RODO – WYROK SĄDU REJONOWEGO W TORUNIU Z DNIA 28 GRUDNIA 2018 R.

RODO wyrok sądu

Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r.

IV P 364/18 – Jeden z pierwszych wyroków rozstrzygających o zasadności podpisania dokumentów z zakresu ochrony danych przez pracownika.

W sentencji wyroku znajdziemy uznanie powództwa oraz zasądzenie kosztów od pozwanej Spółki (pracodawcy).

Pracownik wniósł powództwo tytułem odszkodowania za niezgodne z prawem rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika w trybie art. 52 § 1 pkt 1 Kodeksu pracy. Przyczyną uzasadniającą wypowiedzenie było niepodpisanie przez pracownika dokumentów z zakresu ochrony danych osobowych.

W uzasadnienia Wyroku wynika, iż pracownik otrzymał do podpisu następujące dokumenty:

  • Oświadczenie o zgodzie na przetwarzanie danych osobowych;
  • Oświadczenie o zgodzie na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych osobowych w tym zakresie;
  • Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie.

Sąd wyraźnie wskazuję, iż przede wszystkim pracodawca jako administrator danych powinien określić prawidłową podstawę przetwarzania danych osobowych. W dostarczonych dokumentach Sąd w moim odczuciu słusznie podnosi, iż w relacjach pracowniczych nie powinniśmy opierać się na przesłance wynikającej z art. 6 ust. 1 lit a) RODO, bowiem zgoda podmiotu danych powinna być wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie co w relacjach pracodawca – pracownik budzi wątpliwości. Odnosząc się do zgody na przetwarzanie danych osobowych Sąd podkreśla, iż zgoda ta mogła dotyczyć wyłącznie danych których pracownik nie miał obowiązku udostępniać pracodawcy zgodnie z art. 22 1 Kodeksu pracy.

Ponadto żądanie zgody na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych jest nadmierne bowiem również w tym zakresie regulują nam przepisy w art. 22 2 Kodeksu pracy o monitoringu wizyjnym. Przepisy te wskazują, iż pracodawca powinien wskazać cele, zakres oraz sposób zastosowania monitoringu a informację te ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem a przed dopuszczeniem pracownika do pracy przekazuje powyższe informacje na piśmie.

Sąd wskazuję, iż w przepisach jest tylko wskazanie, iż pracodawca informuję o wprowadzeniu monitoringu, jego celu, zakresie oraz sposobie zastosowania a jego wprowadzenie nie jest zależne od zgody pracownika.

Sąd podał w wątpliwość podpisanie oświadczenia o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie bowiem samo niepodpisanie przez pracownika w/w dokumentów może oznaczać, iż pracownik nie posiada stosownej wiedzy z zakresu ochrony danych osobowych, a jeśli posiada to nie będzie czynił z niej użytku. Skutkować to może zdaniem Sądu odsunięciem pracownika od pracy w trybie art. 100 § 2 pkt 4 Kodeksu pracy (podstawowym obowiązkiem pracownika jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę), jednak nie może prowadzić do rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika i nie może stanowić ciężkiego naruszenia obowiązków pracowniczych. Sąd wskazuję, że podpis jest pewnego rodzaju deklaracją a nie obowiązkiem pracownika sensu stricto.

Wskazując również na ugruntowane orzecznictwo, iż zastosowanie przesłanki z art. 52 § 1 pkt. 1 Kodeksy pracy wchodzi w grę tylko wtedy gdy zachowanie pracownika jest szczególnie naganne oraz stanowi rażące i drastyczne złamanie reguł postępowania. W zaistniałej sprawie zdaniem Sądu nie można tutaj mówić o takim zachowaniu.

Sąd podkreśla, również jak ważne jest chociażby przeszkolenie pracowników niezależnie od ich stanowiska i uświadomienie zarówno pracownikom wyższego szczebla jak i pracownikom szeregowym funkcjonowania zasad z zakresu ochrony danych.

