Czy pracodawca może przeprowadzić badanie trzeźwości pracownika?

badanie trzeźwości

Celem wpisu jest odpowiedź na pytanie, czy pracodawca może samodzielnie przeprowadzić badanie trzeźwości pracownika. W jakich warunkach jego zachowanie uznane będzie za zgodne z zasadą legalności, rzetelności, celowości i adekwatności celu, jakim jest zapewnienie bezpieczeństwa w miejscu pracy? Z uwagi na złożoność problematyki artykuł został podzielony na kilka segmentów:

  1. Analiza dopuszczalności przeprowadzenia badania trzeźwości pracownika na gruncie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi;
  2. Trzeźwość pracownika w świetle orzecznictwa sądów powszechnych;
  3. „Za” i „przeciw” przeprowadzania samodzielnego badania trzeźwości przez pracodawcę. Uchybienia w badaniu przeprowadzanym przez pracodawcę;
  4. Ocena adekwatności przetwarzania danych osobowych pracownika.

 

Analiza dopuszczalności przeprowadzenia badania trzeźwości pracownika na gruncie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi

Ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (dalej: ustawa) nie przesądza wprost o tym, że pracodawca może samodzielnie przeprowadzić badanie trzeźwości pracownika za pomocą alkomatu. Nakłada jednak na pracodawcę obowiązek niedopuszczenia pracownika do pracy, jeżeli zachodzi uzasadnione podejrzenie, że stawił się do pracy w stanie po użyciu alkoholu albo spożywał go w pracy – nie jest więc konieczne, aby podejrzenie dotyczyło nietrzeźwości pracownika. Ustawa odróżnia bowiem pojęcie stanu nietrzeźwości (zawartość alkoholu w organizmie w wydychanym powietrzu wynosi powyżej 0,25 mg/1 dm3) i stanu po użyciu alkoholu (0,1-0,25 mg/1 dm3). Przyjmuje się więc, że na pracodawcę nałożony jest obowiązek niedopuszczenia pracownika do pracy, jeżeli ma uzasadnione przypuszczenie, że zatrudniony przyszedł do pracy co najmniej w tak rozumianym stanie po użyciu alkoholu[i] (a więc także gdy stawił się do pracy w stanie nietrzeźwości), ale również wtedy, gdy podejrzewa, że pracownik po prostu spożywał alkohol w pracy (a tym bardziej gdy był świadkiem spożywania alkoholu przez podwładnego) – już niezależnie od zawartości alkoholu w jego organizmie.

W przypadku takiego niedopuszczenia okoliczności stanowiące podstawę decyzji pracodawcy powinny być podane pracownikowi do wiadomości. Oczywistym jest, że regulacja wspomnianego obowiązku pracodawcy jest szczególnie ważna w przypadku zawodów, z którymi wiąże się ryzyko narażenia zdrowia i życia ludzkiego na niebezpieczeństwo, na przykład gdy praca polega na przewozie osób w ramach komunikacji miejskiej albo łączy się z udzielaniem świadczeń zdrowotnych w placówkach medycznych. Ustawa wymaga jednak odsunięcia pracownika w każdym przypadku, gdy podejrzenie spożycia alkoholu w pracy lub stawienia się do niej w stanie po jego użyciu jest uzasadnione. Należy bowiem pamiętać, że nietrzeźwy pracownik może również stanowić zagrożenie dla innych zatrudnionych, dla mienia pracodawcy czy też samego siebie. Do samego niedopuszczenia pracownika do pracy wystarczy więc zauważenie typowych oznak upojenia alkoholowego w jego zachowaniu czy też wyczucie od niego woni alkoholu. Ponieważ jednak kwestia tego, czy podejrzenie było uzasadnione, może być sporna, wyniki badań trzeźwości mogłyby okazać się pomocne przy rozwianiu ewentualnych wątpliwości.

