Czy pracodawca może ponosić odpowiedzialność za nielegalne wykorzystanie danych osobowych klienta przez pracownika? Jeśli firma prowadziła szkolenia w zakresie zachowania tajemnicy i procedur bezpieczeństwa, zaś uzyskanie dostępu do danych nie było efektem nieprawidłowości w ich zabezpieczeniu? A może istotne jest to, w jakiej branży podmiot prowadzi interesy — bo ocena należytej staranności w biznesie zależy od profesjonalnego charakteru działalności? (wyrok Sądu Najwyższego z 31 maja 2023 r., II CSKP 1251/22).
Sprawa zaczęła się od wykradania, przez pracownika SKOK, danych klientów i przekazywania ich do (zblatowanych) punktów sprzedaży komórek, gdzie w oparciu o te dane były podpisywane fikcyjne umowy abonenckie i kupowane telefony komórkowe. Sprawcy oszustwa zostali uznani winnymi przestępstwa, zaś jedna z pokrzywdzonych nielegalnym procederem pozwała SKOK i operatora telekomunikacyjnego o zadośćuczynienie za naruszenie dóbr osobistych.
Sąd oddalił całość roszczeń: pozwanym firmom nie można przypisać odpowiedzialności za bezprawne wykorzystanie danych osobowych klienta przez pracownika, albowiem nie doszło do błędów w zabezpieczeniu danych klientów. Każdy z pracowników-sprawców był upoważniony do dostępu i przetwarzania danych, zaś do oszustwa doszło przy okazji wykonywania obowiązków pracowniczych. Wykluczona jest także odpowiedzialność deliktowa, ponieważ żaden z pracowników nie był członkiem organu spółki, a więc spółka nie ponosi odpowiedzialności na zasadzie art. 416 kc.
art. 430 kodeksu cywilnego
Kto na własny rachunek powierza wykonanie czynności osobie, która przy wykonywaniu tej czynności podlega jego kierownictwu i ma obowiązek stosować się do jego wskazówek, ten jest odpowiedzialny za szkodę wyrządzoną z winy tej osoby przy wykonywaniu powierzonej jej czynności.
Odmiennie rzecz ocenił Sąd Najwyższy: owszem, konstytucyjne prawo do ochrony danych osobowych nie może być utożsamiane z dobrem osobistym — każda z tych wartości ma charakter autonomiczny i jest uregulowana w inny sposób — nieprawidłowości w przetwarzaniu danych osobowych mogą prowadzić do naruszenia dóbr osobistych człowieka (np. prywatności).
W orzecznictwie istnieje pogląd, że instytucja finansowa może ponosić odpowiedzialność za zawinione działania i zaniechania pracownika wykonującego w jego imieniu umowę — i nie może się uwolnić od tej odpowiedzialności powołując się na przeprowadzenie szkoleń i zobowiązanie pracowników do zachowania tajemnicy (wyrok SN 20 grudnia 2022 r., II CSKP 257/22).
art. 355 kc
§ 1. Dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność).
§ 2. Należytą staranność dłużnika w zakresie prowadzonej przez niego działalności gospodarczej określa się przy uwzględnieniu zawodowego charakteru tej działalności.
Brak wymaganej od profesjonalisty staranności (art. 355 par. 2 kc) można oceniać po tym, iż wskutek niedopatrzeń w procedurach biznesowych dochodzi do wyrządzenia klientom szkody, zwłaszcza, jeśli sprawcą szkody jest podwładny. Dotyczy to zarówno SKOK, która dopuściła do wykorzystania danych osobowych przez pracowników, ale też operatora, który bez prawidłowej weryfikacji zawarł umowę na wykradzione dane, a następnie windykował wynikającą z niej wierzytelność i wpisał rzekomą dłużniczkę do KRD. (Na marginesie SN zwrócił uwagę, że historia zaczęła się „przed RODO”, ale to nie ma większego znaczenia, bo przecież przepisy o ochronie danych osobowych obowiązywały od końca ubiegłego stulecia i zasadniczo się nie różniły.)
Biorąc pod uwagę, iż sądy nie zwróciły uwagi na te okoliczności, SN zdecydował się uchylić wyrok i zwrócić sprawę do ponownego rozpoznania.