RODO – WYROK SĄDU REJONOWEGO W TORUNIU Z DNIA 28 GRUDNIA 2018 R.

RODO wyrok sądu

Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r.

IV P 364/18 – Jeden z pierwszych wyroków rozstrzygających o zasadności podpisania dokumentów z zakresu ochrony danych przez pracownika.

W sentencji wyroku znajdziemy uznanie powództwa oraz zasądzenie kosztów od pozwanej Spółki (pracodawcy).

Pracownik wniósł powództwo tytułem odszkodowania za niezgodne z prawem rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika w trybie art. 52 § 1 pkt 1 Kodeksu pracy. Przyczyną uzasadniającą wypowiedzenie było niepodpisanie przez pracownika dokumentów z zakresu ochrony danych osobowych.

W uzasadnienia Wyroku wynika, iż pracownik otrzymał do podpisu następujące dokumenty:

  • Oświadczenie o zgodzie na przetwarzanie danych osobowych;
  • Oświadczenie o zgodzie na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych osobowych w tym zakresie;
  • Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie.

Sąd wyraźnie wskazuję, iż przede wszystkim pracodawca jako administrator danych powinien określić prawidłową podstawę przetwarzania danych osobowych. W dostarczonych dokumentach Sąd w moim odczuciu słusznie podnosi, iż w relacjach pracowniczych nie powinniśmy opierać się na przesłance wynikającej z art. 6 ust. 1 lit a) RODO, bowiem zgoda podmiotu danych powinna być wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie co w relacjach pracodawca – pracownik budzi wątpliwości. Odnosząc się do zgody na przetwarzanie danych osobowych Sąd podkreśla, iż zgoda ta mogła dotyczyć wyłącznie danych których pracownik nie miał obowiązku udostępniać pracodawcy zgodnie z art. 22 1 Kodeksu pracy.

Ponadto żądanie zgody na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych jest nadmierne bowiem również w tym zakresie regulują nam przepisy w art. 22 2 Kodeksu pracy o monitoringu wizyjnym. Przepisy te wskazują, iż pracodawca powinien wskazać cele, zakres oraz sposób zastosowania monitoringu a informację te ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem a przed dopuszczeniem pracownika do pracy przekazuje powyższe informacje na piśmie.

Sąd wskazuję, iż w przepisach jest tylko wskazanie, iż pracodawca informuję o wprowadzeniu monitoringu, jego celu, zakresie oraz sposobie zastosowania a jego wprowadzenie nie jest zależne od zgody pracownika.

Sąd podał w wątpliwość podpisanie oświadczenia o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie bowiem samo niepodpisanie przez pracownika w/w dokumentów może oznaczać, iż pracownik nie posiada stosownej wiedzy z zakresu ochrony danych osobowych, a jeśli posiada to nie będzie czynił z niej użytku. Skutkować to może zdaniem Sądu odsunięciem pracownika od pracy w trybie art. 100 § 2 pkt 4 Kodeksu pracy (podstawowym obowiązkiem pracownika jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę), jednak nie może prowadzić do rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika i nie może stanowić ciężkiego naruszenia obowiązków pracowniczych. Sąd wskazuję, że podpis jest pewnego rodzaju deklaracją a nie obowiązkiem pracownika sensu stricto.

Wskazując również na ugruntowane orzecznictwo, iż zastosowanie przesłanki z art. 52 § 1 pkt. 1 Kodeksy pracy wchodzi w grę tylko wtedy gdy zachowanie pracownika jest szczególnie naganne oraz stanowi rażące i drastyczne złamanie reguł postępowania. W zaistniałej sprawie zdaniem Sądu nie można tutaj mówić o takim zachowaniu.

Sąd podkreśla, również jak ważne jest chociażby przeszkolenie pracowników niezależnie od ich stanowiska i uświadomienie zarówno pracownikom wyższego szczebla jak i pracownikom szeregowym funkcjonowania zasad z zakresu ochrony danych.

Podsumowując pracodawca jako administrator danych powinien:

  • Prawidłowo określić podstawę prawną przetwarzania danych pracowniczych;
  • Przy wyrażeniu zgody zapewnić dobrowolność oraz pamiętać o zasadzie równowagi stron przy wyrażeniu zgody, bowiem w przypadku wątpliwości co do jej dobrowolności może okazać się ona nieważna;
  • Sukcesywnie podnosić świadomość pracowników z zakresu ochrony danych poprzez m.in. szkolenia oraz dbać o prawidłowe przestrzeganie zasad wynikających z RODO.

 

Autor: Aleksandra Kiełbratowska

KARY ZA NIEPRZESTRZEGANIE RODO

kara ROD

KARY ZA NIEPRZESTRZEGANIE RODO TO NIE STRASZENIE

Kary za nieprzestrzeganie przepisów rozporządzenia o ochronie danych osobowych nie są straszeniem, a stają się rzeczywistością. Każdy pamięta, jak wyglądały zalane obowiązkami informacyjnymi skrzynki e-mailowe przed 25 maja 2018 r., ten czas był naprawdę gorący dla przedsiębiorców, którzy w obawie przed karami próbowali tworzyć zabezpieczenia przed ewentualną kontrolą. Był to również wzmożony czas audytów, opracowywania dokumentacji, procedur oraz szkoleń pracowniczych. Niektórych motywowało to do wdrożenia przepisów RODO do firm, zaś drudzy tę kwestię mocno bagatelizowali.