 

Trzeźwość pracownika w świetle  orzecznictwa sądów powszechnych

Sąd Najwyższy stwierdził, że aby można było uznać, że pracownik pozostaje w dyspozycji pracodawcy, konieczna jest jego gotowość do pracy, którą automatycznie wyklucza jego nietrzeźwość. W praktyce więc pracodawcy uznają zazwyczaj spożywanie alkoholu w trakcie pracy lub przed jej rozpoczęciem za ciężkie naruszenie podstawowych obowiązków pracowniczych. Konsekwencją takiego naruszenia jest możliwość rozwiązania przez pracodawcę umowy o pracę bez wypowiedzenia z winy pracownika. Zgodnie z orzecznictwem sądów odpowiednie udowodnienie, że do takiego naruszenia doszło, należy do pracodawcy rozwiązującego umowę, co zresztą w konsekwencji zapewnia mu pewną ochronę przed zarzutami naruszenia przepisów kodeksu pracy ze strony pracowników. Zgodnie bowiem z regulacjami kodeksu pracownikowi, z którym rozwiązano umowę o pracę bez wypowiedzenia z naruszeniem przepisów o rozwiązywaniu umów o pracę, przysługuje roszczenie o przywrócenie do pracy na poprzednich warunkach albo o odszkodowanie. W przypadku, gdy pracodawca chce rozwiązać umowę bez wypowiedzenia czy też wyciągnąć wobec pracownika konsekwencje dyscyplinarne (na przykład zastosować karę pieniężną), przydatne dla pracodawcy okaże się oficjalne potwierdzenie przypuszczeń wynikami badań trzeźwości. Czy może on jednak przeprowadzić takie badania samodzielnie?

 

„Za” i „przeciw” przeprowadzania samodzielnego badania trzeźwości przez pracodawcę. Uchybienia w badaniu przeprowadzanym przez pracodawcę.

Nie ulega wątpliwości, że ustawa upoważnia pracodawcę do żądania przeprowadzenia badań przez uprawniony organ powołany do ochrony porządku publicznego (przede wszystkim przez Policję, ale także straże gminne). Art. 17 ust. 3 ustawy zapewnia też prawo do takiego żądania osobie przez pracodawcę upoważnionej (na przykład pracownikom ochrony zakładu pracy) i samemu pracownikowi podejrzewanemu o spożycie alkoholu.

Często przyjmuje się jednak, że pracodawca może także sam w takim uzasadnionym przypadku poddać pracownika badaniu alkomatem – pod warunkiem, że na taką kontrolę pracownik wyrazi zgodę. Gdy zaś pracownik jej nie wyrazi, pracodawcy pozostaje żądanie przeprowadzenia badania przez Policję. Można nieraz spotkać się z poglądem, że to właśnie ze względu na wspomniany brak możliwości zastosowania pewnego rodzaju przymusu zmieniono przepis art. 17 ust. 3 ustawy, według którego jeszcze przed lipcem 2011 r. przeprowadzenia takiego badania trzeźwości mógł żądać tylko i wyłącznie pracownik.

Pracownik jednak, mimo zmian w przepisach, zachował swoje uprawnienie. Możliwe jest bowiem wystąpienie sytuacji odwrotnej. Kiedy pracodawca uzna, że zachodzi uzasadnione prawdopodobieństwo, że pracownik spożywał alkohol, ten może zażądać przeprowadzenia kontroli trzeźwości przez Policję, aby obalić podejrzenia pracodawcy, a w konsekwencji nie stracić wynagrodzenia za dany dzień w pracy.

Warto jednak rozważyć zmiany w tym przepisie pod innym kątem. Przed nowelizacją przepis zobowiązywał pracodawcę do zapewnienia przeprowadzenia badania stanu trzeźwości pracownika na jego żądanie. Przepis nie wskazywał więc, kto ma tego badania dokonać. W poprzednim stanie prawnym wydawało się oczywiste, że może je przeprowadzić również sam pracodawca. Być może jest to przyczyna tego, że takie badanie jest wciąż często uważane za dopuszczalne. Aktualnie zaś wskazane w przepisie jest wprost, że to uprawniony organ ma dokonać kontroli trzeźwości. Przy założeniu racjonalności działań ustawodawcy można uznać, że uściślenie przepisu w tym zakresie nie jest przypadkowe i wyklucza dopuszczaną wcześniej możliwość samodzielnego przeprowadzenia badania przez pracodawcę.

