Czy bezzasadne zapoznanie się z danymi osobowymi, do których pracodawca udzielił pracownikowi dostępu w związku z wykonywanymi zadaniami, może być podstawą dyscyplinarki? Czy wgląd w dane osobowe dla zaspokojenia ciekawości — bez wyrządzenia komukolwiek jakiejkolwiek szkody — stanowi naruszenie przepisów RODO i usprawiedliwia zastosowanie tak poważnej sankcji wobec ciekawskiego pracownika? (wyrok Sądu Okręgowego w Elblągu z 24 marca 2021 r., IV Pa 10/21).
Orzeczenie dotyczyło odwołania od dyscyplinarnego zwolnienia pracownicy ZUS, która bezprawnie — wbrew procedurom wewnętrznym, bez związku z wykonywaniem obowiązków pracowniczych, z naruszeniem upoważnienia — zapoznała się z danymi osób ubezpieczonych (m.in. sprawdzała swojego męża, kilku pracowników szpitala, który podlegał pod inny oddział ZUS, 6 pracowników starostwa powiatowego, a także konto starostwa jako płatnika składek; zapytana o przyczynę nie umiała tego wytłumaczyć). Zdaniem przełożonych bezzasadny wgląd w cudze dane osobowe oznaczał, iż kobieta dopuściła się ciężkiego naruszenia podstawowych obowiązków pracowniczych, zatem została zwolniona w trybie art. 52 par. 1 kp. (Dodatkowo o naruszeniu ochrony danych został powiadomiony PUODO oraz wszystkie osoby, których dotyczyły nieprawidłowości, a także powiadomiono prokuraturę o możliwości popełnienia przestępstwa z art. 267 kk i art. 107 uodo.)
W odwołaniu od dyscyplinarki powódka powołała się na swój wieloletni staż pracowniczy, a także wysoką ocenę jej pracy (była wielokrotnie nagradzała). Co więcej zapoznanie się z danymi zgromadzonymi na koncie ubezpieczonych nie wyrządziło nikomu żadnej krzywdy, zaś skutki naruszenia miały charakter abstrakcyjny (nie przekładało się na realną szkodę czy choćby negatywną ocenę wśród ubezpieczonych), zatem sankcja jest zbyt nieproporcjonalna.
Sąd prawomocnie oddalił powództwo: do obowiązków pracownicy należało wystawianie zaświadczeń na wniosek ubezpieczonych, w tym zakresie była upoważniona do pobierania danych osobowych klientów ZUS w zakresie niezbędnym do sprawdzenia zapisów dotyczących ubezpieczenia i wynagrodzenia. Wykonywanie tych czynności wymagało udzielenia dostępu do systemu teleinformatycznego, w związku z czym kobieta zobowiązała się do zachowania w poufności i nieujawniania żadnych informacji dotyczących przetwarzanych danych, a także ich ochrony przed nieupoważnionym dostępem, ujawnianiem, pozyskiwaniem, etc…
…co nie zmienia faktu, że kobieta uzyskała dostęp do danych bez związku z wykonywanymi obowiązkami — bo nie zajmowała się ich sprawami (nie było żadnego wniosku do rozpatrzenia), zaś część tych osób w ogóle była poza zakresem terytorialnym jej oddziału.
Bezprawny i nieuzasadniony wykonywanymi obowiązkami wgląd w dane osób ubezpieczonych w ZUS stanowi ciężkie naruszenie podstawowych obowiązków pracowniczych — zasad bezpieczeństwa, obowiązku zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę i tajemnicy pracodawcy (art. 100 par. 2 kp). Działanie pracownicy było celowe i świadome, ponieważ kobieta była wielokrotnie zapoznawana z zasadami ochrony danych osobowych, a także składała stosowne oświadczenia.
Bezzasadne zapoznanie się przez pracownika ZUS z danymi osobowymi — wejście na konto ubezpieczonego — oznacza także naruszenie przepisów RODO, które podlega penalizacji karnej. Czynnością sprawczą jest wówczas samo przetwarzanie danych, niezależnie od tego czy osoba poniosła jakiekolwiek szkody wskutek naruszenia prawa — zaś konieczność zgłoszenia naruszenia ochrony danych mogła wiązać się dla pracodawcy z ryzykiem nałożenia administracyjnej kary pieniężnej (tutaj rozpędzony sąd napisał, że „w wysokości do 20.000.000 €”, co akurat w przypadku ZUS prawdą nie jest).
Oddalenie apelacji kosztowało powódkę blisko 1,5 tys. złotych tytułem kosztów (w po przegranej w I instancji została z obowiązku zwrotu kosztów zwolniona).