Podsumowując pracodawca jako administrator danych powinien:

  • Prawidłowo określić podstawę prawną przetwarzania danych pracowniczych;
  • Przy wyrażeniu zgody zapewnić dobrowolność oraz pamiętać o zasadzie równowagi stron przy wyrażeniu zgody, bowiem w przypadku wątpliwości co do jej dobrowolności może okazać się ona nieważna;
  • Sukcesywnie podnosić świadomość pracowników z zakresu ochrony danych poprzez m.in. szkolenia oraz dbać o prawidłowe przestrzeganie zasad wynikających z RODO.

 

Autor: Aleksandra Kiełbratowska

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Marketing a ochrona danych osobowych – zgoda

    Każdy z nas otrzymuje masę niechcianych maili zwierających ofertę marketingową przeróżnych podmiotów. Wiadomości informujące o niezwykle atrakcyjnych ubezpieczeniach czy też unikalna promocja na kosmetyki atakuje nas zaraz po wejściu na skrzynkę mailową. W zdecydowanej większości przypadków wykorzystanie naszych maili, które posiadają przymiot danych osobowych odbywa się z naruszeniem ustawy o ochronie danych osobowych oraz z naruszeniem ustawy o świadczeniu usług drogą elektroniczną. Powstaje więc pytanie jak wysłać ofertę marketingową naszych usług/produktów, abyśmy my nie naruszyli przepisów prawa i nie narazili się na odpowiedzialność karną, administracyjną lub cywilną. Na to zaś pytanie postaram się odpowiedzieć w poniższym artykule.

     Pierwszym krokiem jest określenie podstawy przetwarzania danych w celach marketingowych. Jeżeli mówimy o przetwarzaniu danych w celach marketingowych to mamy dwie przesłanki z art. 23 ust. 1 ustawy o ochronie danych osobowych do wyboru. Dane możemy przetwarzać w celach marketingowych jeżeli posiadamy zgodę osoby, której dane dotyczą lub powyższe przetwarzanie danych stanowi nasz prawnie usprawiedliwiony cel i nie narusza praw i wolności osób, których dane dotyczą. Tyle odnośnie teorii ale jak to przełożyć na praktykę?
Na początek omówimy łatwiejszy sposób, czyli zgodę na przetwarzanie danych.
Jeżeli mamy ważną zgodę na przetwarzanie danych w nasz celach marketingowych możemy wysyłać naszą ofertę na maila do momentu jej odwołania. Dodatkowo powinniśmy posiadać zgodę na wysyłanie oferty handlowej drogą elektroniczną. Powyższych dwóch zgód nie można niestety łączyć w jednym oświadczeniu[1]. Należy w tym miejscu podkreślić, iż na przetwarzanie danych w celach marketingu podmiotów trzecich jest potrzebna odrębna zgoda (podmiotem trzecim w rozumieniu ustawy o ochronie danych osobowych są również podmioty powiązane kapitałowo)[2].

        Jak powinna wyglądać zgoda na przetwarzanie danych?
Po pierwsze powinna być odrębnym oświadczeniem woli, czyli powinna być wyrażana poprzez jakąś odrębną czynność np. poprzez zaznaczenie checkboxa lub podpis. Dodatkowo zgoda nie może być również dorozumiana z oświadczenia woli o innej treści, czyli jeżeli wypełniam kupon promocyjny podając swoje dane osobowe nie jest to równoznaczne z wyrażeniem zgody. Ostatnim przymiotem prawidłowej zgody jest jej dobrowolność tzn. zgody nie możemy jej wymusić[3]. Klauzula zgody na przetwarzanie danych w celach marketingowych spełniająca powyższe przesłanki będzie prawidłowa i po jej uzyskaniu możemy leganie wysyłać naszą ofertę marketingową (nie należy zapomnieć o pozyskaniu zgody na przesyłanie informacji handlowej drogą elektroniczną).

W następnym artykule skomplikujemy sytuacje i opiszemy kiedy nie jest potrzebna zgoda na przetwarzanie danych w celach marketingowych.



[1] I OSK 1317/11

[2] DIS/DEC-63/4537/11 dot. DIS-K-421/83/10 DIS-K-421/143/10

[3] Część doktryny uważa, że możemy w pewnych sytuacjach wymagać wyrażenia zgody. Taka okoliczność ma miejsce kiedy w zamian za wyrażenie zgody np. na marketing świadczymy jakąś usługę.