do służbowego komputera — za samo wpięcie nośnika do portu USB, nie za skopiowanie poufnych informacji czy danych osobowych — właściwie się nie doczekaliśmy, prawda?
Q.E.D.