Odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych

odpowiedzialnośćWiele osób podczas szkoleń zadaje pytanie jaka jest odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych. W ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r. poz. 1182) znajdziemy informacje na temat odpowiedzialności karnej (cały rozdział), administracyjnej i dyscyplinarnej. Oprócz  odpowiedzialności przewidzianej w ustawie o ochronie danych osobowych możemy także opierać się na przepisach prawa cywilnego. Odpowiedzialności tej może podlegać zarówno pracodawca jak i pracownik. Różny jest oczywiście zakres tej odpowiedzialności, o czym szczegółowo pokażemy poniżej.

Jak już wyżej zostało wspomniane w ustawie o ochronie danych osobowych jest cały rozdział regulujący kwestie  odpowiedzialność karnej. Cześć z przepisów art. 49 – 54a ustawy dotyczy tylko administratora danych natomiast pracownik może ponieść odpowiedzialność z art. 51-52 i 54a ustawy. Art. 51 stanowi o odpowiedzialności za udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym. Jest to jeden z niewielu przykładów w polskim ustawodawstwie  regulującego kwestie tzw. przestępstwa bezskutkowego – polegającego na tym, że nie musi nastąpić skutek w postaci udostępnienia danych osobom nieupoważnionym, a wystarczy samo stworzenie sposobności, żeby takie przestępstwo popełnić. W zależności od umyślności/nieumyślności działania takie działanie zagrożone jest następującymi karami: grzywny, ograniczenia wolności,  roku lub dwóch lat pozbawienia wolności. Przechodząc do praktycznego aspektu tego przepisu nie radzę zostawiać dokumentów z danymi osobowymi w samochodzie, czy niezabezpieczonego komputera.

Art. 52 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, którą mogą ponieść również pracownicy administratora danych, zagrożoną karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku. Odpowiedzialność karna jest przewidziana za choćby nieumyślne niezabezpieczenie danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 54a ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za utrudnianie lub udaremnianie inspektorowi GIODO kontroli. Taki czyn zagrożony jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do dwóch lat. Warto w tym miejscu wspomnieć o tym, że w praktyce, sądy nie stosują samoistnej kary pozbawienia wolności i głównymi karami jakie są stosowane są kary grzywny.

Jeżeli chodzi o odpowiedzialność cywilną pracownika to kwestie związane z ochroną danych osobowych stanowią cześć naszego prawa do prywatności, które to z kolei jest dobrem osobistym podlegającym ochronie na podstawie art. 24 kodeksu cywilnego. W związku z tym, jeżeli pracownik swoim działaniem naruszy kwestie związane z ochroną danych osobowych to może narazić się na to, że osoba poszkodowana jej działaniem wytoczy powództwo w sądzie cywilnym. Takiemu poszkodowanemu przysługują następujące roszczenia: roszczenie o zaniechanie naruszeń, o odszkodowanie lub zadośćuczynienie. Z praktyki znam sprawę w której sąd zasądził odpowiedną sumę pieniężną tytułem zadośćuczynienia od nauczyciela, który na wywiadówce w obecności pozostałych rodziców poruszał kwestie związane z problemami psychicznymi ucznia. Informacje te, stanowią dane wrażliwe w rozumieniu art. 27 ustawy.

W kontekście odpowiedzialności dyscyplinarnej to art. 17 ustawy przewiduje kompetencję dla inspektorów GIODO dla żądania wszczęcia wobec pracownika, który dokonał naruszeń postępowania dyscyplinarnego, a także informowania o wynikach postępowania i podjętych działań. Ponadto jeżeli pracownik został zapoznany z obowiązującymi procedurami, otrzymał upoważnienie do przetwarzania danych osobowych, odebrano od niego oświadczenie o zachowaniu danych w poufności to naruszenie zasad ochrony danych osobowych określonych w ustawie lub wewnętrznych procedurach może skutkować ciężkim naruszeniem obowiązków pracowniczych w rozumieniu art. 52 kodeksu pracy i skutkować rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika, nie wspominając o karach dyscyplinarnych wyodrębnionych w kodeksie pracy.

Ostatnim rodzajem odpowiedzialności jakie jest związanych z ustawą o ochronie danych osobowych, a może dotyczyć pracownika jest odpowiedzialność administracyjna. Ten rodzaj odpowiedzialności został wprowadzony do ustawy nowelizacją z marca 2011 r. Art. 12 pkt. 3) ustawy wśród zadań Generalnego Inspektora Ochrony Danych Osobowych wymienia zapewnienie wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji i daje możliwość GIODO stosowania środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji. Takim środkiem, który może być wobec pracownika zastosowany przez GIODO jest grzywna w wysokości do 50 tyś. zł w przypadku jednorazowego naruszenia i do 200 tyś. zł. w przypadku wielokrotnego naruszenia obowiązków o charakterze niepieniężnym.