Część doktryny (m.in. dr Marcin Wujczyk[ii]) stoi jednak na stanowisku, że wprowadzenie tej zmiany wcale takiej możliwości nie eliminuje (o ile pracownik wyraża na kontrolę zgodę), a jedynie dodatkowo wprost dopuszcza przeprowadzenie badania przez uprawnione organy. Można sobie przecież wyobrazić sytuację, w której pracodawca chciałby przeprowadzić samodzielną kontrolę, a nieufny pracownik zażądałby badania przeprowadzonego przez inną osobę czy lepszym urządzeniem albo przypadek, w którym pracodawca żądałby przeprowadzania badania przez organ tylko z tego powodu, że sam nie jest w posiadaniu alkomatu. Na korzyść wskazanego poglądu przemawia fakt, że nie istnieje też przepis zakazujący przeprowadzenia kontroli samodzielnie przez pracodawcę.

          Jak można zauważyć, ze względu na to, że kwestia samodzielnego przeprowadzenia kontroli przez pracodawcę nie jest uregulowana wprost w przepisach, nie jest ona jednoznacznie rozstrzygnięta, a opinie na jej temat są zróżnicowane. Niektórzy twierdzą, że nic nie stoi takiej kontroli na przeszkodzie, o ile pracownik wyrazi zgodę na badanie. Warto jednak zauważyć, że w orzecznictwie wskazuje się, że odmowa takiej zgody na wstępie stawia pracownika w gorszej pozycji[iii]. Automatycznie zakłada się, że jakby był trzeźwy, to poddałby się badaniu bez zawahania, natomiast nie udzielając zgody w pewnym sensie utwierdza pracodawcę w przekonaniu, że spożywał alkohol. Dodatkowo pracownik, będąc w stosunku podległości względem pracodawcy, zdaje się nie mieć w tej sytuacji rzeczywistego wyboru, czy podda się badaniu – ze względu na obawę o wyciągnięcie wobec niego negatywnych konsekwencji z powodu takiej odmowy.

W praktyce zdarza się, że pracodawcy przeprowadzają kontrole trzeźwości na losowo wybranym pracowniku, tłumacząc się tym, iż jest to jeden z efektywniejszych sposobów odstraszenia pracowników od spożywania alkoholu w pracy. Wydaje się, że wyrywkowe sprawdzanie pracowników pod kątem ich trzeźwości (w przypadku braku uzasadnionego prawdopodobieństwa spożycia alkoholu) jest niczym nieuzasadnione. Poza tym trzeba podkreślić, że takie działanie może się wiązać z naruszeniem ich dóbr osobistych. Nawet wśród zwolenników teorii, że pracodawca może przeprowadzać samodzielnie badania, można spotkać się z poglądem, że kiedy nie występuje uzasadnione prawdopodobieństwo spożycia alkoholu, lepiej kontroli nie przeprowadzać – trzeba się bowiem liczyć z tym, że pracownicy mogą takie działania podważać.