OCHRONA DANYCH OSOBOWYCH NIE JEST NOWOŚCIĄ

Tematyka ochrony danych w Polsce nie jest też nowością, sporo zmieniło się od wejścia w życie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Na kanwie ustawy z 1997 roku oczywiście również występowały informacje na temat konsekwencji w postaci sankcji za naruszenia ochrony danych osobowych. Aby nadążyć za tym, jak w praktyce dane są przetwarzane rozporządzenie wprowadziło wiele zmian i nowości. Przy obecnym ogromnym postępie technologicznym i fakcie, jak cenne stały się dane osobowe RODO nie jest wymysłem, a zwyczajnie potrzebą rynku. Chcemy wiedzieć gdzie wędrują nasze dane, jak, przez kogo, jak długi czas będą przetwarzane oraz do kogo można udać się kiedy pojawi się naruszenie. Chodzi zarówno o te dane związane z imieniem, nazwiskiem, wizerunkiem, ale także dotyczące lokalizacji, czy na przykład naszych preferencji zakupowych itp. Oczywiście jednorazowe wprowadzenie zmian w kierunku RODO będzie świetnym krokiem w stronę rzeczywistej ochrony danych, warto jednak pamiętać, że to długotrwały proces uświadamiania, zmiany mentalności w danej organizacji i podejścia do ochrony danych może przynieść zamierzony skutek dla ochrony danych osobowych. Być może nałożona przez Urząd kara stanie się impulsem do refleksji, że warto dbać o ochronę danych osobowych i robić to rozważnie.

KARY W EUROPIE

Jedną z pierwszych kar po wejściu przepisów w życie pojawiła się w portugalskim szpitalu, gdzie zbierano w sposób nieuprawniony dane pacjentów. Nałożona przez Urząd Comissão Nacional de Proteção de Dados (CNPD), czyli Komisję Ochrony Danych – Organ nadzorczy w Portugalii kara opiewała sumę 400 000 euro. Spowodował to między innymi nieuprawniony dostęp do danych klinicznych udzielony osobom, które nie powinny mieć takiej możliwości. Urząd uargumentował nałożenie tak wysokiej kary umyślnym działaniem administratora danych, który powinien był zastosować środki techniczne i organizacyjne niezbędne do identyfikacji i uwierzytelniania danych użytkowników. Przez ww. naruszenie szpitalowi zarzuca się naruszenie głównych zasad RODO takich jak integralność, poufność, czy minimalizacja danych.

KARY ZA NARUSZENIA W POLSCE

Czy warto bać się kar finansowych za naruszenia przepisów RODO w Polsce? Odpowiedź brzmi: i tak i nie. Tutaj najbardziej adekwatną byłaby znienawidzona, ale i często używana przez prawników odpowiedź „to zależy”. Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak – Jomaa zapowiedziała potrzebę poprawy kwestii ochrony danych w świadomości polskich przedsiębiorców oraz kontrole i kary nie bez pokrycia. Od kilku tygodni w sieci pojawia się wiele opinii na temat kary, którą ma dostać przedsiębiorstwo. Jedno jest pewne – 26 marca oficjalnie ogłoszono informację na stronie Urzędu.

Decyzja dotyczy firmy, która tworzyła bazę danych prowadzących działalność na podstawie ogólnodostępnych informacji zawartych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowym Rejestrze Gospodarczym, a także w zestawieniach Głównego Urzędu Statystycznego. Takiego rodzaju dane były przekazywane tym użytkownikom, którzy chcieli sprawdzić wiarygodność przedsiębiorców. Proces kontroli UODO wskazał, że warszawska spółka o zbieraniu i przetwarzaniu danych na ich temat informowała wyłącznie tych, którzy na którymś z portali internetowym umieścili swoje adresy e-mail. Obowiązek informacyjny nie został wysłany pocztą do reszty ze względu na wysokie koszty. Firma informację o przetwarzaniu danych osobowych zamieściła na stronie internetowej. Wskazując na wysokość kary mówi się o kwocie około miliona złotych.

PRZYSZŁOŚĆ

Temat ochrony danych osobowych powinien pojawić się w świadomości absolutnie każdej firmy, a nałożenie kary przez Urząd w Polsce wzmocnią to przekonanie wśród przedsiębiorców. Jeśli przepisy rozporządzenia są przestrzegane nie ma potrzeby do obaw. Niejednokrotnie przedsiębiorcy wskazują, że RODO wyklucza, ogranicza bądź też utrudnia im działania marketingowe, sprzedażowe. Nie warto patrzeć na tę kwestię w negatywny sposób, ale tak, że dane klientów są bezpieczne, przetwarzane w sposób zgodny z przepisami i podstawowymi zasadami rozporządzenia. Sprawa ochrony danych osobowych na dzień dzisiejszy wydaje się o tyle ciekawa, że do Urzędu Ochrony Danych Osobowych wpłynęło ok. 4 tysiące skarg dotyczących przetwarzania danych osobowych, co będzie się działo dalej w kwestii kar, zobaczymy.

Autor: Monika Liwoch

RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.