Jak widać odpowiedzialność pracownika może być różna i mieć szeroki zakres. Ten artykuł nie jest jednak czymś w rodzaju „straszaka” a raczej ma za zadanie uświadamiać o potencjalnym zagrożeniu i pokazywać, że kwestie ochrony danych osobowych są co najmniej istotne.

Czy w Polsce można legalnie stosować podsłuchy?

tajemnicaOd kilku tygodni Polska dyskutuje na temat afery taśmowej. Podsłuchy – pomijając kwestie polityczne, okazuje się, że dopuszczalność stosowania podsłuchów jest bardzo ciekawym zagadnieniem prawnym. Prawda jest taka, że w dzisiejszych czasach nie trzeba dysponować drogim sprzętem detektywistycznym, wystarczy zwykły smartphone z zainstalowaną odpowiednią aplikacją. Niektóre z nich oferują naprawdę doskonałą jakość nagrań. Oczywiście można z łatwością nabyć przez internet także profesjonalny sprzęt służący do nagrywania rozmów, który będzie udawał długopis lub okulary. Czy można zatem legalnie nagrać z kimś rozmowę (np. z kontrahentem, sprzedawcą, pracownikiem lub pracodawcą) bez ujawniania tego faktu drugiej stronie?

Na wstępie należy wyjaśnić o jakich kategoriach odpowiedzialności może być mowa w przypadku nagrania rozmowy osoby, bez jej wiedzy. Czy dojdzie do naruszenia prawa do ochrony danych osobowych? Wszystko zależy od tego, czy w danej sytuacji stosujemy ustawę o ochronie danych osobowych.

Jeśli więc realizujemy pozytywne przesłanki stosowania ustawy określone w art. 2 i 3 oraz nie realizujemy żadnej z przesłanek negatywnych stosowania ustawy określonych w art. 4 ustawy o ochronie danych osobowych, to w omawianej sytuacji, może dojść do naruszenia prawa do ochrony danych osobowych. Upraszczając, dotyczy jednak głównie tego typu sytuacji, gdy np. jako przedsiębiorca (administrator danych), oprócz pozyskiwania danych osobowych klienta z wypełnionego przez niego formularza, nagrywalibyśmy dodatkowo jeszcze rozmowę z klientem. W takim wypadku, oraz w związku z faktem, że dane osobowe, to wszelkie informacje, które pozwalają choćby na pośrednią identyfikację osoby fizycznej, należałoby uznać, że dzięki nagraniu rozmowy pozyskujemy dodatkowe dane osobowe. Co prowadzić by mogło do braku podstawy do ich przetwarzania oraz naruszenia zasady adekwatności przetwarzanych danych. Należy mieć świadomość, że nagranie rozmowy pozwala nam na ustalenie nie tylko informacji przekazanych w toku rozmowy, ale również innych informacji, takich jak tembr głosu, jego barwa, klimat rozmowy, to wszystko zdradza osobowości, temperamenty i charaktery. Warto przytoczyć fragment orzeczenia Sądu Apelacyjnego w Gdańsku II Wydział Karny (Sygn. akt II AKa 208/13):

Jak słusznie podnosi się bowiem w orzecznictwie, słowne zapisy nagrań mogą zostać wprowadzone do procesu, lecz winno to nastąpić obok treści zarejestrowanych (utrwalonych dźwiękowo) rozmów. Trafnie zauważono, że przepis art. 410 kpk  nie eliminuje co prawda możliwości sięgania do pisemnych zapisów nagrań w miejsce ich bezpośredniego odtworzenia, lecz przekłady słowne zapisów rozmów nie stanowią samoistnego, ani pierwotnego dowodu, na którym sąd może poprzestać, a transpozycja treści nagrań na ich słowny przekład prowadzi nie tylko do zmiany formy dowodu, ale także do zmiany jego jakości. Słowny przekład nagrania nie oddaje bowiem wszystkich istotnych informacji i okoliczności (np. tembr głosu, czy towarzyszące rozmowie emocje), jakie można uzyskać w wyniku odsłuchania treści nagrania audio (por. wyrok Sądu Apelacyjnego w Lublinie z 22.11.2012r., II AKa 249/12, LEX nr 1237274; podobnie wyrok Sądu Apelacyjnego w Katowicach z 27.10.2012r., II AKa 223/10, LEX nr 785443).