Warto zauważyć, że można spotkać się z poglądem, iż z uwagi na to, że przepisy ustawy nie przewidują wprost przeprowadzenia przez pracodawcę samodzielnej kontroli trzeźwości pracownika, warto uregulować tę kwestię w aktach wewnętrznych zakładu, takich jak na przykład regulamin pracy. Nie jest to oczywiście obligatoryjne, jednak w praktyce może wiele ułatwić. A ponieważ kodeks pracy wprowadza jedynie przykładowy katalog kwestii, które powinny się znaleźć w takim regulaminie, to nic nie stoi na przeszkodzie, aby uregulować w nim właśnie kwestię badań trzeźwości przeprowadzanych przez pracodawcę – oczywiście przy założeniu, że uznajemy je za ogólnie dopuszczalne. Dzięki temu pracownicy mają być świadomi, w jakich okolicznościach może nastąpić kontrola trzeźwości w zakładzie pracy, kto może ją przeprowadzić, w jaki sposób i na jakich zasadach. Wydaje się, że szczegółowe określenie istotnych kwestii związanych z kontrolą trzeźwości pozwoli uniknąć w przyszłości nieporozumień między pracodawcą a pracownikami.

Ponieważ nie ma bezpośredniej podstawy prawnej do przeprowadzania kontroli trzeźwości przez pracodawców, zdarza się także, że od razu żądają oni przeprowadzenia kontroli przez Policję, nie wiedząc, czy sami mogą ją przeprowadzić. Moim zdaniem takie podejście jest jak najbardziej uzasadnione, ponieważ nie ulega wątpliwości, że wtedy ich działanie będzie zgodne z prawem. Co więcej, uważam, że – z uwagi na brak ustawowych podstaw do takich działań – kontrole przeprowadzane samodzielnie przez pracodawców nie powinny być uznawane za dopuszczalne. Jednak nie chciałabym niczego przesądzać. Każdy przypadek wymaga bowiem szczegółowej, indywidualnej analizy. Często bywa tak, że z obserwacji pracownika przez pracodawcę wynika, że dowody potwierdzające, że pracownik jest nietrzeźwy, okazują się niezbędne. I tu właśnie nieraz wchodzi w grę zbieranie zeznań świadków zdarzenia czy badanie alkomatem – przy czym warto podkreślić, że pracodawca powinien zadbać o to, by alkomat posiadał wszystkie niezbędne certyfikaty i atesty (oczywiście formalnego wymogu ich posiadania nie ma, jednak zmniejsza to ryzyko, że wynik badania zostanie zakwestionowany). W praktyce z przebiegu takiego badania sporządza się protokół, w którym opisuje się okoliczności uzasadniające jego przeprowadzenie[iv].

 

Ocena adekwatności przetwarzania danych osobowych pracownika

Zastanówmy się jeszcze, jak należy patrzeć na badania trzeźwości z punktu widzenia ustawy o ochronie danych osobowych. Informacje stanowiące wyniki przeprowadzonych badań można zakwalifikować jako tak zwane dane wrażliwe – w tym przypadku dane o stanie zdrowia albo informacje o nałogach. Należy zauważyć, że pracodawca (jako administrator danych), przetwarzając dane pracownika, zobowiązany jest do spełnienia przesłanki uzasadniającej wykonywanie operacji na danych osobowych. Z przetwarzaniem danych zwykłych, jak na przykład imię, nazwisko czy miejsce zamieszkania, nie ma większego problemu. Sytuacja komplikuje się, kiedy w grę wchodzi przetwarzanie danych wrażliwych. Przetwarzania takich danych ustawa generalnie zakazuje, chyba że mamy do czynienia z jednym z wymienionych w niej wyjątków. W analizowanym przypadku możemy rozważać zastosowanie art. 27 ust. 2 pkt 6 lub ewentualnie pkt 2 ustawy o ochronie danych osobowych jako podstawy przetwarzania. Konieczne jest więc istnienie aktu prawnego, w ramach którego wskazany jest zakres danych, których przetwarzanie jest niezbędne do wykonywania zadań administratora danych (pracodawcy) odnoszących się do zatrudnienia lub na gruncie której przetwarzanie danych o stanie zdrowia jest w pełni dopuszczalne, a która zapewnia gwarancje ich ochrony. W omawianym przypadku zakres lub dopuszczalność przetwarzania wskazuje ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, którą uzupełnia rozporządzenie Ministra Zdrowia w sprawie badań na zawartość alkoholu w organizmie. Powstaje jednak pytanie, czy może to stanowić podstawę przetwarzania danych w przypadku, gdy pracodawca przeprowadzi kontrolę trzeźwości samodzielnie. W mojej opinii przepisy ustawy na to nie pozwalają. Być może należy uznać, że właśnie ta kwestia przesądza o niedopuszczalności przeprowadzenia samodzielnego badania przez pracodawcę.