Konsekwencją przetwarzania danych osobowych bez podstawy prawnej lub w zakresie nieadekwatnym (a więc w zasadzie również bez podstawy prawnej) jest odpowiedzialność karna określona w art. 49 ustawy o ochronie danych osobowych. Przewidziane w tym przepisie sankcje to kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (w przypadku braku podstawy do przetwarzania danych wrażliwych – do lat 3).

W omawianej sytuacji, można również ponieść odpowiedzialność administracyjną, która pojawić się może w przypadku wydania decyzji administracyjnej lub egzekucji decyzji administracyjnej. Odsyłamy tutaj do art. 12 ustawy o ochronie danych osobowych, gdzie omówione zostały kompetencje GIODO oraz do ustawy o egzekucji w postępowaniu administracyjnym.

Jeśli jednak nie spełniamy warunków do stosowania ustawy o ochronie danych osobowych, nie może być mowy o odpowiedzialności na gruncie ustawy o ochronie danych osobowych.

Poza odpowiedzialnością na gruncie ustawy o ochronie danych osobowych należy również pamiętać o możliwej odpowiedzialności z tytułu naruszenia dóbr osobistych a konkretniej prawa do prywatności. Bardzo często GIODO wspomina o tej drodze dochodzenia „sprawiedliwości” w sytuacji, gdy nie ma mowy o naruszeniu ustawy o ochronie danych osobowych, ale jednak konstytucyjne prawo do prywatności zostało naruszone. O tej kategorii odpowiedzialności wspominaliśmy już wcześniej na blogu.

Tytułem jedynie przypomnienia. Podstawą prawną odpowiedzialności w omawianej sytuacji jest art. 23 i 24 kodeksu cywilnego (dot. naruszenia dobra osobistego w postaci prawa do prywatności, które wprost nie jest ujęte w dyspozycji art. 23 kodeksu cywilnego, jednak zgodnie z utrwalonym poglądem doktryny i orzecznictwa, jako dobro osobiste również podlega ochronie prawnej).

Art. 23. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.

Kolejnym rodzajem odpowiedzialności jaką możemy ponieść z tytułu nagrania rozmowy bez wiedzy osoby, która uczestniczy w rozmowie, jest odpowiedzialność karna.

Art. 267. §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.

Zgodnie z przywołanym przepisem, odpowiedzialności karnej podlega ten, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

Nagrywając własną rozmowę, np. z pracownikiem lub pracodawcą, nie popełniamy przestępstwa z art. 267 § 3 kodeksu karnego, jeżeli nie uzyskujemy informacji, do których nie jesteśmy uprawnieni. Nie będzie zatem co do zasady przestępstwem nagranie szefa w czasie rozmowy (prowadzonej pomiędzy szefem a nawet inną osobą), podczas której wspomina o powodach wypowiedzenia z nami umowy o pracę. Co więcej, analiza ww. przepisu prowadzi do wniosku, że nigdy nie będzie mowy o tym przestępstwie, jeśli sami prowadzimy rozmowę i ją nagrywamy. Wynika to z faktu, że sprawca przestępstwa, aby można było mówić o popełnieniu czynu zabronionego, powinien zakładać lub posługiwać się urządzeniem podsłuchowym, wizualnym albo inny urządzeniem lub oprogramowanie.

Inaczej jednak wygląda sytuacja, gdy nie nagrywamy rozmowy w której sami uczestniczymy i gdy uzyskamy informacje, do których nie jesteśmy uprawnieni. O przestępczym charakterze naszego działania będzie rozstrzygało to, czy nagrywanie przez nas danej rozmowy było ukierunkowane na pozyskanie informacji, do których nie jesteśmy uprawnieni. Związane jest to z faktem, że omawiane przestępstwo to tzw. przestępstwo kierunkowe, czyli jego wystąpienie jest uzależnione od motywacji sprawy i pożądanego przez niego efektu. Jeśli nawet nagramy rozmowę i dzięki temu pozyskamy informacje, do których nie byliśmy uprawnieni, ale stało się to tylko „przy okazji”, nie było to naszym zamiarem, to nie ma mowy o popełnieniu przestępstwa z art. 267 § 3 kodeksu karnego.

Fakt, że nie jest „łatwo” popełnić przestępstwo z art. 267 § 3 kodeksu karnego nie oznacza, że będziemy w takiej sytuacji zawsze bezkarni. Dla osoby, która została nagrana, cały czas pozostaje cały wachlarz uprawnień przewidzianych w kodeksie cywilnym, które są związane z ochroną dóbr osobistych.

Gwarancja – czy sprzedawca może przekazać dane klienta z związku z reklamacją?

reklamacjaDostaliśmy niedawno na naszą skrzynkę bardzo ciekawe pytanie dotyczące dopuszczalności przekazania przez sprzedawcę towaru (konkretnie komputera przenośnego) danych osobowych klienta w związku ze zgłoszonym roszczeniem opartym o udzieloną gwarancję. Stan faktyczny wyglądał w następujący sposób. Klient, nazwijmy go – „Kowalski”, kupił u sprzedawcy (X Sp. z o.o.) oficjalnego importera marki (Y Sp. z o.o.) komputer przenośny. Niestety wkrótce po zakupie okazało się, że komputer posiadał pewne istotne wady związane z nierównomiernym oświetleniem matrycy ekranu, co zdaniem Klienta, w znaczny sposób obniżało komfort jego użytkowania. Dokument gwarancyjny (gwarancja), który otrzymał od sprzedawcy klient, wystawiony był przez importera sprzętu. Klient skorzystał ze swoich uprawnień wynikających z gwarancji i zażądał od sprzedawcy zamiany sprzętu na nowy – wolny od wad. Sprzedawca zebrał od klienta dane osobowe w postaci: imię, nazwisko, adres poczty elektronicznej, numer telefonu. Po przyjęciu zgłoszenia od klienta, sprzedawca postanowił zgłosić sprzęt do naprawy do importera – który pełnił funkcję gwaranta. Ten ostatni, oprócz wymienionych powyżej danych osobowych, zażądał również – co wynikało z rodzaju wady zgłoszonej przez klienta – w jakich okolicznościach usterka się pojawiała, a więc kiedy ekran nie był podświetlany równomiernie.

W tym momencie sprzedawca skontaktował się z nami zadając pytanie, czy może przekazać do gwaranta kontaktowe dane osobowe oraz czy może gwarantowi przekazać opis usterki, w ramach którego klient opisał dokładnie w jakich okolicznościach, korzystając z jakiego oprogramowania, objawia się wspomniana powyżej usterka. Oczywiście stwierdzić należy, że taki opis usterki również może być nośnikiem informacji stanowiących dane osobowe. Tego wątku nie będziemy tutaj rozwijać. Powstaje jednak pytanie, czy sprzedawca może w takiej sytuacji przekazać do gwaranta dane kontaktowe klienta i dodatkowo, opis usterki. Sprzedawca posiada status administratora danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych odnośnie danych osobowych klienta związanych z realizacją umowy sprzedaży. W tym katalogu oczywiście znajdzie się imię, nazwisko, adres poczty elektronicznej oraz numer telefonu. Wskazać jednak należy, że z uwagi na skorzystanie przez klienta z uprawnień wynikających z tytułu gwarancji, a nie np. rękojmi za wady, odpowiedzialnym za wady jest w tym wypadku gwarant, a więc (w omawianej sytuacji) importer i to ten ostatni jest administratorem danych osobowych związanych z usunięciem usterki w związku z udzieloną gwarancją. Sprzedawca nie posiada zatem statusu administratora danych osobowych w stosunku do danych osobowych zawartych w opisie usterki. Zastosowanie powinna tutaj znaleźć instytucja powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Importer jako gwarant powinien powierzyć na rzecz sprzedawcy czynności związane z zebranie i przekazaniem danych osobowych związanych z opisem usterki na jego rzecz. Pozostałe dane osobowe, z uwagi na to, że ich administratorem jest sprzedawca, powinny być przez niego udostępnione na rzecz gwaranta. Podstawą udostępnienia danych osobowych, wbrew pojawiającym się poglądom, że powinna to być zgoda na udostępnienie danych osobowych, będzie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, a więc prawnie usprawiedliwiony interes administratora danych. Jako ciekawostkę można dodać, że gwarant będzie przetwarzał dane osobowe z kolei na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 577 kodeksy cywilnego oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

O czym powinien pamiętać sprzedawca? Powinien poinformować klienta o tym, że przekaże jego dane osobowe do gwaranta (a więc dopełnić w tym zakresie obowiązku informacyjnego). Dodatkowo, należy pamiętać o tym, aby przekazanie danych osobowych odbywało się w bezpieczny sposób, a więc w taki, który ograniczy dostęp do przekazywanych danych osobowych tylko i wyłącznie do kręgu osób upoważnionych do ich przetwarzania.