Warto zauważyć, że niejednokrotnie zdarza się, że pracodawcy zbierają od pracowników zgody na przetwarzanie danych wrażliwych. Czy jest to jednak dobre i skuteczne? Trudno byłoby jednoznacznie stwierdzić, że tak. Zgodnie bowiem z orzecznictwem Naczelnego Sądu Administracyjnego brak równowagi w relacji między pracownikiem a pracodawcą stawia pod znakiem zapytania dobrowolność wyrażenia zgody na przetwarzanie jego danych[v]. Pozyskane zgody mogą być więc zakwestionowane podczas kontroli przez inspektorów GIODO.

[i] M. Kuba, Prawne formy kontroli pracownika w miejscu pracy, 4.2.1-4.2.2, 2014 r.

[ii] M. Wujczyk, Prawo pracownika do ochrony prywatności, 12. Prawo pracownika do prywatności a kontrola trzeźwości pracownika i zażywania przez niego substancji psychotropowych, 2012 r.

 

[iii] Wyrok SN z dnia 24 maja 1985r., sygn. I PRN 39/85

 

[iv] M. Wujczyk, Prawo pracownika do ochrony prywatności, 12. Prawo pracownika do prywatności a kontrola trzeźwości pracownika i zażywania przez niego substancji psychotropowych, 2012 r.

 

[v] Wyrok NSA z dnia 1 grudnia 2009 r., sygn. I OSK 249/09

Nowe rozporządzenie unijne-101 Posiedzenia Grupy Roboczej

 rozporządzenie unijneW dniach 16-17 czerwca 2015 r. odbyło się 101. Posiedzenie Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli, podczas którego omawiano nowe rozporządzenie unijne z zakresu ochrony danych osobowych. Punktem wyjścia było zaaprobowanie przez specjalistów postanowień przyjętych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA).  Spotkanie to okazało się krokiem milowym do rozpoczęcia kolejnego etapu procesu legislacyjnego, zwanego w nomenklaturze trilogiem[1].

Grupa Robocza w swoich uwagach wskazała na najważniejsze problemy z punktu widzenia ochrony danych osobowych oraz propozycje ich rozwiązania. Zauważyła, że reforma przepisów nie może naruszać fundamentalnych praw podstawowych zagwarantowanych obecnie w Dyrektywie 95/46[2]. Przy czym ranga przepisów o ochronie prywatności wysuwa się przed szereg innych regulacji.

Na wstępie kilka słów odnoszących się do zagadnień poruszanych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Efektem spotkania było osiągnięcie porozumienia w zakresie ogólnego rozporządzenia o ochronie danych osobowych, które zastąpi Dyrektywę z 1995r. Nowy akt unijny ma szeroki zakres przedmiotowy. Obejmuje on szereg ułatwień dla przedsiębiorców oraz mechanizm przetwarzania danych osobowych oparty na zasadzie ryzyka. Z punktu widzenia społeczeństwa rozporządzenie stanie się gwarantem szeroko pojętej ochrony danych związanej z sukcesywnie rozwijanym społeczeństwem informacyjnym oraz Internetem rzeczy. Głębszej refleksji należy poddać zagadnienia, które stały się przedmiotem ożywionej dyskusji członków posiedzenia. Zwrócili oni uwagę na to, że celem nowego rozporządzenia jest ukształtowanie w świadomości obywateli oraz władz publicznych istnienia całościowego aktu, kompleksowo obejmującego istotne zagadnienia z punktu widzenia ochrony danych. Rozporządzenie unijne tworzy spójne i ujednolicone ramy ochrony prawnej na terenie całego obszaru Unii Europejskiej. Dodatkowo mechanizmy te mają być przejrzyste i zrozumiałe.

Grupa Robocza art. 29 przyjęła podczas 101. Posiedzenia dokument pt. „ Kluczowe tematy z perspektywy trilogu”. Zwróciła ona w nim uwagę na obszary zagadnień, które powinny stać się przedmiotem rozważań instytucji unijnych. Prace nad rozporządzeniem powinny charakteryzować się racjonalnym działaniem, a najważniejsze powinno być dobro obywateli. Wydaje się zrozumiałe, że pod pojęciem dobra rozumie się szeroko rozumiane urzeczywistnianie praw podstawowych. Grupa Robocza wskazała, że przypadki ingerencji w prawa osób, których dane dotyczą, powinny byś jasno i precyzyjnie sformułowane, a ich interpretacja nie powinna być dokonywana w sposób rozszerzający. Przedsiębiorcy zaś mają mieć zapewnione mechanizmy urzeczywistniające konkurencyjność oraz innowacyjność.

W swojej opinii Grupa Robocza skupiała się na następujących zagadnieniach:

  1. Ochrona danych osobowych na poziomie krajowym nie powinna być mniejsza od tej zagwarantowanej na poziomie unijnym. Ustawodawstwa Państw Członkowskich zobowiązane są do pogłębiania zaufania obywateli do państwa i stanowionego przez nie prawa. Racjonalny ustawodawca to ten, który w swoich pracach kieruje się dobrem obywateli. Dokonując transpozycji przepisów unijnych uwzględnia ich interesy.
  2. Kolejną kwestią jest odmienny poziom ochrony zagwarantowany przez dyrektywę oraz rozporządzenie. Grupa Robocza zwróciła tym samym uwagę na fakt, by przetwarzanie danych nie następowało na podstawie różnych przepisów. Wyżej wymienione akty potencjalnie gwarantują inne poziomy ochrony. Wydaje się, że dyrektywa zapewnia minimalny poziom ochrony. Grupa Robocza kładzie nacisk na to, by przepisy odnoszące się do przetwarzania prowadzone w celach innych niż zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie ich lub ściganie lub wykonywanie kar kryminalnych powinny być wyraźnie utrzymane w zakresie rozporządzenia unijnego. Wniosek jaki nasuwa się po lekturze owego zalecenia wydaje się oczywisty. Należy zapewnić spójność i transparentność obu aktów. Jasność przepisów oraz budowanie bezpieczeństwa prawnego powinny iść z nimi w parze.
  3. Szerokie spektrum zaleceń odnosiło się również do zakresu terytorialnego stosowania nowych przepisów. Grupa Robocza wskazała, że należy objąć przepisami rozporządzenia przetwarzających spoza UE w sytuacji, gdy działają oni jako administratorzy podlegający rozporządzeniu.

6815461264_934437f263_z

Rozporządzenie unijne-dużym wyzwaniem będzie ujednolicenie używanych definicji. Kluczowa, na kartach rozporządzenia, wydaje się definicja zgody. Grupa Robocza wydała zalecenie by zgoda w każdym przypadku przetwarzania była świadoma, udzielana na określony cel, dobrowolna i wyraźna.

Według Grupy Roboczej pojęcie identyfikowalności powinno obejmować wyodrębnienie osób. Członkowie Grupy Roboczej negatywnie odnieśli się do stwierdzenia zaproponowanego przez Parlament Europejski, że numery identyfikacyjne, dane lokalizacyjne, identyfikatory online lub inne szczególne czynniki nie będą koniecznie uznane za dane osobowe. Grupa Robocza wskazała, że zgodnie z utrwaloną linią orzeczniczą Trybunału Sprawiedliwości Unii Europejskiej adresy IP, identyfikatory online mogą być uznane za dane osobowe.

Grupa Robocza skupiła także uwagę na zasadzie ograniczania celu(odizolowaniu). W Opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. wskazano, że ograniczenie celu stanowi fundamentalną zasadę, w myśl której należy dążyć do maksymalnego „odizolowania” poprzez zapewnienie odpowiedniego poziomu ochrony zarówno w aspekcie organizacyjnym jak i technicznym. W infrastrukturach cloud computingu zasoby, takie jak przestrzeń dyskowa, pamięć i sieci, są współdzielone przez wielu wynajmujących. Stwarza to zagrożenia, że dane będą udostępniane i przetwarzanie do nielegalnych celów. „Odizolowanie” ma być odpowiedzią na ten problem i ma przyczynić się do zagwarantowania, że dane nie będą wykorzystywane w celu innym niż cel pierwotny.

Rozdział III przedmiotowej opinii dotyczy praw osoby, której dane dotyczą. Grupa Robocza w sposób zwięzły i precyzyjny wskazała na szereg obowiązków leżących po stronie administratora danych. Zobligowany jest on do szeroko rozumianego obowiązku informacyjnego. Po stronie osoby zainteresowanej leży natomiast prawo do przenoszenia swoich danych, prawo dostępu czy prawo do wniesienia sprzeciwu.

Zjawisko jakie budzi zastrzeżenie w opinii Grupy Roboczej to profilowanie. Występuje ono praktycznie w każdej sferze życia. Zaniepokojenie budzi fakt, że brak jest definicji legalnej profilowania. Postulat w tym zakresie odnosi się do wprowadzenia zwiększonej ochrony prawnej jako konsekwencji zapewnienia stabilności bezpieczeństwa prawnego.

Kolejnym ważnym tematem jakim zajęła się Grupa Robocza były kompetencje i obowiązki Administratorów Danych, a także osób przetwarzających. W pierwszych słowach odniesiono się do zasady ryzyka. Nieodzownym elementem tej zasady jest rozliczalność. Elementem rozliczalności oraz przejrzystości działania administratorów danych jest wymagana prawem dokumentacja. W uwagach końcowych Grupa Robocza stwierdziła, że przejawem zasady rozliczalności jest również obowiązek wzmożonej współpracy z organem ochrony danych osobowych.

Dodatkowo Grupa Robocza zajęła się kwestią oceny wpływu nowego  rozporządzenia  unijnego na ochronę danych (DPIA). Wyraziła ona ogólne zadowolenie z przyjęcia dwustopniowej oceny ryzyka. Podejście takie w sposób jeszcze pełniejszy realizuje prawa i wolności osób, nie skupiając się wyłączenie na ochronie danych. Tym samym, kompleksowe podejście zostało w pełni zaaprobowane.

Rozwój gospodarki cyfrowej na rynku wewnętrznym był obszernym zagadnieniem, nad którym debatowano podczas 101. Posiedzenia Grupy Roboczej. Konkluzja jaką przyjęto brzmi następująco. Przekazywanie danych musi następować zgodnie z zasadą odpowiedniości. Zasada ta została uregulowana w art. 25 Dyrektywy. Zgodnie z jej literalnym brzmieniem:

Zasady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby, władze publiczne, przedsiębiorstwa, agencje i inne organy odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

Jednym z końcowych zagadnień jakim zajęła się Grupa Robocza była odpowiedzialność prawna. Wskazano na konieczność uwzględnienia kar administracyjnych w przypadku gdy administrator lub przetwarzający zapewniają zgodności działania z przepisami o ochronie danych osobowych. Dolegliwość finansowa ma na celu efektywne przestrzeganie przepisów kompetencyjnych leżących po stronie przetwarzających.

[1] „Trilog”- negocjacje pomiędzy Radą UE, Parlamentem Europejskim a Komisją Europejską, zmierzające do wypracowania wspólnego tekstu aktu prawnego

[2] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( Dz.U. L 281 z 23.11.1995)

Źródło: http://www.giodo.gov.pl/

Kluczowe tematy z perspektywy trilogu (źródło: GIODO)

Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.